Regulación TIC

Regulación TIC 2021: Cuatro cosas a las que mirar

Desde la regulación Big Tech hasta el inminente marco legislativo de IA, en lo que se refiere a la regulación TIC, he identificado cuatro áreas de las que estar pendientes en 2021.

 

  1. Regulación de los gigantes tecnológicos

 

El Big Tech lleva un tiempo en el radar regulatorio y legislativo, con multas europeas antimonopolio impuestas sobre Google y la posterior introducción de multas más graves con el RGPD.  Mientras que se han tramitado una serie de casos antimonopolio contra Facebook US a finales de 2019, la última propuesta de la Comisión Europea trae importantes innovaciones en la regulación Big Tech.

La Digital Markets Act crea algo nuevo: regulación asimétrica basada en el poder de mercado de los gigantes tecnológicos. Mientras que la Digital Services Act se construye en la filosofía existente de protección del consumidor, que sólo acusa la asimetría entre el consumidor y la empresa, la Digital Markets Act sólo impone medidas en aquellas plataformas digitales que tienen una posición intermediaria sólida y duradera. Este enfoque es similar a la regulación asimétrica de los operadores de telecomunicaciones con Poder Significativo de Mercado. 

En una manera que recuerda a la regulación de telecomunicaciones, la Digital Markets Act busca garantizar acceso a las plataformas Big Tech “deconstruyendo” algunas de sus características. En consideración de la reticencia de los reguladores y legisladores para actuar sobre el contenido de internet desde finales de los 1990s, tales medidas ex ante pueden considerarse realmente históricas. 

 

  1. Regulación IA

 

Tras la introducción de normas sobre elaboración de perfiles e intervención humana en el RGPD, las Directrices Éticas para una IA Fiable preparadas por el Alto Grupo de Expertos en Inteligencia Artificial (AI-HLEG) han aportado importantes pistas acerca de una acción legislativa horizontal en el área de IA. 

Después de una consulta pública que tuvo lugar en 2020, la Comisión Europea espera desvelar una propuesta legislativa para la regulación de la IA en el primer trimestre de 2021. Queda por ver hasta qué punto convertirán los legisladores europeos los principios éticos identificados por el AI HLEG, tales como la acción y supervisión humanas o la solidez técnica y la seguridad, en normas obligatorias y vinculantes.

 

  1. Código Europeo de las Comunicaciones Electrónicas (EECC)

 

El EECC, una nueva Directiva que incorpora la mayor parte de la legislación sobre comunicaciones electrónicas de la UE, debería haberse implementado el 21 de diciembre de 2020.  Con algunos Estados Miembro aún sin cumplir los plazos establecidos, normalmente debido al COVID-19, la Comisión Europea ya ha adoptado un Reglamento Delegado sobre tarifas de terminación de voz en la UE tanto para llamadas fijas como móviles, lo cual reduce los precios mayoristas de llamadas de voz dentro de la UE con el objetivo de reflejar tal reducción en los precios retail que asumen los consumidores.

El impacto que tendrá el EECC en los mercados de telecomunicaciones aún está por ver. La nueva Directiva ofrece a los reguladores nacionales mayores opciones para enfrentarse a los fallos de mercado a través de compromisos de los agentes dominantes. Moderniza y armoniza las normas con la vista puesta en el 5G y las tecnologías que le siguen, e introduce regulación para la protección de consumidores que utilizan servicios de comunicaciones OTT no vinculados a números. Esto último ha estado hasta ahora excluido de la regulación del sector de telecomunicaciones. 

Los efectos prácticos dependerán en su mayoría de la implementación en los Estados Miembro. Por ejemplo, ¿serán los reguladores capaces de contener las medidas regulatorias a fin de fomentar la aparición de actores de infraestructura de banda ancha exclusivamente mayoristas? La implementación a nivel nacional también será crucial para recoger todos los beneficios del nuevo espectro de normas de gestión, conforme a Vesna Prodnik de Vafer, una consultora especializada en telecomunicaciones móviles: “Los Estados Miembro aún tienen gran discrecionalidad en cuanto a las reglas exactas para simplificar la ubicación de las inalámbricas en áreas pequeñas, que son cruciales para la densidad de red 5G necesaria.”

