Los edificios inteligentes son ya una realidad que se apoya en gran medida en la utilización de sensores que generan y procesan grandes cantidades de datos. La cuestión que vamos a intentar responder es en qué medida estos datos deben ser protegidos especialmente a la luz del Reglamento General de Protección de Datos (RGPD) que se empezará a aplicar en mayo de 2018.
Este tema es espacialmente relevante para constructores, para los usuarios de estos edificios inteligentes y también para las empresas tecnológicas que desarrollan productos y prestan servicios al sector inmobiliario.
Los edificios inteligentes son un tema candente en la actualidad por dos razones principalmente. Una, por los rápidos avances en tecnología que nos permiten contar con sensores que recogen enormes cantidades de datos sobre aspectos como la temperatura, la localización o incluso aspectos tan específicos como las preferencias culinarias de los empleados del edificio. Y dos, por el avance en la capacidad de procesamiento informático que nos permite analizar estas grandes cantidades de datos fácilmente de manera que podamos extraer conclusiones significativas de ellos en tiempo real.
El propósito de la instalación de sensores en edificios inteligentes ha cambiado. Inicialmente el objetivo de la recogida de datos se centraba en la sostenibilidad y el mantenimiento del edificio mientras que ahora se extienden a la mejora de la experiencia de usuario y también al incremento de la productividad de los ocupantes.
¿Qué datos de los generados por los edificios inteligentes caen dentro del ámbito de la protección de datos?
No todos. Básicamente, caerán dentro del ámbito de la normativa de protección de datos todos aquellos datos que se refieran a una persona y en los que sea posible identificar a esa persona, es decir, todos aquellos datos que se refieran a ocupantes del edificio inteligente y en los que esos ocupantes sean identificables.
Por ejemplo, todos los datos derivados de los pases de empleados dentro del edificio pueden ser atribuidos a una persona y por lo tanto son, sin ninguna duda, datos personales. Pero hay casos en los que, aunque la persona no sea directamente identificable, sí lo puede ser indirectamente como es el caso de datos relativos a un despacho o a una oficina en concreto. Porque, aunque no conozcas la identidad de la persona directamente, sí puedes saber quién ocupaba la oficina en ese momento concreto.
Lo mismo se puede aplicar a toda la información relativa a movimientos de personas dentro del edificio, si se cuenta con un sistema de seguimiento por ejemplo a través de sensores de calor, cabrá la posibilidad de identificar a los individuos.
Por supuesto, cualquier imagen de videovigilancia de una persona se convierte automáticamente en datos personales.
Proporcionalidad y transparencia
Estos dos conceptos son los principales a la hora de gestionar los edificios inteligentes desde el punto de vista de la protección de datos. Los usuarios del edificio tienen que saber qué datos se están recogiendo y qué finalidad se le está dando. Este el punto crucial, la transparencia ¿De qué manera se está impactando la privacidad de la persona? Los empleados, o cualquier otra persona que haga uso del edificio, deben ser informados de una manera abierta y transparente de por qué se están recogiendo datos. En la mayor parte de los casos, tratándose de un edificio inteligente, los datos tienen como finalidad conocer patrones de uso de los servicios, comprobar cuáles son los momentos de mayor entrada o salida de personas, etc… sean los datos que sean y sean las finalidades que sean, los usuarios deben conocerlas. Y no se deben recoger más datos personales que aquellos necesarios para cumplir con el propósito de la recogida.
Otro punto clave es que no sólo se debe ser transparente sobre los datos recogidos sino también sobre con quién se comparten estos datos.
Luego, por supuesto, los individuos cuyos datos personales se están recogiendo, tienen la capacidad de ejercer sus derechos ARCO (acceso, rectificación, cancelación y oposición).
En aquellos casos en los que la gestión de datos personales recogidos por un edificio inteligente presente grandes dificultades operativas, una opción a considerar es la anonimización efectiva de los datos de modo que no puedan ser conectados con la identidad de ninguna persona. Dependiendo de la cantidad de datos recogidos, esta tarea de anonimización puede presentar grandes dificultades técnicas.