Algunos casos jurídicamente relevantes en el Internet de las Cosas

 

¿Qué es el Internet de la Cosas?

El termino de ‘Internet de las Cosas (Internet of Things IoT)’ surge para referirse a los objetos conectados a Internet, se utilizó por primera vez en 1999 por Kevin Ashton, quien describió el sistema a partir del cual los objetos del mundo físico podrían conectarse a Internet por medio de sensores.  De acuerdo al informe de Cisco Internet Business Solutions Group (IBSG), el Internet de las cosas aparece a mediados de 2008 “en un momento en que eran más las cosas conectadas a Internet que las personas”. Algunos aluden que el verdadero origen del IoT es histórico, a partir de las nuevas creaciones que desarrollo el científico Nicolas Tesla en 1926, para luego tener cabida el desarrollo de la conmutación de paquetes y de la tecnología TPC/IP, así como el desarrollo posterior que vino con Internet.

Kevin Ashton, en medio de la conferencia ‘Procter & Gamble’, menciona por primera vez el concepto de Internet de las Cosas en el lenguaje anglosajón, acuñando así el ‘Internet of Things’. A mediados de 2005, en el marco de las Naciones Unidas, la International Telecommunications Union (ITU), publica el primer estudio acuñando la terminología reseñada previamente por Ashton. El estudio en mención refiere que:

“Una nueva dimensión se ha agregado al mundo de las tecnologías de información y la comunicación (TIC): a cualquier hora, en cualquier lugar, ahora vamos a tener conectividad para cualquier cosa. Las conexiones se multiplican y crearán una nueva red dinámica de redes con redes, una Internet de las Cosas”[1].

Posteriormente, se da el desarrollo tecnológico por parte del sector empresarial y es a partir de las nuevas innovaciones conectadas a Internet, cuando se le da uso habitual al término ‘Internet de las cosas’.

El nuevo modelo de Internet, desde la perspectiva comercial, representa dos o más dispositivos que son conectados y comunicados de manera directa, sin necesitar de un intermediario o servidor y así poder establecer comunicaciones directas de dispositivo a dispositivo. Se utilizan protocolos como ZigBee, Bluetooth, Z-Wave, en dispositivos, enfocados a sistemas de automatización del hogar que se comunican a través de pequeños paquetes de datos.

¿Hay algún concepto de Internet de las Cosas en el ordenamiento jurídico colombiano?

En Colombia, la Resolución 828 del 11 de mayo de 2015 del Ministerio de Tecnologías de la Información y las Comunicaciones, reglamento el plan estratégico sectorial e institucional “Plan Vive Digital”. A través del cual el Ministerio establece problemas y soluciones que se desarrollaran en el periodo de 2014 a 2018, y plantea los nuevos retos del mercado.

La resolución se refiere al Internet de la Cosas como “la red formada por los objetos físicos que se pueden (sic) acceder a través de internet. (…) Cuando los objetos pueden detectar y comunicar, cambia cómo y dónde se toman las decisiones, quién las toma y cómo interactúan los elementos entre sí.[2]

Se resalta así la importancia que el Ministerio de Tecnologías de la Información y las Comunicaciones le da al fenómeno del Internet de las Cosas, sirviendo la resolución como fuente auxiliar del legislativo y judicial en casos concretos.

Casos relevantes

En el ámbito internacional resaltan algunos casos que ponen de presente la importancia jurídica que hay en el Internet de las Cosas:

  •  Apple V. Departamento de Justicia Estadounidense

El 2 de diciembre de 2015, se presenta un tiroteo en la ciudad de San Bernardino, California. El Inland Regional Center sufrió un desastroso ataque terrorista que termino con 14 muertos y 21 heridos. Los dos tiradores se encontraban equipados con armas de gran calibre y pasamontañas, quienes intentaron huir en una camioneta negra. Los dos sospechosos fueron alcanzados por la policía y fallecieron tras un tiroteo.

Luego, en el recaudo de material probatorio por parte de la policía, hallaron que uno de los terroristas tenía en su poder un teléfono celular marca iPhone 5C, el cual gracias a la tecnología del gigante de Apple se encontraba protegido criptográficamente. La única manera de acceder a los datos presentes en el dispositivo era ingresar la contraseña de cuatro dígitos, establecida por el terrorista. En caso de ingresar una contraseña errónea en más de diez ocasiones, el software del iPhone eliminaba todos sus datos.

