Wearables y derecho: cuando el cuerpo se convierte en dato
La incorporación progresiva de dispositivos wearables, esto es, relojes inteligentes, pulseras de actividad o biosensores, ha transformado la relación entre tecnología y persona hasta un punto inédito, el cuerpo humano ya no solo es sujeto de derechos, sino también fuente constante de datos. Ritmo cardíaco, patrones de sueño, geolocalización o niveles de actividad física alimentan un flujo continuo de información que, en términos jurídicos, se sitúa en el núcleo más sensible de la privacidad.
Desde la perspectiva del Derecho europeo, el fenómeno se inserta claramente en el ámbito del Reglamento General de Protección de Datos (RGPD), que reconoce la protección de datos personales como un derecho fundamental y exige que su tratamiento respete principios como la minimización, la limitación de la finalidad y la seguridad desde el diseño. Sin embargo, los wearables tensionan estos principios, ya que la recogida de datos es masiva, persistente y, en muchos casos, difícilmente comprensible para el usuario medio.
Uno de los principales retos jurídicos radica en la naturaleza de los datos recopilados. Los dispositivos portátiles no solo registran información identificativa, sino también datos biométricos y de salud, considerados categorías especialmente protegidas. Su tratamiento indebido puede traducirse en consecuencias graves, desde escenarios de discriminación en el ámbito laboral o asegurador hasta la construcción de perfiles conductuales altamente intrusivos. A ello se suma su capacidad de inferencia, así combinando datos fisiológicos con datos contextuales (ubicación, rutinas, horarios, patrones de movilidad), puede reconstruirse con notable precisión el estilo de vida de una persona, sus hábitos e incluso, en ciertos supuestos, anticipar comportamientos futuros.
En este contexto, el consentimiento informado, el pilar clásico de la protección de datos, revela sus límites, ya que los usuarios no comprenden plenamente el alcance del tratamiento ni las posibles reutilizaciones futuras, de modo que el consentimiento tiende a convertirse en una formalidad más que en una garantía efectiva de autodeterminación informativa.
A estos desafíos estructurales se añaden riesgos prácticos que ilustran la dimensión real del problema. Un ejemplo paradigmático lo encontramos en el reciente caso difundido tanto por la prensa nacional e internacional, donde un descuido en el uso de dispositivos durante un entrenamiento militar permitió filtrar la localización exacta del portaaviones francés Charles de Gaulle al haber subido el usuario sus datos a la aplicación deportiva Strava. El episodio muestra cómo la combinación de geolocalización y hábitos registrados por dispositivos personales puede comprometer no solo la privacidad individual, sino también intereses colectivos de primer orden, incluida la seguridad nacional.
Lo anterior no se trata de una anomalía aislada, sino de la manifestación extrema de una lógica inherente a estos sistemas, ya que todo dato capturado es, potencialmente, un dato expuesto, reutilizado o correlacionado con otros para generar conocimiento adicional sobre el individuo.
Desde el punto de vista regulatorio, la Unión Europea ha comenzado a reaccionar ampliando las obligaciones de seguridad aplicables a los dispositivos conectados, incluidos los wearables, e imponiendo a los fabricantes medidas técnicas orientadas a evitar accesos no autorizados y la manipulación de datos.
No obstante, la rapidez de la innovación tecnológica supera con frecuencia la capacidad normativa, generando zonas grises en las que la responsabilidad jurídica se diluye entre fabricantes, desarrolladores de aplicaciones, proveedores de servicios, plataformas y terceros que acceden a los datos.
En la práctica, la discusión no se agota en la seguridad, sino que obliga a revisar las bases jurídicas del tratamiento y su coherencia con la lógica de estos dispositivos. El RGPD exige delimitar finalidades concretas, pero muchos ecosistemas de wearables combinan funcionalidades de bienestar, personalización, mejora del producto y explotación comercial, lo que incrementa el riesgo de deriva de finalidad y dificulta que el interesado anticipe usos posteriores.
A ello se suma el principio de minimización, donde incluso cuando un dato pueda ser técnicamente capturado, la pregunta jurídica es si resulta necesario para el servicio ofrecido y si existe una alternativa menos invasiva (por ejemplo, procesar localmente en el dispositivo, limitar la granularidad temporal o permitir el uso sin geolocalización).
También adquiere protagonismo la obligación de responsabilidad proactiva. La recogida sistemática y continuada de datos de salud o biométricos, junto con la posibilidad de elaborar perfiles, suele situar estos tratamientos en el perímetro de las evaluaciones de impacto en protección de datos, particularmente cuando concurren gran escala, monitorización y categorías especiales.
Ese enfoque obliga a identificar riesgos específicos (reidentificación, accesos indebidos, inferencias sensibles, uso secundario), a documentar medidas de mitigación y a articular garantías desde el diseño, como el cifrado, la seudonimización y políticas de retención estrictas. En entornos complejos, además, resulta clave clarificar los roles y responsabilidades (responsable, corresponsables, encargados), así como las cadenas de acceso a los datos que pueden incluir apps de terceros, proveedores de analítica o servicios en la nube.
Finalmente, los retos se agravan cuando los datos atraviesan fronteras o se integran en decisiones con efectos relevantes para las personas. La transferencia internacional de información generada por wearables, frecuente en infraestructuras globales, exige encaje con los mecanismos del RGPD y con garantías efectivas, especialmente tratándose de datos sensibles. Y, en escenarios como el empleo, los seguros o la financiación, la tentación de utilizar métricas de actividad, sueño o estrés como indicadores de rendimiento, riesgo o fiabilidad plantea preguntas de proporcionalidad, transparencia y no discriminación, además de límites asociados a la toma de decisiones automatizadas y a la elaboración de perfiles.
En todos estos casos, la promesa de control del usuario solo es real si se traduce en opciones comprensibles y operativas, como por ejemplo, configuraciones por defecto prudentes, paneles de gestión claros, revocación sencilla y acceso efectivo a derechos como la supresión o la portabilidad.
En definitiva, los wearables plantean una cuestión de fondo, ¿puede el Derecho seguir considerando los datos personales como una categoría estática cuando estos se generan de forma continua, automática y profundamente integrada en la vida cotidiana? La respuesta exige repensar no solo los mecanismos de consentimiento, sino también la gobernanza del dato y su ciclo de vida, reforzando la transparencia, la responsabilidad proactiva y, especialmente, el control efectivo del individuo sobre su información.
Porque, en última instancia, el verdadero desafío no es tecnológico, sino jurídico, el garantizar que, en la era de la cuantificación permanente, la persona siga siendo algo más que la suma de sus datos.
Accede al artículo completo de Carlota Parra, senior associate de ECIJA Madrid, aquí.
