Implantes Neuronales y Ética de la IA

Implantes Neuronales y Ética de la IA

Los riesgos derivados del uso de IA en implantes neuronales ponen en evidencia la necesidad de regular la ética de la IA. 

En nuestro último vlog hablamos sobre la interacción entre implantes neuronales y el RGPD. En esta segunda parte exploramos cómo la ética de la IA se aplica a los implantes neuronales. 

¿Cuál es el papel de la IA en los implantes neuronales?

La IA es el elemento puente entre los implantes neuronales y las personas que trabajan con ellos, pues la IA ayuda a traducir las señales eléctricas en un lenguaje comprensible para el ser humano.  

El proceso se comprende normalmente de dos fases: primero, los datos neuronales se recogen de las señales del cerebro y estas se transforman en números. Después, dichos números se decodifican y se convierten en lenguaje natural, que puede ser cualquier idioma que se programe. Este proceso funciona del mismo modo en el sentido inverso. 

¿Por qué la ética de la IA es importante en los implantes neuronales?

En función de cuán fan de la ciencia ficción seas, las palabras “implante neuronal” pueden evocarte algunos títulos de películas y series. Si eres más entusiasta de los periódicos que de Netflix, quizá ya tengas en mente varias investigaciones médicas que han utilizado implantes neuronales. La realidad concilia ambos enfoques. 

Los implantes neuronales han sido parte de la investigación médica y científica desde hace más de 150 años, cuando en 1870 Eduard Hitzig y Gustav Fritsch llevaron a cabo una serie de experimentos en perros mediante los cuales probaron ser capaces de generar movimiento a través de estimulación eléctrica de algunas partes del córtex cerebral. Desde entonces se ha logrado un progreso significante en la materia, y actualmente se estudian los implantes neuronales con diversas finalidades como, entre otras, el control de actividad anormal en el cerebro a fin de activar las medidas correspondientes.

También se han explorado aplicaciones militares con esta tecnología. Por ejemplo, la DARPA lleva desde 2006 trabajando en el desarrollo de implantes neuronales para controlar de manera remota a los tiburones, lo cual se podría potencialmente emplear para conseguir información sobre barcos enemigos y explosivos acuáticos.

Los últimos avances en este campo vienen de la mano de Neuralink, la compañía de neurotecnología fundada por Elon Musk y cuya página web afirma que su product “permitiría controlar los dispositivos iOS, el teclado y el ratón directamente con la actividad cerebral, tan sólo pensando en ello”. El objetivo perseguido es la creación de una interfaz que habilitase una conexión entre los dispositivos y los cerebros de las personas.  

Mientras que este desarrollo puede tener un gran impacto positivo en el progreso tecnológico, también podría mermar los derechos y libertades de los individuos, con lo que es esencial contar con regulación que establezca límites. Mientras que la protección de datos está actualmente desempeñando un rol importante en este sentido, podría no ser suficiente cuando se efectúen mayores avances. La ética de la IA podría suplir esta carencia. 

¿Cómo puede ayudar la ética de la IA?

La ética de la IA podría suponer un marco normativo para ofrecer las garantías necesarias a las innovaciones tecnológicas en hardware y software destinado a restaurar o mejorar las capacidades humanas, impidiendo así que se deriven altos riesgos para los derechos y libertades de los individuos. El hecho de que algo sea posible no implica que debería hacerse. 

La ausencia de regulación apropiada podría incluso ralentizar los procesos de investigación e implementación, pues algunas aplicaciones entraría en conflicto directo con los derechos humanos y normativa ya en vigor. 

Acción y supervisión humanas

Conforme a los principios de la ética de la IA definidos por el AI-HLEG en sus “Directrices éticas para una IA Fiable”, la acción y supervisión humanas es clave en los implantes neuronales, aunque su implementación práctica podría ser difícil. 

La acción y supervisión humanas establece que los seres humanos deben ser capaces de tomar decisiones informadas cuando se aplica IA. Mientras que este requisito puede ser bastante claro en algunos usos médicos donde el profesional analiza la actividad neuronal recogida por los implantes, podría no ser el caso en otros escenarios. La fusión entre inteligencia biológica y artificial junto al hecho de que realmente no podemos saber qué tipo de información o, al menos, ser conscientes de cada dato que podría recogerse de la actividad neuronal hace complicado que pudiese afirmarse que una decisión es informada sobre todo en aquellas circunstancias en las que ésta es tomada por el mismo sujeto sobre cuyo cerebro están actuando los implantes. 

Solidez técnica y seguridad

La robustez técnica y la seguridad es otro de los principios que deberían priorizarse en el desarrollo de implantes neuronales. La absoluta naturaleza sensible de los datos y la conexión directa con el cerebro hace necesario que la tecnología sea completamente impenetrable. Si ya una brecha que compromete datos biométricos podría tener resultados catastróficos, los daños que un ataque al cerebro de las personas podría ocasionar es simplemente inmensurable. 

Privacidad y gobierno del dato

Acorde al principio de privacidad y gobierno del dato, se debe garantizar complete cumplimiento de la normativa correspondiente, incluidos los mecanismos de gobierno del dato, su calidad e integridad y el acceso legítimo a los mismos. Consideramos que las bases legítimas para un tratamiento de datos válido recogidas en el RGPD debería redefinirse, pues su actual aplicación podría no ser del todo extrapolable a un contexto que incluya implantes neuronales.  Relacionado con el principio de acción y supervisión humana y en línea con nuestro último blog en la materia, un sujeto no podría otorgar consentimiento con las condiciones impuestas por el RGPD cuando se trate de datos recogidos por implantes neuronales, porque la información recogida no podría identificarse o controlarse con antelación. El proceso debería rediseñarse para configurar un consentimiento dividido en dos etapas, donde la segunda tendría cabida después de la recogida de datos pero antes de que ningún tratamiento ulterior tuviese lugar.  Dada la rápida evolución de la tecnología y el estado del arte actual, los períodos de conservación de los datos también tendrían que configurarse de una manera distinta, pues investigaciones y desarrollos posteriores podrían potencialmente revelar y extraer datos adicionales, para cuyo tratamiento no se tendría base legítima, a partir de datos que sí se están tratando conforme a una base válida. 

El escándalo de Cambridge Analytica puede funcionar aquí también como un buen ejemplo de los resultados no deseados que pueden derivarse de tratamientos de datos masivos sin las garantías, las medidas ni las limitaciones apropiadas. Este caso tuvo como consecuencia una serie de campañas publicitarias que influyeron en los resultados electorales. Si bien este efecto ya fue de una naturaleza grave, si esto mismo hubiese ocurrido en un escenario donde los implantes neuronales se estuviesen aplicando de manera efectiva, el daño ocasionado podría haber sido irreparable.  

Transparencia

El principio de transparencia está directamente relacionado con el de privacidad y el gobierno del dato, pues la obligación de informar al interesado sobre todos los detalles del tratamiento de datos es uno de los pilares sobre los que se sostiene el RGPD. Mientras que esta tecnología se encuentre en fase de desarrollo, no se podrá cumplir con este requisito de manera óptima, pues siempre habrá vacíos en las capacidades y limitaciones del sistema. Se deberían diseñar provisiones específicas que estableciesen la información mínima que debe entregarse a los sujetos cuando se utilicen implantes neuronales.  

Diversidad, no discriminación y justicia

El principio de diversidad, no discriminación y justicia debería observarse para evitar cualquier tipo de sesgo negativo y la marginalización de grupos vulnerables. Este principio es doble: por un lado, concierne al diseño de los implantes neuronales y la IA que la gobierna, la cuál debería ser entrenada para evitar tanto sesgos humanos, como sus propios sesgos, y también aquellos resultantes de la combinación de ambos por la interacción entre humanos (cerebro) y la IA (implantes). Por otro lado, debería asegurarse que las barreras de acceso a esta tecnología no crean graves desigualdades sociales. 

Bienestar social y medioambiental

El impacto de los implantes neuronales en el bienestar social y medioambiental debería considerarse con cautela. Esta tecnología puede ayudar a personas con capacidades diversas, pero tendrían que ser asequibles para todo el mundo. Ha de señalarse que los implantes neuronales no sólo pueden utilizarse para tratamiento médico sino también para lograr seres humanos mejorados en sus capacidades y habilidades, lo cual actuaría en detrimento de aquellos que no pudiesen permitírselo. 

Rendición de cuentas

La naturaleza crítica de las aplicaciones de implantes neuronales hace que se necesiten políticas de auditoria para evaluar a los algoritmos, los datos y los procesos. Se debería garantizar un Sistema de reparación accesible y adecuado que permitiese, por ejemplo, contactar con todos los sujetos que estén utilizando una versión de los implantes neuronales que tiene deficiencias y vulnerabilidades.  

Ejemplos

En la siguiente tabla combinamos nuestro anterior artículo con este para ofrecer algunos ejemplos de aplicaciones de implantes neuronales en relación a los principios tanto del RGPD como de la ética de la IA con los que se vincularían. A estos efectos, usaremos el siguiente caso como base para desarrollarlo: “Tratamiento de la depresión mediante estimulación neuronal”. En cada fila se explica cuál sería el principio del RGPD o de la ética de la IA que entraría en aplicación:

Caso de uso Principios de la ética de la IA Principios o requisites del RGPD
Revisiones regulares por parte de los profesionales médicos para decidir si el tratamiento es efectivo. Acción y supervisión humanas. Intervención humana.
Un acceso ilegítimo a los implantes neuronales y la manipulación de los mismos tendría un impacto negativo sobre la salud del paciente, y además revelaría información sobre una categoría especial de datos.  Solidez técnica y seguridad. Medidas técnicas y organizativas.
El tratamiento de los datos es necesario para ofrecer tratamiento médico.  Privacidad y gobierno del dato. Base legítima para el tratamiento.
Se debería ofrecer información complete acerca de los detalles del tratamiento antes de proceder con el mismo.  Transparencia. Explicación.
Nadie debería ser excluido del tratamiento y recibir una alternativa menos eficiente simplemente por incapacidad económica para afrontarlo.  Diversidad, no discriminación y justicia. Evitar resultados discriminatorios.
Si el tratamiento afecta de manera negativa al comportamiento del paciente y puede suponer un riesgo para la sociedad, se deberán aplicar medias y garantías correspondientes.  Bienestar social y medioambiental. Excepciones para finalidades estadísticas y de investigación.
El hospital o el Estado deberían hacerse responsable de los daños causados por el uso de los implantes neuronales.  Rendición de cuentas. Rendición de cuentas.

 

En nuestro vlog exploramos las posibilidades que presenta la ética de la IA en el uso de implantes neuronales:

Y si quieres aprender más sobre la ética y la regulación de la IA, visita nuestro canal de YouTube.

 

Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactocumplimiento con la CCPAevaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.

 

 

Segunda Asamblea de la Alianza Europea

Segunda Asamblea de la Alianza Europea de IA

La segunda Asamblea de la Alianza Europea de IA se celebró el pasado viernes 9 de octubre, esta vez online debido a la situación generada por la pandemia del COVID-19. 

La segunda edición de la Asamblea Europea de IA tuvo lugar el pasado Viernes 9 de octubre en un evento de un día completo que se celebró de forma online debido a la pandemia del COVID-19. La Asamblea reunió a más de 1.400 personas conectadas que siguieron las sesiones en directo y tuvieron la oportunidad de formular preguntas a los panelistas. 

El evento

El foco se centró en la iniciativa europea para construir un Ecosistema de Excelencia y Confianza en Inteligencia Artificial. Las charlas se dividieron entre plenos, talleres y grupos de trabajo.  

Los principales temas que se trataron son los siguientes:

  • Los resultados de la Consulta en el Libro Blanco de IA lanzado por la Comisión Europea
  • Las últimas publicaciones del Alto Grupo de Expertos en IA (AI-HLEG) y 
  • Las futuras proyecciones de la Alianza Europea de IA como un foro multinivel que refleja de manera amplia aspectos sociales, económicos y técnicos de IA en el marco del proceso de creación de políticas europeas. 

Como miembros de la Alianza Europea de Inteligencia Artificial, Aphaia tuvo el honor de participar en el evento y disfrutar de algunas de las sesiones que trataron temas cruciales para el desarrollo e implementación de IA en Europa, tales como “Requisitos para una IA fiable” o “IA y responsabilidad”. 

Requisitos para una IA fiable

Los ponentes compartieron sus perspectivas sobre los riesgos derivados de los sistemas de IA y los enfoques que deberían tomarse para apoyar la generalización del uso de IA en la sociedad.

Hugues Bersini, Profesor de Ciencias de la Computación en la Universidad Libre de Bruselas, considera el uso de IA se refleja en una función de coste, donde optimizarla es el objetivo: “Los problemas desaparecen cuando se alinea el coste social y el coste individual”.  

Haydn Belfield, Manager de Proyectos en CSER, Universidad de Cambridge, señaló que el alto riesgo que los sistemas de IA pueden conllevar para las oportunidades y derechos fundamentales de las personas demanda un marco de regulación que incluya requisitos obligatorios que deberían, al mismo tiempo, ser flexibles y prácticos. 

Para Francesca Rossi, Líder Global de Ética de la IA en IBM, la transparencia y la explicabilidad son la clave. Aclaró que la IA debería emplearse para impulsar las capacidades de decisión de los seres humanos, los cuales han de tomar decisiones fundamentadas. Esta finalidad no podría alcanzarse si se concibe a los sistemas de IA como cajas negras. 

En respuesta a las preguntas de la audiencia, los expertos comentaron de manera conjunta la cantidad de niveles de riesgo que serían necesarios en el campo de la IA. La principal conclusión se trazó en torno a la consideración de que la propia definición de alto riesgo es ya en sí mismo un reto, de manera que contar con dos niveles de riesgo (alto riesgo y no alto riesgo) sería un buen comienzo sobre el cual se podrían construir futuros desarrollos. 

Los invitados también analizaron de manera breve cada uno de los requisitos para una IA fiable recogidos en las directrices del AI-HLEG, a saber: acción y supervisión humana, solidez técnica y seguridad, gestión de la privacidad y de los datos, transparencia, diversidad, no discriminación y equidad, bienestar social y ambiental y rendición de cuentas. 

En nuestra opinión, resultaron especialmente interesantes las aportaciones sobre la IA y los sesgos y aquellas otras en relación a la acción y supervisión humanas: 

IA y sesgos

Paul Lukowicz, Director Científico y Jefe de la Unidad de Investigación “Embedded Intelligence” en el Centro Alemán de Investigación en Inteligencia Artificial, define el concepto de “machine learning” como la operación por la cual se le da al ordenador métodos de los cuales puede extraer procedimientos e información de los datos, y afirmó que esa es precisamente la clave del éxito actual de la IA.  El resto reside en que muchos de los sesgos y efectos discriminatorios de los sistemas de IA resultan de entregar al ordenador datos que ya en sí mismos incorporan sesgos y discriminación. La dificultad no se encuentra en que los desarrolladores fallen de alguna forma en entregar datos que no son representativos: los datos son de hecho representativos, y es la circunstancia de que en nuestro día a día hay sesgo y discriminación, lo que hace que eso sea exactamente lo que los sistemas aprendan y enfaticen. En relación a esto, él considera que otro de los obstáculos es la incertidumbre, pues no se puede pretender tener un conjunto de datos que cubra todos los posibles sucesos del mundo: “Siempre tenemos un grado de incertidumbre en la vida, y eso mismo ocurre con los sistemas de IA”. 

Acción y supervisión humana

Aimee Van Wynsberghe, Profesora Asociada de Ética y Tecnología en TU Delft, destacó alguno de los problemas a los que puede enfrentarse la implementación de la acción y supervisión humana:

  1. Aimee replanteó la idea de que el resultado del sistema de IA no es válido hasta que se haya revisado y validado por un ser humano. Ella opina que este enfoque puede ser difícil de gestionar dado que hay algunos sesgos que amenazan la autonomía humana: sesgo de automatización, sesgo de simulación y sesgo de confirmación. Los humanos tienen tendencia de favorecer las recomendaciones de los sistemas de toma de decisión automática, e ignorar información contradictoria obtenida sin automatización. El otro reto en este sentido es el consume de recursos que se necesita para revisar y validar cada output del sistema de IA. 
  2. En cuanto a la alternativa basada en el hecho de que los resultado del sistema de IA se harían inmediatamente efectivos bajo el requisito de que se asegurase una supervisión humana después, Aimee evidenció el problema de distribución de la responsabilidad de confirmar dicha intervención humana posterior: “¿Quién va a asegurar que dicha supervisión posterior realmente tenga lugar? ¿La empresa? ¿El cliente? ¿Es justo asumir que los consumidores tendrían el tiempo, el conocimiento y la habilidad para hacerlo? “
  3. Por su parte, el control del sistema de IA mientras está en funcionamiento y la posibilidad de intervenir en tiempo real y desactivarlo también sería complicado debido, de nuevo, a la psicología humana: “existe una falta de conciencia situacional que no permite tomar el mando”. 

IA y responsabilidad

Corinna Schulze, Directora de Asuntos Gubernamentales en  SAP; Marco Bona, Miembro del Comité General de PEOPIL’s  en Italia y Experto Internacional en Lesiones Personales; Bernhard Koch, Profesor de Derecho Civil y Comparado y miembro de la Formación de Nuevas Tecnologías del Grupo Europeo experto en Responsabilidad de las Nuevas Tecnologías; Jean-Sébastien Borghetti, Profesor de Derecho Privado en la Universidad de Paris II Panthéon-Assas y Dirk Staudenmaier, Jefe de la Unidad de Derecho de los Contratos en el Departamento de Justicia de la Comisión Europea, hablaron sobre los principales defectos detectados en el campo de la responsabilidad de la IA, y lo pusieron en relación con la Directiva de Responsabilidad por los daños causados por Productos Defectuosos.

Los expertos señalaron los siguientes elementos negativos de la Directiva:

  • Limitación temporal de 10 años: en la opinión de la mayoría de los participantes, esto puede generar problemas porque se refiere únicamente a los productores, y la situación es más complicada cuando también hay operadores, usuarios, propietarios y otras partes implicadas. Además, los 10 años puede ser un período válido para los productos tradicionales, pero puede que no sea suficiente en términos de protección de las víctimas de algunos artefactos y sistemas de IA.
  • Ámbito: únicamente se refiere a la protección de los consumidores, y no cubre la protección de las víctimas. Consumidores y víctimas a veces coinciden, pero otras no. 
  • Noción de defecto: la distinción entre producto y servicio puede dar lugar a algunos conflictos. La Directiva cubre sólo los productos, no los servicios, lo cual puede levantar algunas preocupaciones en relación al internet de las cosas y el software. 

 

La Comisión Europea ha publicado los links de las sesiones para que pueden acceder todos aquellos que no pudieron atender el evento o que quieran volver a verlas. 

¿Necesitas ayuda con la ética de la IA? Podemos ayudarte. Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA.

Orientaciones del CEPD sobre el marketing dirigido en redes sociales

El pasado 2 de septiembre, el CEPD publicó sus Directrices 7/2020 sobre el marketing dirigido en redes sociales, con el objetivo de aclarar las implicaciones que estas prácticas pueden tener en la privacidad y protección de datos.

La mayoría de plataformas de redes sociales permiten a los usuarios configurar sus preferencias de privacidad mediante la selección de un perfil público o privado. Sin embargo, las fotografías, los vídeos y los textos no son los únicos datos personales que se tratan: ¿qué ocurre con los datos de analytics que se emplean con fines de marketing dirigido? Los datos de analytics son también datos personales, y como tal deberían protegerse. El Comité Europeo de Protección de Datos (CEPD), consciente de los riesgos que esto puede suponer para los derechos y libertades fundamentales de los interesados, ha publicado estas Directrices que ofrecen recomendaciones en relación a los roles y responsabilidades de las principales partes implicadas.

Partes involucradas en el marketing dirigido en redes sociales

El EDPB explica los conceptos de proveedores de redes sociales, usuarios y “targeters”.

  • Proveedores de redes sociales se define como los proveedores de plataformas en línea que permiten el desarrollo de redes y comunidades de usuarios, entre los cuales se comparte información y contenido.
  • Usuarios son aquellos individuos que se registran en los servicios y crean cuentas y perfiles, cuyos datos se emplean con finalidades de marketing dirigido. Este término también abarca a aquellas personas que acceden a los servicios sin estar registrados.
  • Targeters se refiere a aquellas personas físicas o jurídicas que comunican mensajes específicos a los usuarios de redes sociales con el propósito de promover intereses comerciales, politicos o de otro tipo, sobre la base de una serie de parámetros o criterios específicos.
  • Otros actores que también podrían ser importantes son los proveedores de servicios de marketing, redes de anuncios, intercambios de anuncios, plataformas de oferta-demanda, brokers de datos, proveedores de plataformas de gestión de datos y empresas de analytics.

Resulta imprescindible identificar de manera correcta los roles y responsabilidades que cada uno de los actores tiene en el proceso, pues la interacción entre los proveedores de redes sociales y otros actores puede dar lugar a una situación de corresponsabilidad bajo el RGPD.

Riesgos para los derechos y libertades de los usuarios

El CEPD señala algunos de los principales riesgos que se pueden derivar del marketing dirigido en redes sociales:

  • Usos de los datos personales que van en contra o sobrepasan las expectativas razonables de los interesados.
  • Combinación de datos personales de diferentes fuentes.
  • Existencia de actividades de elaboración de perfiles conectadas con el marketing dirigido.
  • Obstáculos a la habilidad individual de los interesados de ejercer control sobre sus datos personales.
  • Falta de transparencia en relación al rol de los diferentes actores y actividades de tratamiento.
  • Posibilidad de discriminación y exclusión.
  • Potencial posible manipulación de los usuarios e influencia indebida sobre ellos.
  • Polarización política e ideológica.
  • Sobrecarga de información.
  • Manipulación de la autonomía de los menores y su derecho al desarrollo.
  • Concentración de mercados.

Jurisprudencia relevante

El CEPD analiza los roles y responsabilidades de los proveedores de redes sociales y targeters a través de la jurisprudencia relevante del TJUE al respecto, en concreto los casos Wirtschaftsakademie (C-210/16) y Fashion ID (C-40/17):

  • En su sentencia en el caso Wirtschaftsakademie, el TJUE decidió que debe considerarse que el administrador de la denominada “fan page” de Facebook toma parte en la determinación de los fines y medios del tratamiento de datos personales. El razonamiento tras esta resolución es que la creación de una “fan page” implica la definición de parámetros por el administrador, lo cual tiene una influencia en el tratamiento de datos con la finalidad de producir estadísticas basadas en la visitas de una fan page, mediante el uso de filtros ofrecidos por Facebook.
  • En el caso Fashion ID, el TJUE decidió que un operador de una página web puede ser considerado responsable al incorporar el botón de Facebook en su página web, lo cual hace que el navegador del usuario visitante transmita datos personales a Facebook. Sin embargo, la responsabilidad del operador de la página web estará “limitada a la operación o conjunto de operaciones que forman parte del tratamiento de datos en relación a las cuales se determinan los fines y medios del tratamiento”. Así por tanto, el operador de la página web no será responsable respecto de las operaciones posteriores llevadas a cabo por Facebook después de que los datos hayan sido cedidos.

Roles y responsabilidades del os proveedores de redes sociales y targeters

Los usuarios de redes sociales pueden ser objeto de marketing dirigido sobre la base de los datos proporcionados por ellos mismos, datos observados y datos inferidos, o bien una combinación de las diferentes categorías.

En la mayoría de casos, tanto el targeter como el proveedor de redes sociales participarán en la determinación de los fines (por ejemplo, mostrar un anuncio específico a un conjunto de usuarios que coinciden con la audiencia seleccionada) y medios (por ejemplo, a través de la elección de usar los servicios que ofrece el proveedor de redes sociales y solicitarla que selecciona una determinada audiencia conforme a unos criterios, por un lado y mediante la decisión de qué categorías de datos serán tratados, que criterio de selección se empleará y quién tendrá acceso, por otro) del tratamiento de datos personales, por tanto serán considerados corresponsables conforme al artículo 26 del RGPD.

Como señala el TJUE en el caso Fashion ID, la corresponsabilidad se extenderá únicamente a aquellas operaciones de tratamiento para las cuales el targeter y el proveedor de redes sociales determinen de manera conjunta y efectiva los fines y medios, como el tratamiento de datos personales que resulta de una selección derivada de la aplicación del criterio elegido, la exhibición del anuncio a dicha audiencia y el tratamiento efectuado por parte del proveedor de redes sociales para informar sobre los resultados de la campaña al targeter. Sin embargo, esta corresponsabilidad no abarcará los tratamientos de datos personales que ocurran en otras fases, antes de la elección del criterio relevante o después de que se haya completado la operación de selección y reporte.

El CEPD también recuerda que contar con acceso a los datos personales no es un prerrequisito de corresponsabilidad y por tanto el análisis detallado en las líneas anteriores continuará aplicándose incluso también cuando el targeter sólo especifique los parámetros de la audiencia objetivo y no tenga ningún tipo de acceso a los datos de los usuarios.

Bases legítimas para el tratamiento

Es importante destacar que, como corresponsables, tanto el proveedor de redes sociales como el targeter deben ser capaces de demostrar la existencia de una base legal conforme al Artículo 6 RGPD para justificar el tratamiento de datos personales que concierne a cada uno de ellos.

En términos generales, las dos bases legítimas que de forma más probable serán aplicables son el interés legítimo y el consentimiento de los interesados.

A fin de que el interés legítimo sea una base válida, deben cumplirse tres criterios que son acumulativos:

  • (i) la persecución de in interés legítimo que se da para cada uno de los responsales o las terceras partes a las cuales se van a ceder los datos;
  • (ii) la necesidad de tratar datos personales para la finalidad de los intereses legítimos que se persiguen;
  • (iii) la condición de que los derechos y libertades de los interesados cuyos datos requieren protección no prevalezcan.

Además, se debería ofrecer a los interesados la opción de oponerse al tratamiento de tal forma que no sólo se les dé la posibilidad de oponerse a la exhibición del anuncio derivado de marketing dirigido, sino también que cuenten con controles que aseguren que no tendrá tampoco lugar el tratamiento subyacente de sus datos con la finalidad de prácticas de marketing dirigido una vez que han ejercido su derecho de oposición.

Sin embargo, el interés legítimo no será una base adecuada en algunos casos, en los cuales se requerirá consentimiento. Así ocurrirá, por ejemplo, cuando intervengan prácticas intrusivas de rastreo y elaboración de perfiles con finalidades de marketing que monitoricen a los interesados a lo largo de diferentes páginas web, localizaciones, dispositivos y servicios.

El CEPD también subraya que el consentimiento recogido para la implementación de tecnologías de rastreo deberá cumplir con los requisitos recogidos en el artículo 7 del RGPD. Así por tanto, Casillas pre-marcadas por el proveedor del servicio que el usuario tendría que desmarcar a fin de rechazar su consentimiento no constituye un consentimiento válido. Además, conforme al Considerando 32 del RGPD, acciones como navegar por la página web o similar no satisfarán bajo ningunas circunstancias el requisitos de una clara acción afirmativa, porque dichas acciones puede ser difíciles de distinguir de otras derivadas de la interacción del usuario, lo que significa  que concluir que se ha obtenido un consentimiento inequívoco tampoco sería posible. Asimismo, en tal caso, resultaría complicado ofrecer al usuario una forma de retirada del consentimiento de tal manera que sea tan sencilla como lo fue otorgarlo.

El responsable que debería encargarse de recoger el consentimiento será aquel que tome parte primero en el contacto con los usuarios. Esto es así porque para que el consentimiento sea válido tiene que haber sido obtenido con anterioridad al tratamiento. El CEPD también recuerda que el responsable que recoja el consentimiento de los interesados deberá hacer referencia al resto de responsables implicados a quienes se les vayan a a ceder los datos y que deseen basarse en el consentimiento original.

Finalmente, cuando existan actividades de elaboración de perfiles que pudiesen tener “efectos similares” en los usuarios (por ejemplo, los anuncios sobre apuestas en línea), el artículo 22 del RGPD será de aplicación, lo que implica que en cada caso se tendrá que elaborar una evaluación por parte del responsable o corresponsables en cada caso para determinar los elementos relevantes del tratamiento y las posibles medidas de mitigación de los riesgos.

 

El CEPD recibe comentarios sobre estas Directrices hasta el 19 de octubre.

 

Si estás interesado en conocer más sobre la corresponsabilidad del tratamiento, echa un vistazo a nuestro último blog Corresponsabilidad del tratamiento: indicaciones clave del CEPD.

 

¿Utilizas técnicas de marketing dirigido? ¿Tienes dudas sobre cómo cumplir con la normativa y las últimas Directrices del CEPD? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactocumplimiento con la CCPAevaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.

 

 

Corresponsabilidad del tratamiento

Corresponsabilidad del tratamiento: indicaciones clave del Comité Europeo de Protección de Datos

El Comité Europeo de Protección de Datos publica unas indicaciones clave sobre los conceptos de encargado, responsable y corresponsable del tratamiento, en sus Directrices 07/2020.

El Comité Europeo de Protección de Datos (CEPD) publicó el pasado 7 de septiembre sus Directrices 07/2020 sobre los conceptos de responsable y encargado de tratamiento bajo el RGPD, con la intención de delimitar un significado preciso de los mismos y un criterio adecuado para su correcta interpretación, de manera que se aplique de forma consistente en todos los países del Espacio Económico Europeo. 

Desde que el TJUE determinase, en el caso Fashion ID, C-40/17, que el minorista de moda Fashion ID actuaba como corresponsable del tratamiento junto con Facebook al incorporar el botón de ‘Me gusta’ en su página web, el concepto de corresponsabilidad del tratamiento parece tener ahora un alcance más amplio, y aplicarse a ciertos tratamientos que en el pasado habrían tomado una consideración distinta. 

En nuestro artículo de hoy analizamos las principales consideraciones del CEPD en relación al concepto de corresponsabilidad del tratamiento.

El concepto de corresponsable del tratamiento en el RGPD

Conforme al Artículo 26 del RGPD, se puede dar corresponsabilidad en el tratamiento cuando dos o más responsables determinan de manera conjunta los medios y los objetivos del tratamiento. El RGPD también establece que las partes implicadas deberán definir sus respectivas obligaciones de cumplimiento en un acuerdo entre las mismas, cuyos aspectos esenciales se pondrán a disposición de los interesados. Sin embargo, el RGPD no contiene ninguna disposición relativa a los detalles de esta figura, como la definición de “conjuntamente” o la forma legal que deberá tomar el acuerdo.

Participación conjunta. 

El CEPD explica que la participación conjunta puede ser mediante una decision común o a través de decisions convergentes. Así por tanto, en la práctica, la participación conjunta puede tomar formas diversas y no require el mismo grado de implicación o responsabilidad proporcional de cada uno de los responsables en cada caso. 

  • Participación conjunta mediante una decision común. Implica que los responsables decidan juntos y tomar una decisión conjunta.
  • Participación conjunta mediante decisiones convergentes. Esta variedad deriva de la jurisprudencia del TJUE sobre el concepto de corresponsables. Conforme al RGPD, los requisitos que las decisiones deberían cumplir para ser consideradas decisiones convergentes en los objetivos y medios del tratamiento son las siguientes:  
    • Se complementan la una a la otra.
    • Son necesarias para que el tratamiento tenga lugar de tal manera que repercutan en un impacto tangible en la determinación de los objetivos y medios del tratamiento.

Como resultado, la pregunta que debería plantearse a fin de identificar si se da el escenario de decisiones convergentes yace sobre el siguiente planteamiento: “¿Sería el tratamiento posible sin la participación de todos los responsables en el sentido de que la participación de todos es indispensable?”.

Asimismo, el CJE destaca el hecho de que no es necesario que todas las partes tengan acceso a los datos para que se les considere parte de una relación de corresponsabilidad. 

Objetivo determinado de manera conjunta

El CEPD considera que hay dos situaciones bajo las que los objetivos perseguidos por los responsables de tratamiento pueden considerarse como determinados de manera conjunta:

  • Las entidades involucradas en la misma operación traten esos datos con fines definidos de manera conjunta. 
  • Las entidades involucradas persigan objetivos que están muy estrechamente vinculados o son complementarios. Podría ser el caso, por ejemplo, donde haya un beneficio mutuo que resulte de la misma operación de tratamiento, sujeto a que cada una de las entidades participen en la determinación de los objetivos y medios de la correspondiente operación de tratamiento.  

Medios determinados de manera conjunta

La corresponsabilidad requiere que todas las partes involucradas ejerzan influencia en los medios del tratamiento. Sin embargo, esto no implica necesariamente que cada uno de los responsable determine en todos los casos todos los medios. Pueden darse diferentes circunstancias que conduzcan a una situación de corresponsabilidad siempre que se cumplan el resto de condiciones, incluso cuando la determinación de los medios no se comparta de forma equitativa entre todas las partes, por ejemplo: 

 

  • Diferentes corresponsables determinan los medios del tratamiento a distintos niveles, dependiendo de quien esté efectivamente en la posición de hacerlo. 
  • Una de la entidades suministra los medios del tratamiento y los pone a disposición de otras entidades para sus actividades de tratamiento. La parte que decide hacer uso de dichos medios a fin de que los datos personales se traten para un objetivo determinado también participa en la elección de los medios del tratamiento. Por ejemplo, una entidad que usa para sus objetivos propios una herramienta o sistema desarrollado por otra entidad y que permite el tratamiento de datos personales, probablemente estará tomando una decisión conjunta en relación a los medios del tratamiento para ambas entidades. 

 

Limitaciones a la corresponsabilidad

El hecho de que diferentes actores participen en el mismo tratamiento no significa que estén necesariamente actuando como responsables conjuntos de dicho tratamiento. No todos los tipos de asociación, cooperación o colaboración conllevan corresponsabilidad del tratamiento, pues dicha clasificación requiere un análisis caso por caso de cada tratamiento y el papel preciso que juega cada una de las partes. El CEPD ofrece una lista no exhaustiva de ejemplos de situaciones donde no se da corresponsabilidad: 

  • Operaciones anteriores o posteriores: mientras que dos partes pueden ser consideradas corresponsables en relación a un tratamiento específico donde el objetivo y los medios se hayan determinado de forma conjunta, esto no afecta a los objetivos y medios de operaciones de tratamiento anteriores o posteriores en la cadena de tratamiento. En esos casos, la entidad que decide será considerada como responsable única de las mismas.  
  • Objetivo propio: la figura del corresponsable deberá distinguirse de la de encargado, pues éste, aunque también participa en el desarrollo del tratamiento, no trata los datos con sus propios objetivos, sino que lo hace por parte del responsable. 
  • Beneficio comercial: la mera existencia de un beneficio mutuo que resulte de una actividad de tratamiento no conduce a corresponsabilidad. Por ejemplo, si una de las entidades simplemente recibe un precio por los servicios prestados, estará actuando como un encargado y no como corresponsable. 

Por ejemplo, el uso de un sistema de tratamiento de datos común o una infraestructura no será suficiente para considerar a las partes corresponsables, en concreto en los casos en que el tratamiento se lleve a cabo de forma separada y pudiese desarrollarse por una de las partes sin la intervención de la otra, o donde el proveedor sea un encargado del tratamiento dada la ausencia de objetivos propios. Otro ejemplo sería la cesión de datos de los empleados a las autoridades fiscales. 

Acuerdo de corresponsabilidad

Los corresponsables deberían establecer un acuerdo de corresponsabilidad donde acuerden de manera conjunta y transparente sus respectivas obligaciones en cumplimiento con el RGPD. La siguiente lista no exhaustiva de tareas debería concretarse en dicho documento: 

  • Respuesta a las solicitudes de ejercicio de los derechos reconocidos a los interesados por el RGPD. 
  • Deberes de transparencia en la provisión de la información relevante recogida en los artículos 13 y 14 del RGPD. 
  • Implementación de los principios de protección de datos generales.
  • Base legítima para el tratamiento.
  • Medidas de seguridad.
  • Notificación de una brecha de seguridad a la autoridad de control y a los interesados.
  • Evaluaciones de Impacto de Protección de Datos.
  • El uso de encargados de tratamiento.
  • La transferencia de datos a terceros países.
  • Comunicaciones y contacto con los interesados y las autoridades de control.

El CEPD recomienda documentar todos los factores determinantes así como el análisis interno llevado a cabo para asignar cada una de las obligaciones. Dicho análisis será parte de la documentación debida bajo el principio de rendición de cuentas. 

Por último, en relación a la forma del acuerdo, incluso aunque no exista un requisito legal en el RGPD al respecto, el CEPD recomienda que tal acuerdo se haga mediante un documento vinculante como un contrato o cualquier otro que lo sea bajo el derecho de la Unión o de los Estados Miembro. 

Se puede aportar comentarios a estas Directrices gasta el 19 de octubre. 

¿Tienes dudas sobre cómo cumplir con la normativa de protección de datos? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, cumplimiento con la CCPA, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.