martes, 30 de junio de 2009

Seguridad e intimidad: retos para la RFID

No es la primera vez que se rechaza una tecnología por desconocimiento, por desconfianza hacia ella o incluso por miedo a las consecuencias que pueda traer su utilización. A lo largo de la historia se encuentran ejemplos de cómo elementos que a día de hoy resultan imprescindibles para el desarrollo de la vida diaria, en sus inicios fueron rechazados o usados con cierta cautela. Por ejemplo, el teléfono, un elemento sin el cual no se puede siquiera imaginar el mundo actual, fue aceptado con algún reparo por ciertos sectores porque no se veía la utilidad de hablar con alguien a distancia cuando, en su lugar, podía enviarse un mensajero. En este caso parece que la reticencia a usar una nueva tecnología venía dada por no encontrar una aplicación práctica inmediata que mejorase el modo de vida que se llevaba en aquel entonces. Sin embargo, no sería de extrañar que la falta de confianza en que al otro lado del teléfono se encontrase realmente la persona con la cual se quería hablar y no otra, estuviera detrás de la anterior argumentación. Una tercera causa de ser reticente al uso del teléfono podría haber sido el hecho de que las conexiones en las centralitas se hacían de manera manual, es decir, las operadoras eran quienes establecían los enlaces entre los distintos abonados, por lo que existía la posibilidad de una pérdida de confidencialidad de los mensajes transmitidos, así como de la intromisión en la vida privada de quienes utilizaran este nuevo medio de comunicación.

A día de hoy, estos miedos y desconfianzas siguen estando vigentes, sólo que se aplican a los nuevos dispositivos que la tecnología va ofreciendo. Tal es el caso de la identificación por radiofrecuencia (RFID).



Aunque lleva utilizándose desde hace tiempo para la identificación y seguimiento de animales y objetos, la aplicación el campo de la identificación humana está generando una cierta inquietud. El riesgo de que los datos personales sean interceptados por terceras personas y la posibilidad de un control total sobre la vida de los individuos están en el origen del rechazo a la implantación del uso de sistemas RFID.

Como se ve, los problemas que se plantean están relacionados principalmente con la seguridad de los datos y la intimidad de las personas. Una de las particularidades de los sistemas RFID es que la información puede ser leída por un receptor sin que el dueño de los datos sea consciente de ello. Un ejemplo de este tipo de situaciones podría darse con el uso de pasaportes que utilizasen identificación por radiofrecuencia. Cualquiera que llevase uno de estos documentos en el bolsillo y pasase por las proximidades de un lector de radiofrecuencia, sería identificado automáticamente sin distinción de si este dispositivo hubiera sido colocado por los agentes de seguridad o por un grupo de delincuentes. El uso que se dé a los datos interceptados dependerá de las intenciones de aquel que los capture. El robo de identidad para tener acceso a zonas restringidas podría ser una de las primeras aplicaciones. Para conseguirlo bastaría con replicar en un chip la información recuperada de otro y, dado que existe la posibilidad de reescribirlos, podrían manipularse in situ los datos de cualquier persona.

También el uso de este tipo de identificación en el campo de la logística puede acarrear algún peligro para las personas. Las etiquetas RFID permiten a los productores seguir el rastro de sus mercancías desde el origen hasta el último estabón de su producción. En general, estos identificadores se desactivan una vez que el cliente pasa por caja y abona los artículos que ha adquirido. Podría darse el caso de que en un momento dado dejara de seguirse este procedimiento y la etiqueta continuara viva fuera de los límites del local comercial. Sería posible, entonces, detectar cuál es el domicilio del comprador, qué elementos componen su compra y qué uso hace de ellos. Se estaría facilitando el seguimiento, control y elaboración de perfiles de las personas por el mero hecho de acudir, por ejemplo, a un supermercado.
Nos encontramos ante una situación en la que las percepciones sobre la tecnología dan por hecho que el ciudadano se encontrará ante una situación de abuso y abandono [1]
lo que podría derivar en un freno al desarrollo de nuevas aplicaciones o a la implantación de las ya existentes que, si bien pueden invadir la privacidad de las personas, también facilitan las tareas que habitualmente éstas últimas realizan.



La solución al problema no es evitar el avance de la tecnología, sino encontrar el modo seguro de innovar. Esta seguridad se puede conseguir por dos vías principales: la tecnológica y la judicial. La primera de ellas entra en juego en el momento mismo en que se comienza el diseño de un sistema. Una de las premisas básicas debe ser preservar la seguridad de los datos que se van a tratar, tanto en su transmisión como en su almacenamiento. Si en vez de considerar la etiqueta RFID como un contenedor de datos se plantea como un medio para acceder a ellos, el sistema puede diseñarse almacenando en la etiqueta un número de identificación único (EPC) que posteriormente permita obtener la información escrita en una base de datos. Una vez leído el contenido de la etiqueta, sólo si se superan los controles de autorización y autenticación, se podrá acceder a los datos de la persona u objeto a identificar. A su vez, la información puede estar codificada mediante técnicas de encriptación y podrá ser descifrada únicamente por aquellos dispositivos de lectura que conozcan el método utilizado para ello.

