Smart cities o ciutats intel·ligents – anàlisis de la guia “tecnologies i protecció de dades en les AA.PP.” de l’AEPD


La setmana passada l’Agència Espanyola de Protecció de Dades va publicar la guia “Tecnologies i protecció de dades en les AA.PP” en la qual s’analitzava la utilització de diferents tecnologies per part de les Administracions Públiques, entre les quals es troben les ciutats intel·ligents o smart cities. Vegem a continuació que són les ciutats intel·ligents i quines implicacions poden tenir per a la protecció de dades personals dels ciutadans de conformitat amb la indicada guia.

1) Concepto de ciudades inteligentes o smart cities:

La Comisión Europea ha acuñado el concepto de ciudades inteligentes para referirse de manera amplia a la utilización de distintas tecnologías para la gestión eficiente de los servicios propios de una ciudad, esto es, transporte, gestión de agua luz, gas, residuos, infraestructuras, etc.

Para optimizar estos servicios se realiza una recogida de datos de forma automatizada mediante sensores de todo tipo distribuidos por el territorio de la ciudad: sensores de tráfico, de movimiento de personas, de calidad del aire, de consumos energéticos, etc. Durante el análisis de los datos recabados por estos sensores dichos datos puedes ser enriquecidos con otros procedentes de otras fuentes que, en su caso, podrían llegar a permitir realizar predicciones sobre, por ejemplo, que servicios se deben ofrecer o como se deben prestar. Como vemos, las ciudades inteligentes forman partes de un proyecto más amplio de gestión urbana que utiliza distintas tecnologías como inteligencia artificial, Big Data o internet de las cosas.

2) Casos reales de implementación y cumplimiento de los principios del RGPD:

Como se ha dicho, las ciudades inteligentes pretenden ofrecer una mayor eficiencia al ciudadano en la gestión de los servicios públicos mediante la obtención de datos en tiempo real a través de sensores que detectan el comportamiento de las ciudades y sus habitantes. Algunos de los casos de implementación son, por ejemplo:

  • La instalación de cámaras y/o sensores que detectan la presencia de personas en instalaciones y, consiguientemente, consiguen una mayor eficiencia energética al encender por ejemplo las luces de un espacio y apagarlas si no hay nadie en el lugar.
  • La instalación de cámaras y/o sensores que permitan contabilizar a personas o vehículos en una zona determinada para dar prioridad a unos u otros.
  • Utilización de sensores que detectan los niveles de basura en los contenedores y emiten notificaciones sobre cuando se deben recoger.

Como vemos, se recogen datos personales y no personales. En el caso de que se recojan datos personales, no debe olvidarse el principio de minimización, evitando así la recogida masiva de datos y, siempre que sea posible, no deberá identificarse a personas de manera unívoca puesto que ello no es necesario para la finalidad establecida, utilizando para ello datos anónimos.

Es también relevante el principio de lealtad, lo que implica que los datos recogidos únicamente serán utilizados para las finalidades establecidas, esto es, no deberán utilizarse los datos recabados para otras finalidades como puede ser, por ejemplo, la imposición de sanciones a los ciudadanos.

Es esencial, además, proporcionar información adecuada a los ciudadanos a los efectos de que éstos puedan tener conocimiento sobre los riesgos y derechos relativos al tratamiento de sus datos mediante el uso de estas tecnologías, mediante, por ejemplo, inserción en la página web de la administración competente de los informes relativos a los proyectos que se pretendan llevar a cabo.

3) Riesgos para los derechos y libertades de los interesados:

Teniendo en cuenta la gran cantidad de datos que se pueden recabar a través de la utilización de sensores dispuestos por toda la ciudad, estos tratamientos deberán ser reputados, en la mayoría de casos, desde su proyección, como de alto riesgo para los interesados, por lo que se requerirá, en cualquier caso, un análisis previo sobre el volumen, tipología de datos a tratar y plazo de conservación así como una evaluación de impacto y, en su caso, una consulta previa a la autoridad de control (AEPD).

Debe tenerse en cuenta que, aunque dichos sistemas realicen tratamientos de datos anonimizados, existe un elevado riesgo de reidentificación por el volumen de datos y la posibilidad de enriquecimiento de los mismos, por lo que dicho riesgo debe ser mitigado mediante las medidas técnicas y organizativas oportunas.