Hace unos días, en una charla con profesores sobre la privacidad y las redes sociales, aconsejaba, «tra il serio e il faceto» a desconectar no sólo el ordenador, sino también la nevera.
Ellos sonrieron, creyendo que era una de mis exageraciones histriónicas. Bueno, pues, habrá que revisar el concepto de «exageración histriónica«.
La recientemente publicada Opinión 4/2013 del Grupo del Artículo 29 (WP29), nos da cuenta no ya de los peligros para nuestra privacidad que representan los denominados «smart energy meters«, (en cristiano: «contadores inteligentes»), sino de lo insuficiencia de los previstos Data Protection Impact Assessments (DPIA) Templates (Plantillas para la realización de la Valoración de Impacto sobre la Protección de Datos).
Recapitulemos un poco cómo está la situación.
Las empresas distribuidoras de energía están implantando los denominados «contadores inteligentes» que permiten, entre otras cosas, tener una lectura real de los datos de consumo del usuario, sin que éste tenga que llamar a la empresa, o recibir la visita de un técnico que lea y anote los datos. Aquí está la foto de unos responsables de Iberdrola con el aparatito, para que os familiaricéis:
Hasta aquí, parece, todo bien. Un nuevo cacharrito a añadir a nuestro arsenal doméstico, que nos hará la vida más fácil…
Pues, no; o, por lo menos, no tal y como se ha planteado la situación a través del DPIA presentado por el Expert Group 2 («EG2»), bajo mandato de la Comisión UE.
Los contadores inteligentes presentan una serie de problemas para nuestra privacidad. Algunos de estos problemas han sido exhaustivamente analizados en el estudio «Multimedia Content Identification Through Smart Meter Power Usage Profiles«. En este estudio (que podéis descargar aquí: smart_meter) se demuestra cómo se pueden conocer, a través del contador inteligente (empiezo a pensar que habrá que cambiarle de nombre), los siguientes datos:
- qué electrodoméstico estás utilizando en cada momento (horno, tv, ordenador, microondas…);
- qué canal de televisión estás viendo;
- qué contenido audiovisual estás viendo (en cristiano: qué peli estás viendo, en el sofá…);
- cuánto gastas de luz (pero este dato es accesible a cualquiera, ya que se transmite de forma no segura).
Si éstos son los problemas reales (pueden buscar también teorías cospiranóicas en youtube sobre los contadores inteligentes), es lógico que el WP29 exigiera un DPIA a la altura de las circunstancias.
En qué falla el DPIA propuesto.
1. Falta de claridad sobre la naturaleza y los objetivos del DPIA. El WP29, por ejemplo, lamenta que no se hayan tomado en cuenta los posibles efectos negativos sobre los clientes/afectados debidos a, por ejemplos, errores en la facturación, discriminación de precios o las acciones penales derivadas de un estudio sobre el gasto energético. Si os preguntáis qué tiene que ver el análisis del consumo de electricidad con la prevención de delitos, pensad en cuánta electricidad es necesaria para llevar un invernadero de marihuana…
2. Errores de metodología. Se confunden conceptos de «riesgos» y «amenazas«. Además, no existen controles para los riesgos identificados. Y eso hasta puede resultar embarazoso. Sólo se trataba de establecer dos columnas: en la «A» los riesgos; y en la «B», los controles para mitigar los riesgos. Pues, en la columna «B» faltan controles… ejem…
3. No se especifican los conceptos de vulnerabilidades, cómo calcular y priorizar los riesgos, cómo elegir los controles apropiados, cómo evaluar el riesgo remanente.
4. Es un DPIA que no refleja las necesidades específica de esta industria. Vamos, no han dicho que sea un «mal copia/pega», pero ésta es mi libre interpretación de la frase «the risks and controls do not reflect industry experience on what the key concerns and best practices are.«
Con este DPIA no pasa el examen de CISA ni pagando, así que el WP29 los suspende con un «nos vemos en septiembre«.
