Una empresa extranjera accede a tu salud por el reloj, antes solo el médico sabía
- Riesgos de los datos biométricos en wearables
- Inteligencia artificial y salud personalizada
- Leyes europeas y consentimiento en datos personales
- Traspaso de datos y protección fuera de la UE
Andrea lleva un reloj inteligente que controla su actividad física diaria, incluyendo cuánto camina y corre, además de gestionar aspectos relacionados con su ciclo menstrual, como la fecha probable de la regla y sus días fértiles. Aunque no lo utiliza para monitorizar su sueño, reconoce que sería una ayuda para mejorar sus horas de descanso.
Este dispositivo es especialmente útil para Andrea en la preparación de su próxima maratón. Su entrenador le envía las rutinas a través de una app y el reloj las presenta en un calendario, brindándole apoyo mientras corre y también tras finalizar. Por ejemplo, después de correr 17 kilómetros, el reloj le sugiere descansar tres días, aunque ella admite que no siempre sigue estas recomendaciones.
Al preguntarle sobre sus dudas respecto al manejo de sus datos biométricos por parte de la compañía que fabrica el reloj, Andrea confiesa no estar preocupada. Sin embargo, la Unión Europea tiene una postura muy distinta y se ha centrado en proteger la privacidad con varias normativas para evitar riesgos derivados del uso masivo de información personal en internet.
Riesgos y desafíos del uso de datos biométricos en dispositivos inteligentes
La Unión Europea está especialmente alerta ante posibles usos indebidos de los datos biométricos que recogen los wearables, como relojes, pulseras deportivas o anillos conectados. Estos dispositivos capturan información sensible que está protegida por el Reglamento General de Protección de Datos (RGPD). Sin embargo, esa información tiene un gran valor comercial y puede emplearse para crear perfiles detallados de las personas.
Con esos datos se puede decidir si alguien es apto para un empleo o incluso establecer primas de seguro más elevadas según su estado de salud. Además, esta información puede usarse con fines como la vigilancia intensiva o incluso en procedimientos penales y persecuciones, como ha señalado Simona Levi, fundadora de Xnet y defensora de los derechos digitales. Según ella, "la nube no existe. La nube es el ordenador de otra persona si no es tu ordenador", lo que subraya la falta de control real sobre datos que creíamos personales.
En particular, el manejo de datos sobre menstruación presenta riesgos específicos. Luana Mathias Souto, investigadora de la Universitat Oberta de Catalunya, destaca cómo la recopilación de estos datos mediante aplicaciones o smartwatches puede influir en la privacidad de las mujeres. Por ejemplo, los anuncios publicitarios dirigidos, especialmente en plataformas como YouTube, pueden interferir en su vida privada y existe una amenaza real en países donde el aborto es ilegal, pues la información registrada podría ser utilizada en procesos judiciales contra ellas.
Cómo la inteligencia artificial cambia el cuidado personal mediante apps
Ramón Baradat, abogado experto en protección de datos y tecnología, presta atención al papel de la inteligencia artificial integrada en apps y dispositivos inteligentes. Más allá de mostrar la información recopilada, estas herramientas ya ofrecen consejos personalizados basados en el análisis de patrones de actividad, descanso o incluso uso del teléfono.
Por ejemplo, hay aplicaciones que detectan signos potenciales de depresión o ansiedad gracias a algoritmos de aprendizaje automático, mientras algunos dispositivos conectados, como básculas inteligentes, pueden sugerir recomendaciones para mejorar la salud. Sin embargo, esta tecnología plantea nuevos retos legales, porque el entrenamiento de los sistemas de IA debe evitar sesgos que puedan generar consejos erróneos o perjudiciales.
Además, la legislación europea impone obligaciones para garantizar transparencia, seguridad y supervisión humana en estos sistemas inteligentes. De hecho, algunos tribunales ya están abordando casos relacionados con la responsabilidad de las herramientas de IA, especialmente en episodios que involucran riesgos para la salud mental de los usuarios.
Normativa y consentimiento reforzado para proteger datos sensibles
Actualmente, la legislación europea que protege la privacidad y el tratamiento de datos personales incluye varias leyes, entre ellas el RGPD, el reglamento de inteligencia artificial y el de servicios digitales. Próximamente, se sumará la Ley de Equidad Digital (Digital Fairness Act), que busca ofrecer una protección más amplia y coherente.
Simona Levi reconoce que Europa está aplicando parches regulatorios, pero valora que esta nueva ley pretende impedir de forma rotunda el perfilado comercial de los usuarios basado en sus vulnerabilidades, salvo excepciones justificadas como la investigación científica.
El consentimiento explícito y reforzado es el pilar de estas normativas, especialmente cuando los datos son de carácter sensible. Como explica Ramón Baradat, aceptar las condiciones debe ser un acto claro y separado: primero, autorizar la recolección de datos y, después, aprobar su compartición con terceros. Esto busca evitar que en textos extensos y poco transparentes se oculten usos sin el consentimiento real del usuario.
Cuando los datos viajan fuera de la Unión Europea
Antes, información como la relacionada con la menstruación solo se compartía con el médico, pero hoy día esos datos pueden terminar en manos de empresas ubicadas en Estados Unidos, China o cualquier otro país, donde las garantías legales pueden no ser tan estrictas como en la UE.
La normativa europea establece ciertas salvaguardas para este tipo de transferencias, exigiendo que si un país extranjero no cumple con un nivel adecuado de protección, las compañías que reciben la información en ese territorio firme contratos con cláusulas estrictas sobre el uso de los datos. Sin embargo, el cumplimiento efectivo de estas cláusulas depende de la vigilancia del exportador europeo, que debe asegurarse que no quede solo en papel.
Luana Mathias Souto critica que los mecanismos para garantizar la protección durante estos movimientos de datos no son suficientes y que los derechos de los ciudadanos europeos corren riesgo.
En España, la designación del Coordinador de Servicios Digitales, un puesto obligatorio según el reglamento europeo, sigue pendiente, situación que ha provocado sanciones de Bruselas. Aunque el Gobierno propuso encomendar esta función a la Comisión Nacional de los Mercados y la Competencia, el Congreso rechazó esa iniciativa.
Por su parte, Simona Levi lamenta la falta de recursos y dirección institucional para supervisar estos temas, aunque el colectivo Xnet ya está preparado para emprender acciones legales contra incumplimientos futuros.
El control de infracciones a estas normas recae en diferentes organismos, según su naturaleza, como la Agencia Española de Protección de Datos, el Instituto Nacional de Ciberseguridad o la Agencia de Supervisión de la Inteligencia Artificial, creada recientemente para atender estos nuevos desafíos.