El FBI a través del Departamento de Justicia de Estados Unidos, presenta un requerimiento de orden judicial en la cual Apple se vería obligado a “la creación de un ‘Government OS’ o ‘GovtOS’, diseñado en exclusiva para los propósitos del FBI”, buscaba que se creará un laboratorio forense del FBI, en donde Apple asegurará poder desbloquear más iPhones en el futuro.

Se pretendía que Apple ideara un nuevo software para acceder al cifrado de los celulares iPhones. Las opiniones se inclinaron a que se presentaría “una lucha épica contra la privacidad y la seguridad nacional”.

Apple presenta recurso de moción solicitando que se invalide la orden judicial y evitar la vulneración de los datos cifrados del iPhone de uno de los terroristas de San Bernardino, alegaba que la orden no estaba bajo el amparo de la legalidad y era inconstitucional.

La Motion To Vacate Order Compelling Apple Inc. To Assist Agents In Search, And Opposition To Government’s Motion To Compel Assistance, expresa:

“El gobierno quiere que Apple desarrolle un producto inseguro. Una vez creado, ofrecería una vía de entrada a criminales y agentes externos para acceder a millones de iPhones. Y una vez desarrollado para nuestro gobierno, sería únicamente cuestión de tiempo para que otros gobiernos demandasen las mismas herramientas.”

“El gobierno dice: ‘Solo esta vez’ y ‘solo este teléfono.’ Pero el gobierno sabe que esas afirmaciones no son ciertas; de hecho el gobierno ya ha pedido acceso por órdenes similares, algunas de ellas pendientes de resolverse en los tribunales.”[3]

La justificación de la orden judicial se fundamentó en la Ley de Todas las Escrituras, una normativa de 1789, que a su vez giró sobre la ejecución de una orden de búsqueda en un un automóvil Lexus.

La audiencia programada para el 22 de marzo de 2016, fue pospuesta por solicitud del Departamento de Justicia, quien posteriormente, a través de su portavoz Melanie Newman, confirmo que el FBI ya tenía acceso a los datos del iPhone y analizaría el contenido del mismo como parte del procedimiento. En su momento dijo:

“Sigue siendo una prioridad para el gobierno asegurar que la policía pueda obtener la información crucial para proteger la seguridad nacional y pública, ya sea con la cooperación de las partes interesadas, o través del sistema judicial cuando fracasa dicha cooperación. Vamos a seguir aprovechando todas las opciones disponibles para esta misión, incluyendo la búsqueda de la cooperación con los fabricantes y confiando en el apoyo de los sectores privados y públicos.”

Posteriormente, la Fiscal Federal Eileen M. Decker solicitó al juez de la corte de Riverside, California, retirar las acciones legales que tenían contra Apple, dándose por cerrado el caso.

El método utilizado para desbloquear el iPhone 5c bajo iOS 9, es desconocido y Apple no ha hecho ningún pronunciamiento al respecto.

Por otro lado, un caso paradigmático sobre el acceso a dispositivos cifrados por parte de autoridades judiciales, es el que se presentó entre Apple y el Departamento de Justicia, en representación del FBI y la DEA.

Un tribunal de Brooklyn, precedido por el Magistrado Federal James Orenstein, decidió respecto de un hombre -dueño de un iPhone 5S- acusado de traficar con anfetaminas. Los agentes de la Agencia Estadounidense Antidrogas (DEA) solicitan una orden al juez para que Apple ayudase en la labor de indagar los datos del iPhone.

El magistrado rechazo la solicitud de la orden, en tanto “Apple no es responsable de que sus aparatos se usen para vender drogas”, y da una interpretación a la Ley de Mandatos Judiciales de 1789, en donde el juez tiene discrecionalidad para autorizar o no la colaboración en este tipo de órdenes.

El Departamento de Justicia se pronunció de la siguiente manera:

“Estamos muy molestos con el veredicto del magistrado, pensamos hablar con él en los próximos días. Queremos dejar claro que Apple accedió a colaborar para dar con los datos del móvil, como pasó tantas otras veces en las mismas circunstancias. Este teléfono (por el de San Bernardino) podría tener pruebas que nos ayuden en la investigación del delito. Vamos a seguir con el proceso para intentar conseguirlas”.

En la actualidad y como consecuencia de los casos expuestos, un grupo de senadores en Estados Unidos analiza una iniciativa para que las empresas de tecnología, permitan el acceso a los datos cifrados con la autorización de órdenes judiciales.

