Home Sociedad Juguetes conectados: la CNIL ha notificado públicamente el cese debido a una...

Juguetes conectados: la CNIL ha notificado públicamente el cese debido a una brecha de seguridad

El robot “I-QUE” y la muñeca “My Friend Cayla” forman parte de los denominados “juguetes conectados”. Responden a las preguntas de los niños sobre diversos temas, como los cálculos matemáticos o el tiempo. Los juguetes están equipados con un micrófono y altavoz y están asociados a una aplicación móvil que se descarga en teléfonos inteligentes o tablets. La respuesta es obtenida de Internet por la app y entregada al niño a través de los juguetes.

Alertado en diciembre de 2016 por una asociación de consumidores sobre la falta de seguridad de ambos juguetes, el Presidente de la CNIL (Comisión Nacional de Informática y Libertades de Francia) decidió realizar controles online en enero y noviembre de 2017. Además envió a la empresa, con sede en Hong Kong, un cuestionario en marzo de 2017.

Estos controles permitieron advertir que la empresa recoge una multitud de datos personales sobre los niños, su familia y amigos: voces, contenido de las conversaciones con los juguetes (que pueden revelar datos identificativos como una dirección o un nombre) pero también información que fue brindada previamente a través del formulario de alta de la app “Mi Amigo Cayla”.

Se han observado varias infracciones de la Ley francesa de protección de datos, en particular:

  • Violación del derecho a la intimidad por falta de seguridad
  • Los controladores de la CNIL observaron que cualquier persona ubicada a 9 metros de los juguetes, fuera de un edificio, puede conectar (o “emparejar”) un teléfono móvil a los juguetes a través de la tecnología inalámbrica Bluetooth estándar, sin tener que iniciar sesión (por ejemplo, con un código PIN o un botón en el juguete).
  • El individuo situado a tal distancia es capaz de escuchar y grabar las conversaciones entre el niño y el juguete o cualquier conversación que tenga lugar en las cercaní
  • La delegación de la CNIL también observó que era posible comunicarse con el niño cercano al producto a través de dos métodos: liberando, a través del altavoz, sonidos o palabras previamente grabadas con la aplicación “Dictaphone” disponible en algunos teléfonos móviles; o utilizando los juguetes con el “kit manos libres”. Sólo hay que llamar al teléfono conectado al juguete con otro para hablar con el niño que se encuentra cerca.

El Presidente de la CNIL consideró que la falta de seguridad en lo que se refiere a los juguetes, permitiendo por lo tanto que cualquier persona con un dispositivo equipado con la función Bluetooth pueda asociarse a él sin el conocimiento de los niños y los propietarios de juguetes, y acceder a las conversaciones entre amigos o familiares, infringe el artículo 1 de la Ley francesa de protección de datos, que dispone que la tecnología de la información “no violará la identidad humana, los derechos humanos, la intimidad o las libertades individuales o públicas”.

Falta de información de los usuarios de juguetes

Aunque la empresa procesa datos personales, la delegación de la Comisión observó que los usuarios de los juguetes no están informados del tratamiento de datos efectuado por la empresa. Además, no se les informa de que la empresa transfiere el contenido de las conversaciones a un proveedor de servicios en un país no perteneciente a la UE.

Por ello, el Presidente de la CNIL ha decidido enviar un requerimiento formal a la empresa GENESIS INDUSTRIES LIMITED para que cumpla la Ley de protección de datos en el plazo de dos meses.

En vista de la invasión de la vida privada, de la vulnerabilidad particular del público interesado y de la obligación de informar a las personas sobre esta falta de seguridad, el Comité Ejecutivo de la CNIL decidió hacer pública esta notificación formal.