La segunda de las vías es la judicial. Hay que saber que
en la actualidad, ya hay suficientes datos disponibles sobre nosotros que pueden hacer que nuestra privacidad se pueda tambalear si no fuera porque la legislación vigente en estos temas impide el uso cruzado de toda esta información [2]
lo que confirma la necesidad de una regulación que garantice un uso adecuado de cualquier tipo de información personal. En el caso español, la Ley de Protección de Datos (LOPD 15/99) aporta ciertas garantías al tratamiento de este tipo de información, al limitar el uso de los datos recogidos, exigir el consentimiento del interesado antes de la recogida y uso de sus datos personales, establecer responsabilidades sobre los propietarios y encargados del tratamiento de los ficheros de datos, definir los límites para la cesión a terceros y establecer el período de tiempo en el que se puede almacenar la información de carácter personal. Sin embargo, como en todo nuevo campo que se abre, se hace necesario una legislación más específica que no dé opción a la ambigüedad ni a una interpretación imprecisa que dejara vías de escape para aquellos que quisieran hacer un uso ilícito de la información.

La Unión Europea también trabaja con el objetivo de aumentar la confianza de los ciudadanos en el uso de la tecnología RFID y, desde hace años, tiene entre sus prioridades el estudio y la investigación de la seguridad y la protección de datos en este ámbito.

Todo lo anterior debe ir acompañado de una adecuada información a los ciudadanos. Según indica Celia Fernández Aller (Profesora de Derecho Informático de la Universidad Politécnica de Madrid):
La recogida y posterior tratamiento no deben realizarse abusando de la buena fe del individuo. Y para asegurar esto, nada mejor que exigir el consentimiento en el momento de la recogida, pero para prestar un consentimiento consciente se requiere información completa sobre el alcance y las consecuencias de su decisión [3]
Es decir, de nada (o poco) sirve que las leyes garanticen la petición de consentimiento para la cesión de información personal, si la ciudadanía que debe ejercer este derecho no está preparada. Si no se sabe con exactitud qué datos se van a recoger, qué tipo de información es la que se puede requerir, cuál es el tratamiento que se va a realizar una vez que se esté en posesión de la información personal de un individuo, hasta dónde se puede investigar, cuánto tiempo estarán disponibles los datos y para quién, así como qué controles de seguridad están implementados y qué mecanismos de encriptación se aplican, no se podrán tener criterios para evaluar las posibles consecuencias de la cesión de datos personales.

También es importante la predisposición que los ciudadanos tengan hacia la aceptación o no de una nueva tecnología, y en este punto juegan un papel muy importante los medios de comunicación. A través de ellos se dan a conocer masivamente los nuevos descubrimientos, sus características y sus usos más inmediatos. Es importante que exista una presencia equilibrada de información que evite la inclinación de la balanza hacia uno u otro lado sin una reflexión previa por parte de los ciudadanos.

Puede decirse, por tanto, que la tecnología no es buena ni mala en sí misma, sino que son los usos que se hacen de ella lo que la lleva a ser aceptada o no. Inicialmente, toda innovación viene precedida de cierta desconfianza que puede estar justificada por la pérdida de seguridad o de intimidad que traiga consigo. El hecho de que los sistemas RFID hayan sido diseñados con el fin de identificar de manera precisa a aquel o aquello que porte una de sus etiquetas, hace que se genere un cierto recelo ante su uso. Es labor tanto de los creadores de la tecnología como de los legisladores, crear un ambiente de confianza que permita el desarrollo de la Sociedad del Conocimiento sin menoscabo de los derechos ya adquiridos sobre intimidad y seguridad, sin olvidar la influencia que los medios de comunicación tienen sobre la opinión pública.

----------------------------------------------------------------------------------------------------

DOCUMENTACIÓN
[1] JIMÉNEZ, M., Tecnología RFID y el debate en la sociedad europea. RFiD magazine [en línea] 22 junio 2007. [Última consulta: 30 junio 2009]. http://www.rfid-magazine.com/opinion/index.php?id=1006
Nota: los contenidos no se encuentran indefinidamente en el portal.

[2] ABADÍA, L., La RFID y la garantía de privacidad. RFiD magazine [en línea] 22 junio 2007. [Última consulta: 30 junio 2009]. http://www.rfid-magazine.com/opinion/index.php?id=420
Nota: los contenidos no se encuentran indefinidamente en el portal.

[3] FERNANDEZ, C., La tecnología RFID y sus implicaciones jurídicas. datospersonales.org La revista de la agencia de Protección de Datos de la Comunidad de Madrid [en línea] 31 marzo 2009. ISSN: 1988-1797 [Última consulta: 30 junio 2009]
http://www.madrid.org/cs/Satellite?c=CM_Revista_FP&cid=1142540502890&esArticulo=true&idRevistaElegida=1142527411030&language=es&pagename=RevistaDatosPersonales%2FPage%2Fhome_RDP&siteName=RevistaDatosPersonales


No hay comentarios:

Publicar un comentario