La Inteligencia Artificial aplicada al e-commerce : una perspectiva del Parlamento Europeo

En este artículo profundizamos en el análisis realizado por el Parlamento Europeo sobre la Inteligencia Artificial aplicada al e-commerce. 

Este artículo es la Parte II de nuestras publicaciones sobre “IA y retail”. En la Parte I hablamos sobre cómo la IA puede ayudar a la industria del retail y ofrecerle oportunidades para minimizar el impacto del COVID-19 con respeto a la privacidad y los valores éticos. En esta segunda parte nos centramos en el documento publicado por el Parlamento Europeo, que abarca los desarrollos e innovaciones en IA aplicados al e-commerce.  

¿Qué podemos esperar del retail en el futuro? Los paneles inteligentes, los probadores virtuales y las cajas de auto-pago son sólo algunos de los elementos que liderarán la nueva era en la industria. ¿Qué tienen todos ellos en común? La respuesta es e-commerce e Inteligencia Artificial. 

La disyuntiva entre aprender y aprender de forma ética 

El actual estado del arte en matemáticas, estadística y programación hace posible el análisis de grandes cantidades de datos, lo cual ha impulsado el desarrollo del Machine Learning. Sin embargo, existe aún un gran vacío entre el alcance del desarrollo de la Inteligencia Artificial (IA) y el debido respeto a los principios éticos.  El Parlamento Europeo considera esencial que las tecnologías de IA abarquen los siguientes valores:  

  • Imparcialidad, o cómo evitar decisiones discriminatorias. 
  • Precisión, o la habilidad de proporcionar información fiable.
  • Confidencialidad, dirigida a proteger la privacidad de las personas implicadas. 
  • Transparencia, con el objetivo de hacer modelos y tomar decisiones que sean comprensibles para todas las partes involucradas. 

Conforme al documento, Europa aboga por una IA centrada en la persona (Human-centric AI), en beneficio de los humanos tanto a un nivel individual como de Sociedad y por sistemas que incorporen los valores éticos europeos por diseño, de modo que sean capaces de entender y adaptarse a entornos reales, interactuar en situaciones complejas y expandir las capacidades humanas, especialmente en el plano cognitivo. 

Riesgos y retos de la IA

La opacidad de las decisiones junto a los prejuicios y defectos ocultos en los conjuntos de datos de entrenamiento son señalados por el Parlamento Europeo como uno de los principales elementos que deben ser afrontados en la implementación de la IA. 

Los algoritmos basados en IA funcionan como cajas negras que son capaces de tomar decisiones según los movimientos, compras, búsquedas online y opiniones expresadas en redes sociales de los consumidores, pero no pueden explicar el motivo de una determinada predicción o recomendación. 

Los sesgos se derivan de la creación de los algoritmos conforme a las acciones humanas, lo cual puede implicar desigualdad, discriminación o, simplemente, malas decisiones. Esto afectará así al resultado, quizá sin que ni siquiera el sistema ni el sujeto objeto de la decisión final sean conscientes. 

Derecho a explicación 

El derecho a explicación puede ser la solución al obstáculo de la caja negra, y de hecho está ya previsto en el Reglamento General de Protección de Datos (RGPD): “En cualquier caso, dicho tratamiento debe estar sujeto a las garantías apropiadas, entre las que se deben incluir la información específica al interesado y el derecho a obtener intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión tomada después de tal evaluación y a impugnar la decisión”. Sin embargo, este derecho sólo puede garantizarse a través de una tecnología capaz de explicar la lógica de las cajas negras, y dicha tecnología no es una realidad aún en la mayoría de casos. 

De lo anterior surge la siguiente cuestión: ¿cómo pueden las empresas confiar en sus productos sin un proceso de comprensión y validación? Alcanzar una IA que pueda explicarse es esencial no sólo para evitar discriminación y desigualdad, sino también para crear productos con componentes de IA fiables, para proteger la seguridad del consumidor y para limitar la responsabilidad de la industria. 

Existen dos maneras the abordar el problema de la “IA comprensible”: 

  • Explicación por diseño: XbD. Dado un conjunto de datos de decisión, sería cómo construir un “sistema transparente de toma de decisiones” que ofrezca propuestas comprensibles. 
  • Explicación de las cajas negras: Bbx. Dado un conjunto de decisiones generado por un “sistema opaco de toma de decisiones”, sería cómo reconstruir una explicación para cada decisión. Este método puede dividirse en: 
    • Explicación del Modelo, cuando la meta es la explicación de toda la lógica del modelo opaco; 
    • Explicación del Resultado, cuando la meta es explicar las decisiones de un caso concreto, y 
    • Inspección del Modelo, cuando la meta es explicar las propiedades generales de un modelo opaco. 

El dilema de la dimensión social

¿Cuál sería el resultado de la interacción entre seres humanos y sistemas de IA? Al contrario de lo que se podría esperar, el Parlamento Europeo señala que un conjunto de individuos inteligentes (asistidos por herramientas de IA) no será necesariamente una multitud inteligente. Esto es debido al efecto inintencionado de las redes y el comportamiento agregado.

¿Qué implica esto para el retail? El efecto es el efecto denominado “los ricos se hacen más ricos”: los usuarios, contenidos y productos populares pasan a ser aún más populares.  También se hace mención al sesgo de confirmación, o la tendencia a preferir información cercana a nuestras convicciones.  Como consecuencia de los efectos de red de los mecanismos de recomendación de IA de los marketplace online, los motores de búsqueda y las redes sociales, se intensifica la desigualdad y los núcleos monopolísticos, en detrimento de la diversidad de ofertas y la facilidad de acceso a diferentes mercados.

El objetivo es que las recomendaciones basadas en IA y los mecanismos de interacción ayuden a evolucionar del modelo puramente centrado en la publicidad a otro impulsado por los verdaderos intereses de los consumidores. 

En este contexto, ¿cuáles serían las condiciones para que un grupo fuse inteligente? Hay tres elementos que son clave: diversidad, independencia y descentralización. A estos efectos, la industria del retail necesita diseñar nuevos mecanismos sociales de IA para Marketplace online, motores de búsqueda y redes sociales, centrados en la mitigación de la actual desigualdad introducida por la generación existente de sistemas de recomendación. Resulta esencial tener mecanismos que ayuden a los individuos a acceder a contenido, personas y opiniones diversas. 

¿Cuál es la meta?

La IA debería perseguir objetivos que sean relevantes para los consumidores y los proveedores, en lugar de centrarse únicamente en soluciones de éxito para los intermediarios. Este ecosistema sería beneficioso también para el sector público, y los mismos principios básicos se aplicarían tanto a los marketplace como a los servicios de la información, movido por el interés de los consumidores y proveedores de compartir contenido de alta calidad.  

Suscríbete a nuestro canal de YouTube para más contenido.

¿Estás enfrentando nuevos retos en la industria del retail durante la crisis del coronavirus? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

AI and retail industry

IA y la industria del retail después del COVID-19: oportunidades, privacidad y ética (Parte I)

Nuestras vidas han cambiado, y lo harán aún más después del COVID-19. La IA puede ayudar a la industria del retail y ofrecer oportunidades para minimizar el impacto de la pandemia, sin olvidar la privacidad y la ética.  

En los últimos dos meses hemos sido testigos de cómo al mundo entero ha cambiado: desde colegios hasta fábricas, todos hemos sustituido nuestras prácticas y actividades habituales por otras nuevas a prueba de pandemias. Ahora somos conscientes de cómo debemos lavarnos las manos, nos han enseñado cómo proteger nuestra red para trabajar y estudiar desde casa y somos muy cuidadosos en lo que concierne al uso de los datos de geolocalización por los Gobiernos. Una de las principales industrias que se ha visto afectada es el retail, y la IA puede ayudar a maximizar las oportunidad con respeto a la privacidad y la ética. 

¿Qué ocurre con la “nueva normalidad”? ¿Cómo va a ser nuestro día a día después del COVID-19? No podemos predecirlo con certeza, pero parece que la IA tendrá un rol clave en todo ello. En este artículo analizamos algunos de los usos de IA que pueden liderar la realidad post-pandemia, también desde una perspectiva ética. 

¿Qué cambios afrontará la industria del retail? 

La pandemia del COVID-19 es la primera de su tipo en los últimos cien años. Los efectos de la enfermedad resultarán, previsiblemente, en cambios en nuestros hábitos: el modo en que la gente compra, socializa, aprende, trabaja y establece sus preferencias no será el mismo que antes del brote del COVID-19.  

¿Cómo impactará entonces al retail? Pensemos en lo que podría ser un viernes típico en Reino Unido o en España. Te levantas, coges el tren hasta la oficina, comes con tus compañeros y después vas de compras a por el regalo de cumpleaños de tu hermano. Tras ello, quedas con tus amigos en un restaurante para celebrarlo. Suena normal, ¿verdad? Bien, quizá ya nunca más.

Mientras que, desafortunadamente, mucha gente perderá su trabajo debido a la pandemia, otros, aunque lo conserven, decidirán mantener una postura reservada en lo que concierne al gasto debido a la incertidumbre del futuro. Los dilemas económicos no serán sin embargo el único obstáculo en la industria del retail, pues el riesgo de contagio también limitará en gran medida nuestros movimientos. Si volvemos al ejemplo de arriba, quizá tu hermano habría decidido invitar a sus amigos a casa en lugar de llevarlos a un restaurante, para así reducir al mínimo el contacto con otras personas. Y tú, por tu parte, tal vez habrías comprado el regalo a través de un marketplace en la tienda online, en un descanso del teletrabajo. 

Parece por tanto que nuestras actividades de tiempo libre van a tomar una óptica más casera, lo cual también influirá en los productos que compramos. Por ejemplo, bebidas o comida premium para tomar en casa puede tomar mayor relevancia, al igual que electrodomésticos de alto nivel que hagan nuestra vida más fácil y agradable en la nueva normalidad. 

¿Qué cambios surgirán de la reinvención de la industria y cómo puede ayudar la IA? 

Hay dos categorías concretas de cambios, que hemos organizado en “físicos” y “digitales”. Una tercera podría venir de la combinación de ambos. 

Cambios físicos

Los minoristas necesitarán transmitir una sensación de seguridad al comprar en sus tiendas, lo cual requiere la implementación de un amplio rango de medidas, como: 

  • Gestión de colas. La IA puede ayudar a contar el número de personas que hay dentro de la tienda, y controlar sus movimientos, así como gestionar los tiempos de espera en las colas. Se puede diseñar una app a estos efectos, basado en la reserva de huecos y notificaciones SMS. 
  • Distanciamiento social. Los mapas de calor pueden ser útiles en lo que se refiere al control de aforo y distancia mínima de consumidores. La IA puede ser de ayuda en la identificación de las áreas de mayor tráfico, así como en el uso de los datos para rediseñar el espacio. 
  • Control de temperatura y síntomas. El reconocimiento facial y de emociones junto a los sensores de control de temperatura y otros tipos pueden conducir a la automatización de la identificación de clientes contagiados, a fin de prevenir la expansión del virus. 
  • Logística y reparto. Drones construidos con IA pueden repartir paquetes de forma autónoma, con respeto a la política de cero contacto. 
  • Auto-pago. La IA puede ser clave en la sustitución de los métodos tradicionales de pago por cajeros de auto-pago, o incluso la eliminación de dicha fase del proceso de compra en absoluto, mediante el uso de tarjetas virtuales con sensores y deep learning. 
  • Desinfección de productos. Uno de los principales obstáculos a las compras dentro de las tiendas es que el COVID-19 puede permanecer durante días en superficies, lo cual incluye la ropa y otros productos. Una solución a este problema podría pasar por el uso de probadores virtuales: mediante la combinación de IA y realidad aumentada, el cliente puede probarse la ropa en su propio cuerpo de forma virtual con un avatar personal en 3D. Esto sería de aplicación doble, pues también es válido para el ecommerce. 

Cambios digitales

Aunque los minoristas harán todo lo que esté en sus manos a fin de que las tiendas resulten atractivas para los clientes, las compras online se volverán inevitablemente más populares, lo cual será en detrimento de las tiendas físicas. En este contexto, la industria necesitará mejorar el ecommerce si quiere dar una respuesta adecuada a la demanda. Las siguientes alternativas pueden ayudar sacar el máximo provecho de la nueva normalidad en este sentido:  

  • Ofertas y publicidad dirigidas. Si se tiene en cuenta que hay muy pocos datos sobre los nuevos hábitos del consumidor, ser capaz de personalizar las ofertas de forma individual se volverá esencial. La elaboración de perfiles es crucial para prevenir el comportamiento y maximizar las oportunidades de atraer clientes al negocio. 
  • Diseño y usabilidad de las páginas de ecommerce. Prácticas como hacer la navegación simple o automatizar la búsqueda y ofrecer recomendaciones útiles hacen al cliente sentir cómodo mientras navega nuestra, lo cual incrementa así las opciones de compra.  
  • Rastrear y comparar diferentes mercados. ”Renovarse o morir”. Los nuevos tiempos requieren adaptación, y en los casos en que no hay datos históricos disponibles, usar otras técnicas como la comparación de países o cruzar insights de otros productos o servicios puede ser determinante a la hora de entender las nuevas tendencias.   
  • Marketing omnicanal. La experiencia de cliente estará en el centro del modelo de negocio, con lo que ajustarlo y adaptarlo al cliente basado en su comportamiento durante todo el proceso es necesario para ofrecer la mejor de las experiencias de compra. 
  • Emplazamiento de producto. En lo que concierne a la publicidad, habrá nuevos espacios que considerar, como Netflix o series y películas de otras plataformas “on demand”, que pueden ahora ser más rentables que los medios tradicionales. 

Sin embargo, la línea entre físico y digital es muy fina en un mundo tan sumamente conectado. Mientras que algunos ejemplos son claros, otros pueden resultar de una combinación de ambos. Por ejemplo, los paneles inteligentes funcionan con datos recogidos de la presencia física e información que proviene de nuestros dispositivos, como la huella digital. 

En este contexto, se pueden derivar grandes oportunidades de negocio de un análisis óptimo de los datos. Sin embargo, dado el carácter temporal de esta nueva normalidad causado por una pandemia, la flexibilidad continua siendo crucial, pues la capacidad de adaptarse a los cambios en la demanda tan pronto como sea posible será lo que efectivamente marque la diferencia, en un sentido o en otro. 

¿Podemos incorporar estos cambios de forma ética?

Parece que la IA desempeñará un papel protagonista en la adaptación de la industria del retail a los cambios de los hábitos de los consumidores. La finalidad que las empresas persiguen con la implementación de estos cambios es mantener su nivel de ingresos anterior a la crisis, o incluso aumentarlo, pero esto sólo puede conseguirse si se infunde confianza en los clientes. 

Todos las medidas descritas en las líneas anteriores se relacionan con la gestión de riesgos de salud, pero debemos recordar que, aunque en la actualidad son efectivamente los más importantes debido al brote del COVID-19, hay también otras preocupaciones a las que tienen que enfrentarse las compañías, sobre todo cuando algunas de ellas son inherentes a las nuevas medidas, como por ejemplo: protección de datos, privacidad y ética. 

Los clientes no podrán depositar su confianza una empresa que utiliza una IA que no cumple los requisitos para transmitirla. Es este el motivo por el que los sistemas de IA deberán ser: 

(1) legítimos –  respeto a todas las leyes y normativa aplicable.

(2) éticos – respeto a los principios y valores éticos.

(3) robustez – tanto desde la perspectiva técnica como en consideración de su entorno social. 

Se debería llevar a cabo una Evaluación de Impacto de Protección de Datos antes de implementar cambios que impliquen el uso de sistemas de IA, para valorar el alcance de los dilemas éticos y de protección de datos. Los siguientes aspectos deberían quedar cubiertos:  

  • Acción y supervisión humanas. Por ejemplo, un miembro del personal debería intervenir en los casos en que el precio cobrado por un producto en su cuenta virtual no sea correcto. 
  • Solidez técnica y seguridad. Por ejemplo, las empresas deberán asegurar que no se ejerce violencia física sobre una persona por parte de un sistema de IA a fin de bloquear el acceso a la tienda porque se ha detectado temperatura alta. 
  • Gestión de la privacidad y los datos. Se habrá de garantizar cumplimiento absoluto con el RGPD y otras leyes relevantes cuando se use tecnología IA. Por ejemplo, el acceso a los datos debería limitarse por usuario y rol, así como se tendrán que aplicar técnicas de pseudonimización siempre y cuando sea posible. 
  • Transparencia. Se deberán ofrecer mecanismos de trazabilidad a fin de posibilitar una explicación de todas las acciones de la IA. Los clientes necesitan ser conscientes de que están interactuando con un sistema de IA, y en consecuencia sería obligatorio que recibiesen información de sus capacidades y limitaciones. Por ejemplo, el responsable de los datos debería ser capaz de explicar la lógica detrás de la restricción de acceso a la tienda. 
  • Diversidad, no discriminación y equidad. Cualquier tipo de sesgo discriminatorio debería eliminarse, ya sea en el conjunto de datos de entrenamiento, como en la creación del algoritmo o en su aplicación. Por ejemplo, las tiendas deberán asegurarse de que no se le veta el acceso a nadie por un motive distinto de temperatura o síntomas sospechosos. Este podría ser el caso de alguien que vive en un barrio de bajos ingresos y que ha sido golpeado por el COVID-19, a quien se le prohíbe entrar a un centro comercial por el único motivo de provenir de dicha zona. Esto podría conducir a la marginalización de ciertos grupos vulnerables, o la exacerbación del prejuicio y la discriminación. 
  • Bienestar social y ambiental. Los sistemas de IA en este contexto no se utilizan sólo para mejorar los ingresos, sino que también sirven para prevenir la expansión del virus por el bien de la salud pública. 
  • Rendición de cuentas. Sería recomendable que las empresas contasen con medidas como seguros civiles para cubrir cualquier daño responsabilidad de los sistemas de IA. 

A principios de este mes el Parlamento Europeo publicó un informe sobre nuevos desarrollos e innovaciones en el campo de la IA aplicados al ecommerce. Lo analizaremos en detalle en la Parte II. 

Suscríbete a nuestro canal de YouTube para no perderte la Parte II. 

¿Estás enfrentando nuevos retos en la industria del retail durante la crisis del coronavirus? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

EDPB on Health Data

EL CEPD publica sus directrices para el tratamiento de datos de salud con fines de investigación durante el COVID-19.

En medio del brote del COVID-19, el CEPD ha adoptado unas directrices para el tratamiento de datos de salud con fines de investigación con el propósito de aclarar algunas dudas al respecto. 

En previsión de que no volveremos a la normalidad hasta que se disponga de una vacuna contra el COVID-19, investigadores de todo el mundo están concentrando sus esfuerzos en hallar resultados lo más rápido posible. En este contexto, son inevitables las preguntas en torno al papel que juega el RGPD en todo esto, de manera que el CEPD ha lanzado unas directrices para el tratamiento de datos de salud con fines de investigación, con el objetivo de proporcionar una guía básica al respecto. 

¿Qué se entiende por “datos de salud”?

El artículo 4 (15) del RGPD define “datos relativos a la salud” como “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”. Esta definición también abarca:

  • Información que se convierte en datos de salud por referencias cruzadas con otros datos de modo que se revela el estado de salud o los riesgos asociados a la salud, como por ejemplo la presunción de que una persona tiene más alto riesgo de sufrir una enfermedad grave por contagio de COVID-19 debido a contar con patologías previas. 
  • Información que se convierte en datos de salud por su uso en un contexto específico, como aquella relativa a un viaje reciente a alguna región afectada por el COVID-19. 

El CEPD señala que el concepto “tratamiento con fines de investigación científica” deberá ser interpretado de manera amplia, conforme al considerando 159 RGPD. 

¿Cuál es la base legítima para el tratamiento?

Conforme al RGPD, el tratamiento de categorías especiales de datos se permite sólo en algunos escenarios. Aquellos que pueden tomar especial relevancia en lo que se refiere al tratamiento de datos de salud para fines de investigación durante el COVID-19 son los siguientes: 

  • El sujeto ha dado consentimiento explícito.
  • El tratamiento se refiere a datos personales que han sido hechos manifiestamente públicos por el sujeto. 
  • El tratamiento es necesario para fines de medicina preventiva u ocupacional. 
  • El tratamiento es necesario por razones de interés público en el área de salud pública. 
  • El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sobre la base del Derecho de la Unión o de los Estados miembros.

Es importante señalar que “el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales”, sujeto a las medidas apropiadas.

¿Se debería informar a los interesados?

Conforme a los artículos 13 y 14 RGPD, los interesados deberían ser informados en el momento de obtención de los datos o dentro de un período razonable y como máximo un mes cuando estos no se hayan recogido del interesado como tal. 

Sin embargo, dado que muchas veces no es posible identificar completamente la finalidad del tratamiento para fines de investigación científica en el momento de la recogida, el CEPD recomienda proporcionar tal información dentro de un período de tiempo razonable antes de que se implemente el proyecto. 

Existen cuatro excepciones:

  • El interesado ya está en posesión de la información.
  • Proporcionar la información resulta imposible, implicaría un esfuerzo desproporcionado o es susceptible de perjudicar los resultados.  En este caso, el responsable debería demostrar todos los factores que limitarían este derecho, y realizar un ejercicio de evaluación sobre el impacto potencial y los efectos de no ofrecer la información.
  • La obtención o divulgación está expresamente establecida por la legislación de la Unión o de los Estados miembros, sujeto a que se establezcan “medidas adecuadas para proteger los intereses legítimos de los sujetos”. 
  • Los datos personales son confidenciales por la obligación de secreto profesional. 

¿Qué otras medidas se deberían aplicar?

A la luz del principio de minimización de datos, el CEPD considera esencial especificar y detallar las preguntas de investigación y así evaluar el tipo y cantidad de datos necesarios para poder responder a las mismas. Además, los datos deberán ser anónimos siempre y cuando sea posible. 

Asimismo se tendrán que acordar períodos de almacenamiento de los datos, en valoración de criterios como la duración y la finalidad de la investigación. 

En relación a las medidas de seguridad, cabe apuntar que, junto a la pseudonimización, encriptado, acuerdo de no-divulgación y controles de acceso estrictos, el CEPD enfatiza la necesidad de realizar evaluaciones de impacto cuando el tratamiento “puede resultar en un alto riesgo para los derechos y libertades de las personas” y enfatiza la importancia de los delegados de protección de datos como una parte fundamental que debería estar involucrada en el proceso. 

¿Qué ocurre con el ejercicio de los derechos de os sujetos?

Junto a las exenciones a la obligación de información comentadas anteriormente, el artículo 17 (3) (d) establece que el derecho de supresión no se aplicará cuando el tratamiento sea necesario “con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento”.