La Comisión de Inteligencia del Senado estadounidense, ha indicado que busca dar más facultades a las corporaciones policiacas estadounidenses. Richard Burr, presidente de la Comisión, ha dicho que se trata de una orden de descifrado a solicitud, en la cual “los consumidores tienen derecho a buscar soluciones para proteger sus datos (…), sin embargo, no creo que esas soluciones deban estar por encima de la ley”[5].

La Ley de Cumplimiento a las Órdenes Judiciales se encuentra en trámite[6].

  •  Amazon Echo como testigo de asesinato

El 28 de diciembre de 2016 Jame Andrew Bates, fue acusado de estrangular a su amigo Victor Collins después de una noche de fiesta. El señor Collins fue encontrado ahogado en la bañera de su casa y Bates es el principal sospechoso. No obstante, el material probatorio fue insuficiente para alegar su culpabilidad.

En el lugar de los hechos fue encontrado el dispositivo echo, un cilindro de veintitrés centímetros que habla y responde preguntas, responde bajo el nombre ‘Alexa’ y cumple la función de asistente. Cuenta con una matriz de sensores de 7 micrófonos, altavoces que incluyen un woofer/tweeter y un control remoto. Las funciones de comando de voz son gestionadas por el servicio de Amazon.

Las autoridades en Arkansas, para descartar la cuartada del acusado, enviaron peticiones a Amazon para acceder a los registros del altavoz inteligente. Ante las dos órdenes de registro, Amazon se negó a compartir la información enviada por el parlante a sus servidores, incluso uno de los representantes de la firma indico que: “Amazon no divulgará la información del cliente sin una demanda legal válida y vinculante debidamente notificada”. Adicionalmente, explicó que el Echo no almacena frases y el audio asociado solo es accesible a través del almacenamiento en la nube, la cual solo puede ser accesible a través del titular de la cuenta.

Finalmente, el Departamento de Policía en Bentonville fue capaz de extraer la información necesaria por sus propios medios, así como los datos de un teléfono inteligente LG de Collins, Sin embargo, no le fue posible acceder a un teléfono Huawei Nexus de Bates, ya que este había sido protegido por un código de bloqueo. La policía habría podido acceder a los dispositivos a través de la orden de registro del domicilio.

Agrega la investigación, que uno de los elementos materiales probatorios en el caso fue un termostato Nest, un sistema de alarma Honeywell que funciona como medidor de agua inteligente de la bañera, indicando que había 636 litros de agua en la bañera durante el asesinato.[7]

  • Standard Innovation Class Action

Hace poco, dos personas presentaron ante un Tribunal Federal estadounidense una acción colectiva contra la compañía Standard Innovation, fabricante de juguetes sexuales que se conectan a Bluetooth para la gestión del dispositivo.

La razón de la class action se fundamenta en la vulnerabilidad que tiene el dispositivo y el posible acceso de los datos personales por parte de terceros y la compañía productora, puesto que dos hackers en la conferencia “Hacking the Vibrating Internet of Things” demostraron que era posible tomar remotamente el control del vibrador y activarlo.

Las funcionalidades del vibrador We-Vibe son personalizadas e incluyen funciones de texto y chat, por lo que es necesario que los usuarios descarguen la aplicación móvil We-Connect en sus celulares. Al instalarse, se vincula el vibrador y los consumidores podrán utilizarlo de forma remota.

En la demanda se dice que “La información de uso recopilada por Standard Innovation a través de We-Connect es extraordinariamente íntima y privada”, y que en ningún momento se notificó sobre la recaudación de los datos. “Standard Innovation recopiló información de uso a nivel individual, a menudo vinculada a las direcciones personales de los usuarios”, “la firma violó la confianza de sus clientes, devaluó sus compras” y “violó las leyes federales y estatales en el proceso”. La class action se justifica puesto que 300.000 personas compraron los dispositivos We-Vibe y alrededor de 100.000 descargaron y usaron la aplicación.[8]

Antes de darse tramite a la acción, la compañía acordó pagar $ 3,75 millones para resolver la demanda y así indemnizar la vulneración a la privacidad, en tanto que los usuarios no tenían conocimiento que la compañía accedía a su información personal. Igualmente, se acordó que Standard Innovation dejará de grabar la información personal de los usuarios y destruirá cualquier información recopilada.