 

  1. Identidad electrónica

 

Conforme más empresas y particulares se pasan al contexto online debido a la pandemia del COVID-19, los fraudes de identidad online se descontrolan en mayor medida. ¿Deberían los gobiernos centralizar su enfoque a la identidad electrónica? ¿O deberíamos basarnos en soluciones de identidad ofrecidas de manera descentralizada y comercial?  ¿Debería todo el mundo recibir un certificado electrónico u otros medios para verificar quiénes son en el entorno online? 

El Reglamento europeo eIDAS ha introducido un marco de interoperabilidad para que los ciudadanos europeos utilicen sus propios esquemas nacionales de identificación electrónica   (eIDs) para acceder a los servicios públicos en otros Estados Miembro. También ha creado un mercado interno para servicios de confianza- a saber, firmas electrónicas, sellos electrónicos, sello de tiempo, servicio de entrega electrónica y autenticación web. – asegurando que funcionarán a través de las fronteras y tienen el mismo estatus legal que los equivalentes nacionales en papel. 

A pesar de estos desarrollos, parece que aún estamos lejos de una identificación electrónica uniforme y universalmente aceptada, especialmente a nivel internacional. Un mayor empuje puede venir de la revisión por parte de la Comisión Europea del Reglamento eIDAS, que está actualmente en proceso tras una consulta pública abierta. 

 

Próximos pasos para empresas TIC

 

  • Comprueba cómo tus operaciones online podrían verse afectadas en el future por las obligaciones adicionales propuestas por la EU Digital Services Act.
  • Si desarrollas soluciones IA, considera realizar una evaluación de impacto de la ética de la IA para asegurar viabilidad a largo plazo. 
  • Comprueba si alguno de los servicios que ofreces online podrían clasificarse como servicios de comunicación interpersonal y por tanto estar sujetos al EECC. 

En Aphaia continuamos al día de todos estos desarrollos. Contacta con nosotros si tu empresa requiere asistencia al respecto. Puedes visitarnos en https://aphaia.consulting para explorar todos los servicios que ofrecemos. 

Las oportunidades para los marketplaces online

Las oportunidades para los marketplaces online se han incrementado durante la pandemia del COVID-19

Las oportunidades para los marketplaces online se han visto incrementadas durante la pandemia del COVID-19, desde ropa de segunda mano hasta obras de arte. Dado que los riesgos para la privacidad también aumentan a la vez que lo hacen el número de usuarios y operaciones, este es un buen momento para que las plataformas revisen sus enfoques de protección de datos.

Este artículo es continuación de mi anterior artículo sobre la adaptación de los negocios al COVID-19 publicado como parte de las publicaciones en el Blog de Aphaia sobre la adaptación de la industria. Me he basado en mi propia experiencia y la del equipo de Aphaia, junto a algunas aportaciones de clientes y expertos en el sector. 

Se impone la cultura de los online marketplaces

Conforme a Fabio Occhiuzzo, Operations Manager en Depop, un marketplace global de ropa y artículos de moda de segunda mano, «este momento único en el tiempo animará cada vez a más y más gente a reconsiderar la re-venta como una alternativa a las compras de artículos nuevos y por lo tanto generará un gran cambio en la manera en que se consume la moda, especialmente a medida que vemos que la pandemia revela la realidad de las tiendas físicas y los beneficios del comercio digital”. 

Las aportaciones de Depop evidencian que esto va más allá de la disponibilidad y conveniencia, y que alcanza un amplio cambio cultural, medioambiental y ético. «También sabemos que, con la re-venta como una de las primeras funciones de nuestro marketplace, lideramos el consumo responsable de moda y esta pandemia está realmente arrojando luz sobre la realidad del actual ecosistema de la moda. Depop representa un movimiento en la dirección correcta de la moda porque alargamos la vida de millones de artículos, lo cual ayuda a reducir los desechos. Queremos utilizar nuestro alcance para generar cambios positivos en la industria, y de este modo hacer la moda algo circular. Esto implica generar una cultura que se basa en la auto-expresión, creatividad y la creación de valor en las cosas que ya posees. Y esto es algo que estamos escuchando en nuestra comunidad cada vez más y más- Ellos son los ganadores en este movimiento y esperan que los consumidores estén más comprometidos con el medioambiente cuando esta pandemia acabe”.  

Arianna Perini habla sobre la evolución de esta tendencia hacia la venta online y remota: «El COVID-19 sólo ha impulsado este desarrollo. Durante las subastas de arte, por ejemplo, la mayoría de lotes han sido vendidos mediante pujas telefónicas, lo cual demuestra que la presencia física no es esencial para comprar una obra de arte, independientemente de su precio”. Ella además señala la emergencia de algunos marketplaces de arte que, de una forma no diferente a la de otros marketplaces online de otras industrias, han reducido las barreras de entrada para los actores más pequeños. Perini comenta que «Gagosian y Zwirner han abierto su Plataforma online para albergar galerías más pequeñas que no podían permitirse lanzar su propia plataforma. El mismo giro han dado las principales ferias de arte, como Art Basel y Frieze». 

Online marketplaces y RGPD

Las implicaciones de protección de datos para los marketplace online podrían a simple vista ser similares a las de otros negocios online. Cierto, un marketplace online tradicional trataría datos de sus clientes, tanto vendedores como compradores. Sin embargo, también podrían verse involucrados datos de otras personas: por ejemplo, vender una obra de arte conllevaría el uso del nombre del artista, entre otra información. Vender un artículo de moda puede implicar una fotografía del modelo donde el mismo sea identificable. Bajo cada uno de estos escenarios, un Marketplace online necesita estar preparado para tratar datos de terceros que no son sus clientes, lo cual debe reflejarse en sus políticas de privacidad. 

Además, dependiendo del modelo de negocio, algunos marketplaces online podrían ser encargados del tratamiento por cuenta de sus participantes. En ese caso, precisarían la firma de un acuerdo de encargado del tratamiento que incluya toda las cláusulas obligatorias mencionadas en el Artículo 28 RGPD. Y, lo que es más importante, un encargado de tratamiento no puede tratar los datos de sus clientes por cuenta propia. En consonancia, este modelo sería típicamente apropiado para aquellas plataformas que se centran en la tecnología subyacente del mercado y no pretenden beneficiarse del contenido analítico para sus propios fines”.  

Marketplaces online, Reglamento ePrivacy y Directiva NIS 

Los marketplace online normalmente incluyen datos menos comunes en otros servicios online. De forma notable, algunos marketplace online normalmente incorporan la funcionalidad de comunicación y mensajería “peer-to-peer” que permite el contacto directo entre compradores y vendedores.  Mientras que tales plataformas normalmente requieren un cierto grado de supervisión con fines de prevención de fraude y seguridad, deberíamos también destacar que el contenido de los mensajes está sujeto a unas expectativas de privacidad más altas que cualquier otro tipo de datos tratados. En concreto, la propuesta para el nuevo Reglamento ePrivacy extiende la protección de la privacidad de las comunicaciones a los servicios de mensajería que son complementarios a otros servicios, como los marketplaces online o el juegos online. 

Además, los marketplaces online pueden estar sujetos a las exigencias de seguridad de la Directiva (EU) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como la Directiva NIS. Se incluye aquí un requisito de notificación separada de los incidentes o brechas de seguridad, de forma adicional al requisito similar del RGPD.

Consejos clave sobre privacidad de los datos para los Marketplaces online

Si eres un marketplace online y consideras que no has cubierto todos los aspectos de privacidad en tu empresa, aquí te dejo algunos consejos: 

  • revisa tu Política de Privacidad: asegúrate de que abarca todos los datos que estás tratando y categorías de interesados de los cuales tratas datos;
  • revisa el régimen de tu aplicación de mensajería: ¿se da el equilibrio correcto entre prevención de fraude, seguridad y privacidad de los participantes? 
  • Comprueba si tu marketplace online podría estar sujeto a la legislación nacional de tu país sobre las obligaciones de comunicar incidentes de seguridad de la Directiva NIS. 
  • Comprueba si tu Política de Privacidad deja claro si estás usando Inteligencia Artificial (IA) para elaborar perfiles de los compradores y vendedores a fin de conectar ambos; 
  • Asegúrate de que los compradores y vendedores están informados de aquellas partes con las cuáles podrías compartir sus datos, incluidas sus preferencias; 
  • Si actúas como encargado del tratamiento para los vendedores, asegúrate de que tus Términos del Servicio incluyen los requisitos del Artículo 28 RGPD para el acuerdo del encargado del tratamiento. 

¿Tienes un Marketplace online y te surgen dudas sobre cómo cumplir con todos los requisitos de privacidad y protección de datos? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD,  así como para la CCPA y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Adaptación de las empresas al COVID-19

Adaptación de las empresas al COVID-19 y protección de datos

No parece que las medidas tomadas por las empresas para adaptarse a la crisis del COVID-19 vayan a ser temporales, y esto conlleva una serie de consecuencias para las operaciones de tratamiento de datos. 

En este artículo he recogido algunas opiniones clave de algunos expertos de varias industrias y las he puesto en común con mi propia experiencia y la del equipo de Delegados de Protección de Datos (DPO) de Aphaia.

Más oportunidades significa más datos

Ha quedado claro que la falta de oportunidades “offline” ha creado un gran número de oportunidades online en aquellas industrias que no dependen necesariamente del contacto físico con el cliente o de una prestación presencial. Lo describe bien Susana Cárdenas, fundadora del galardón Cárdenas Chocolate: «Es increíble como la situación actual ha cambiado nuestro negocio. Por ejemplo, los hoteles y restaurants están cerrados y las ventas están suspendidas. Sin embargo,  aquellos clientes que venden online han agotado nuestro chocolate porque la gente lo ha pedido como regalo para sus seres queridos durante la cuarentena”. 

Un cambio aún más notable puede observarse en el mercado del arte. Conforme a Arianna Perini, una profesional de gestión del arte “Las casas de subastas sólo han tenido ventas online desde hace tres meses, y la mayoría de galerías globales han abierto salas online de visita para permitir a los clientes “ver” y comprar sus obras de arte. Un buen ejemplo lo encontramos en Gagosian and Zwirner”. Ms Perini destaca también que muchas startups se han aprovechado de esta situación con sus ideas para digitalizar y democratizar el mercado del arte, como Vortic, lanzado por Victor Miro en Londres. Aunque la posibilidad de vivir el arte físicamente es atemporal, ella prevé un giro permanente hacia el plano online incluso después de que la situación haya vuelto a la normalidad. 

Mientras que tales acontecimientos pueden significar para vendedores experimentados un aumento no sólo en los beneficios sino también en los datos de consumidores, aquellos otros que acaban de descubrir la venta online pueden encontrarse con la guardia baja en lo que se refiere a los requisitos para el tratamiento legítimo de datos. Y en este contexto, algunos negocios han dejado a un lado incluso las condiciones básicas de cumplimiento como el principio de transparencia del tratamiento de sus datos, pero también hemos visto otros que temen que cualquier cosa que hagan con los datos pueda ser ilegal, por ejemplo la falsa creencia de que cualquier actividad que incluya datos personales de sus clientes está condicionada al consentimiento de los mismos. 

Transformar tu negocio online no debería tomarse a la ligera

Así, si bien mover tu negocio al plano online es ahora mucho más fácil de lo que era hace unos años, parece que hay una gran diferencia entre aquellas empresas cuyo ADN ya incluía actividad online antes de la pandemia del COVID-19, y los que no. Este ADN normalmente tiene poco que ver con el hecho de que las compañías vendan bienes físicos o tengan que prestar servicios en persona.  

Aphaia lanzó en 2017 nuestro producto de subcontratación de DPO, que se basa principalmente en interacción colaborativa con el cliente en Trello. Por aquel entonces, la industria de la privacidad aún se desarrollaba sobre el enfoque de consultores invirtiendo largas horas en las instalaciones de los clientes, un modelo de negocio que es insostenible para startups tecnológicas, que están ahora obligadas por el RGPD a designar a un DPO.  Sin embargo, si el mercado ha permitido que este tipo de modelos de negocio heredados sobreviviesen, el COVID-19 le ha puesto fin. Si tu negocio puede operar online, debe operar online. 

Conforme a Olga V. Mack, CEO de Parley Pro, una colaborativa e intuitiva plataforma de contratos, la migración de los servicios legales hacia el teletrabajo puede enfrentarse a lo que a primera vista resultan ser retos básicos: los trabajadores con portátiles y buen acceso a internet y un buen plan anti catástrofes para la compañía. También se podría añadir el uso de servicios en la nube seguros que permitan la cesión de datos con encriptado de extremo a extremo y que cumplan con los términos del Artículo 28 RGPD. 

Consecuencias indeseadas para el aumento de los negocios online 

Desafortunadamente, nuevas oportunidades para negocios legales también significan nuevas oportunidades para negocios ilegales cuyo objetivo sean los datos y pertenencias de la gente. Y sus efectos han sido más tangibles de lo que uno podría pensar. Conforme a Pamela Mcloughlin, Head of Digital Money & New Ventures en Hello Soda, la pandemia del COVID-19 ha generado un pico en el tráfico del e-commerce, pero un aumento del mismo viene unido a un incremento en el fraude: «Esto no es ni siquiera específico de una industria; hemos detectado que muchos de nuestros clientes han vivido un aumento en el fraude. Nosotros, como prestadores de servicios KYC, prevención del blanqueo de capitales y verificación de identidad, hemos tenido que dar respuesta y gestionar un influjo de negocios que necesitan integrar herramientas antiblanqueo de manera urgente y también automatizar sus procesos de verificación de identidad, lo cual antes se hacía de forma manual”.

Huelga decir que aquellas empresas que traten datos financieros y otras categorías especiales, como datos de salud principalmente, necesitan asegurarse de que sus canales de comunicación y medios de almacenamiento son seguros para prevenir cualquier potencial brecha de seguridad. 

Nuestros consejos para gestionar bien la protección de datos después del COVID-19

Mientras que las consecuencias de privacidad del COVID-19 pueden variar de un negocio a otro, hay algunos mensajes universales que pueden aplicarse: 

  • Si anteriormente habías realizado venta de bienes o servicios online sólo de vez en cuando pero ahora lo haces de manera regular, deberías revisar tu política de privacidad- o elaborar una si no la tienes todavía. Podría sorprenderte la cantidad de clientes que realmente se lee esos documentos y presentan quejas a las autoridades de control si no les gusta lo que ven;
  • Revisa tus canales de comunicación y asegúrate de que las principales transacciones de información están encriptadas de manera adecuada;
  • Revisa tu lista de encargados y sub-encargados que utilizas para almacenar en la nube, analizar o enviar información de tus consumidores o empleados. Todos ellos deben contar con los términos del artículo 28 RGPD para sus servicios. Sin excusas, sin excepciones;
  • Si tus empleados están usando sus propios dispositivos (BYOD) para trabajar desde casa, asegúrate de que tienen instalada la debida protección anti-malware;
  • Lista las obligaciones y procedimientos para proteger los datos personales de tus empleados en una política de protección de datos interna; 
  • Asegúrate de que estás listo para afrontar una potencial brecha de seguridad, la cual debería ser notificada a la autoridad de control tras 72 después del descubrimiento. 

 

Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD,  así como para la CCPA y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Aplicación legislativa y AI

Regulación del derecho a la privacidad en la era de la IA

El año 2019 ha demostrado que las reglas del RGPD acerca de la elaboración de perfiles con IA no podrían haber sido más oportunas. Desde paneles publicitarios inteligentes hasta dispositivos de audio en casa, la IA se ha desplegado para dar sentido a todo lo que exponemos sobre nosotros mismos, incluso las caras y las cosas que decimos informalmente. Al margen de estos acontecimientos, que en muchas ocasiones han despertado inquietudes, el cumplimiento de la legislación en el sector ha sido algo lento. ¿Será 2020 el año en que la regulación sobre la privacidad devuelve por fin el golpe?

Tecnología de IA

A pesar del endurecimiento de la legislación, parece que sigue habiendo un claro sesgo hacia el despliegue de la tecnología sin tener en cuenta si su implementación satisface los requisitos de cumplimiento normativo. Merece la pena apuntar que la tecnología, de por sí, rara vez incurre en un «incumplimiento», sino que es la forma en que se usa la que genera problemas.

Pongamos por ejemplo los paneles publicitarios inteligentes capaces de leer las expresiones faciales que se han desplegado en múltiples ubicaciones públicas y concurridas en 2019. ¿Se ha sometido a estos proyectos a la evaluación del impacto sobre la privacidad de la Regulación General de Protección de Datos (RGPD), tal como exige la ley? Debemos apuntar que la propia monitorización por vídeo de los espacios públicos ya conlleva considerables riesgos para la privacidad. Al añadir a esta monitorización por vídeo un análisis en tiempo real de las características faciales, el RGPD ofrece al consumidor el claro derecho a objetar por la elaboración de perfiles. Si hacemos caso omiso a las obvias dificultades para objetar a un panel publicitario en una calle concurrida, ¿cómo se observará en el futuro la objeción del consumidor a esta elaboración de perfiles la siguiente vez que pase por delante?

El aprendizaje automático nos permite dar cada vez más sentido a enormes cantidades de datos. Por si no lo parecían ya, se pronostica que las soluciones que se lancen en 2020 pueden percibirse incluso como más intrusivas. Es irónico, no obstante, que dicha percepción puede no ser aplicable en el caso de ciertos sistemas inteligentes desarrollados para crear vínculos más sutiles, menos intrusivos a la vista y por tanto más efectivos para vincular nuestras preferencias y las ofertas comerciales que se nos presentan. Esto puede ayudarnos a entender qué aspecto de la publicidad dirigida detestamos más: la intrusión en la privacidad o la burda implementación de la tecnología.

La IA y la ley

La idea de que la ley es simplemente «incapaz de mantenerse al día con la tecnología» no solo es una respuesta inadecuada al problema, sino que también suele carecer de base como afirmación. El RGPD incorpora provisiones concretas acerca de la elaboración de perfiles y la toma de decisiones automatizada, creadas a medida para el uso de la inteligencia artificial en relación con el procesamiento de datos personales. Dicho procesamiento queda sujeto al derecho de obtener la intervención humana y al derecho de objetar al procesamiento. También existen limitaciones adicionales relativas a categorías especiales de datos. Algunos países de fuera de la UE han comenzado a adoptar principios similares a los del RGPD, entre ellos Brasil, que aprobó la Ley General de Protección de Datos (LGPD) en 2018.

La Ley de Privacidad de los Consumidores de California (CCPA), aunque está menos centrada específicamente en la IA, también empodera a los consumidores permitiéndoles prohibir la «venta de datos». Se trata de una medida que no es en absoluto irrelevante. Sin la posibilidad de recopilar y fusionar datos de diferentes fuentes, su valor para fines de aprendizaje automático puede disminuir considerablemente. Por otro lado, sin la posibilidad de vender datos, los incentivos para realizar análisis estadísticos excesivos de los datos se disipa en cierta medida.

A la hora de crear un marco más amplio para la regulación de la inteligencia artificial, la situación legal sigue estando menos clara por ahora. Los principios y las reglas se limitan actualmente a directrices no vinculantes, como las Directrices Éticas para una IA Fiable de la UE. Pero esto no afecta a los aspectos de privacidad por los que los reguladores europeos ya pueden imponer sanciones de hasta 20 millones de € o un 4 % de los ingresos mundiales de la empresa. Las sanciones de la CCPA son menores, pero se pueden multiplicar debido al número de usuarios afectados.

El panorama regulatorio de la IA

A principios de 2019, la autoridad francesa de protección de datos CNIL puso una multa de 50 millones de € a Google por su insuficiente transparencia en relación a la publicidad dirigida. Como indicó la CNIL, «la información esencial, como los fines del procesamiento de datos, sus periodos de almacenamiento y las categorías de datos utilizadas para la personalización de los anuncios están diseminadas en exceso a lo largo de diferentes documentos, con botones y enlaces en los que es necesario hacer clic para acceder a información complementaria». Aunque la multa no se acercó al límite máximo permitido por el RGPD, el caso abre la veda para que las autoridades de protección de datos hagan más pesquisas en 2020.

Por ejemplo: ¿están suficientemente explicados los algoritmos de aprendizaje automático y las fuentes de datos que se utilizan con ellos? Cuando las autoridades de protección de datos tratan de encontrar respuesta a estas preguntas, ¿confiarán en la información que aporten las empresas? Si no es así, podrían empezar a profundizar más en base a evidencias anecdóticas. ¿Cómo es posible que el usuario esté viendo un anuncio particular? ¿Se ha basado este hecho en un algoritmo sofisticado de aprendizaje automático o se han analizado datos que no debieran haberse analizado?

Hasta ahora, las batallas legales por la privacidad se han centrado principalmente en el cumplimiento formal, por ejemplo en los dos casos «Schrems». Pero las tendencias de uso de la IA en 2020 podrían obligar a los reguladores a mirar con más atención lo que está pasando en realidad en las profundidades de las cajas negras de dispositivos domésticos y en la nube. Mientras redacto este artículo, la UE acaba de dar un paso para imponer una prohibición temporal sobre el reconocimiento facial en espacios públicos.