Según jurisprudencia del TJUE, todas las restricciones de los derechos de los sujetos operarán siempre y cuando sea estrictamente necesario, con lo que estas deben entenderse de manera restringida.

 

¿Están permitidas las transferencias internacionales de datos?

En ausencia de una decision de adecuación conforme al artículo 45 (3) RGPD o garantías adecuadas según el artículo 46 RGPD, el artículo 49 RGPD recoge algunas situaciones específicas bajo las que las transferencias de datos pueden llevarse a cabo de manera excepcional: 

  • El sujeto ha consentido de manera explícita a la realización de la transferencia. 
  • La transferencia es necesaria por razones importantes de interés público. 

Cabe señalar, sin embargo, que transferencias repetidas de datos a terceros países como parte de proyectos de investigación de larga duración tendrán que encuadrarse dentro del marco de garantías adecuadas previsto en el artículo 46 RGPD.

¿Tienes dudas sobre cómo cumplir con la normativa de protección de datos durante el tiempo que dure la pandemia? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.

Y si quieres estar actualizado de las últimas novedades sobre el COVID-19 e IA, no te olvides de suscribirte a nuestro Canal de YouTube

AEDP approved first BCR

La AEPD aprueba las primeras normas corporativas vinculantes (BCRs) bajo el RGPD

La AEPD ha aprobado las primeras normas corporativas vinculantes (BCRs) bajo el RGPD. La AEPD ha ejercido como autoridad líder y ha recibido el informe positivo del Comité Europeo de Protección de Datos (CEPD). 

La AEPD ha publicado su opinión final en relación al borrador de las primeras normas corporativas vinculantes presentado por el Grupo Fujikura Automotive Europe, dos meses después de que el CEPD las aprobase. El documento se incluirá en el registro de decisiones que han estado sujetas al mecanismo de consistencia, e implica que Fujikura Automotive Europe Group podrá, de ahora en adelante, utilizar dichas BCRs para la transferencia de datos a miembros del grupo en terceros países, con las garantías adecuadas. 

¿Qué son las BCRs?

El RGPD define las normas corporativas vinculantes como las “políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta”.

Una vez aprobadas por la autoridad de control competente, las BCRs son consideradas un instrumento válido para para la transferencia de datos personales a terceros países con las adecuadas garantía de seguridad. 

¿Cuál es el proceso de aprobación de las BCR?

En primer lugar, la autoridad de control líder se encarga de comprobar que el borrador de las BCRs incluye todos los requisitos recogidos en el artículo 47.2 RGPD. Entonces, y conforme al mecanismo de consistencia previsto en los artículos 63 y 64.1 RGPD, el CEPD emite su opinión, tras la cual, de nuevo la autoridad de control líder es la que debe comunicar su decisión final, la cual, de ser positiva, concluirá con la inclusión de las normas en el registro correspondiente. 

How did the process apply to this case?

En virtud del considerando 110 RGPD, “Todo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta debe tener la posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de la Unión a organizaciones dentro del mismo grupo empresarial siempre que tales normas corporativas incorporen todos los principios esenciales y derechos aplicables con el fin de ofrecer garantías adecuadas para las transferencias”.

De vuelta al caso que nos ocupa, el borrador de BCRs fue en primer lugar preparado por Fujikura Automotive Europe Group y la AEPD se encargó de revisarlo como autoridad de control líder. En consecuencia, la AEPD proporcionó su decision inicial al CEPD que, a principios de este año, lanzó su informe, por el cual consideraron que las BCRs contenían, efectivamente, una serie de medidas que aseguraban una protección de los datos personales equivalente a aquella garantizada por el RGPD. Ahora, dos meses después, la AEPD las ha aprobado y ha comunicado su decisión final al CEPD. 

¿Necesitas asesoramiento en relación a las medidas de seguridad que deberían aplicarse a las transferencias internacionales de datos? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto y subcontratación del Delegado de Protección de Datos. Infórmate aquí.