Un portavoz de la compañía resalto que:

“Respondimos rápidamente a las preocupaciones sobre privacidad y seguridad de las aplicaciones. Aumentamos nuestro aviso de privacidad, aumentamos la seguridad de las aplicaciones, ofrecimos a los clientes más opciones en los datos que comparten y seguimos trabajando con expertos líderes en privacidad y seguridad para mejorar la aplicación “[9].

  • Pulsera Fitbit como material probatorio aportado por el usuario

En Calgary (Canadá) una mujer sufre lesiones personales, luego de un accidente de tráfico que involucraba a su trabajo. Dicho menoscabo a su salud, le implicó el no poder desenvolverse adecuadamente en sus labores, por lo que decide alegar el pago de una indemnización por parte de su empleador. La mujer acude a una firma de abogados, quienes encuentran que los datos que recauda la pulsera Fitbit de su clienta, respaldado asi la veracidad de sus afirmaciones.[10]

Es así como en las pruebas aportadas en la demanda, tuvieron datos recogidos por la pulsera Fitbit y los compararon con los de una consultora especializada que recopila información similar de la media de la población. La intención de los abogados era demostrar que la actividad física de su clienta, había bajado en consideración a las otras personas con su edad y género.

En este caso no se dio debate sobre el tratamiento de los datos personales, en tanto fueron aportados voluntariamente por el usuario en un proceso que le favorece, poniendo de presente la posibilidad de usar a los objetos inteligentes como prueba en procesos judiciales. El problema es que este tipo de hipótesis pone sobre la mesa la manipulabilidad de los datos que recaban estos objetos, posiblemente llegando a afectar su validez y su estimación probatoria.

En cualquier caso, el juez requerirá la valoración judicial de este elemento probatorio a través de una experticia técnica, puesto que tiene prohibido usar su conocimiento privado, ciñéndose meramente a las apreciaciones jurídicas que le correspondan.[11]

[1] El primer estudio se hace por parte de la ITU y se denominó ITU: Internet Reports 2005: The Internet of Things. Disponible en: http://www.itu.int/osg/spu/publications/internetofthings/

[2] Resolución 828 del 11 de Mayo de 2015: Por la cual se adopta el Plan Estratégico Sectorial e Institucional del Ministerio de Tecnologías de la Información y las Comunicaciones para el periodo 2014 – 2018. Disponible en: http://www.mintic.gov.co/portal/604/w3-article-11125.html

[3] APPLE INC’S motion to vacate order compelling APPLE INC. to assist agents in search, and opposition to government’s motion to compel assistance. Disponible en: https://es.scribd.com/doc/300522151/Motion-to-Vacate-Brief-and-Supporting-Declarations

[4] Government’s status report. Distrito Cental de California. Disponible en: http://apps.washingtonpost.com/g/documents/national/governments-status-report/1913/

[5] Expansión México (2016). Un proyecto de ley obligaría a Apple a desbloquear sus iPhones. Disponible en: http://expansion.mx/tecnologia/2016/04/14/un-proyecto-de-ley-obligaria-a-apple-a-desbloquear-sus-iphones

[6] Proyecto de Ley para requerir información de datos por parte del Estado. Disponible en: https://www.documentcloud.org/documents/2801010-Compliance-With-Court-Orders-Act-of-2016.html

[7] BBC Mundo. (2017). El parlante de Amazon Echo que puede ser el testigo clave de un asesinato. Disponible en: http://www.bbc.com/mundo/noticias-38455039

[8] Class Action complaint and demand for jury trial. STANDARD INNOVATION (US), CORP., d/b/a WE-VIBE, a Delaware corporation. Disponible en:  https://consumermediallc.files.wordpress.com/2017/03/gov-uscourts-ilnd-330977-1-0.pdf

[9] Freytas-Tamura, K. (2017). Maker of ‘Smart’ Vibrators Settles Data Collection Lawsuit for $3.75 Million. Nytimes.com. Disponible en: https://www.nytimes.com/2017/03/14/technology/we-vibe-vibrator-lawsuit-spying.html?_r=0

[10] FM, Y. (2014). Fitbit vuelve a los juzgados, pero esta vez como testigo. Genbeta.com. Disponible en: https://www.genbeta.com/actualidad/fitbit-vuelve-a-los-juzgados-pero-esta-vez-como-testigo

[11] González, M. (2014). El wearable que delató al asesino. Xataka.com. Disponible en: https://www.xataka.com/wearables/el-wearable-que-delato-al-asesino

Un comentario en “Algunos casos jurídicamente relevantes en el Internet de las Cosas”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *