UE aprueba medidas de emergencia

La UE aprueba medidas de emergencia para la protección de los menores

El Parlamento Europeo ha aprobado medidas de emergencia temporales para la protección de los menores

 

El Parlamento Europeo adoptó el pasado 6 de julio medidas de emergencia temporales para la protección de los menores. Esta normativa permitirá a los proveedores de servicios de comunicaciones electrónicas analizar mensajes privados que comprendan cualquier tipo de abuso a menores. La Comisión Europea ha informado de que el año pasado se reportaron casi cuatro millones de archivos visuales con este contenido. También hubo 1.500 informes sobre acoso sexual infantil. En los últimos 15 años, este tipo de incidentes se han incrementado en un 15.000%.  

 

Esta nueva normativa, que pretende implementarse por medio de IA, ha despertado algunas preocupaciones en el campo de la privacidad. 

 

Estas medidas otorgan a los proveedores de servicios de comunicaciones electrónicas luz verde para analizar de manera voluntaria conversaciones privadas e identificar contenido que pueda incluir abuso sexual a menores. Con esta finalidad, se empleará IA bajo supervisión humana. También se podrán utilizar tecnologías anti abuso una vez que se hayan completado las consultas con las autoridades de control. Sin embargo, estos mecanismos han sido también señalados dadas sus implicaciones para la privacidad. El CEPD publicó el año pasado una opinion no vinculante donde cuestionaba si estas medidas podrían amenazar el derecho fundamental de la privacidad. 

 

Los críticos indican que esta medida no frenará el abuso infantil sino que hará más complicado detectarlo y potencialmente expondrá comunicaciones legítimas entre adultos.  

 

Estas medidas se redactaron en septiembre de 2020 durante uno de los peores momentos de la pandemia, cuando se produjo un máximo en el número de informes sobre acoso de menores en internet. Mientras que este nuevo marco permitirá a los proveedores de servicios de comunicaciones electrónicas supervisor material relacionado con abuso sexual de menores, tomar acción al respecto no es una obligación. 

 

En lo que concierne a la privacidad, se ha indicado el riesgo que supone exponer conversaciones legítimas entre adultos, que pueden abarcar fotos o vídeos de desnudos, en violación de su privacidad y con riesgo de que dicho material se vea comprometido. Durante las negociaciones se efectuaron algunos cambios para garantizar que se informa de manera debido a los usuarios sobre la posibilidad de analizar sus comunicaciones, así como asegurar que se establecen períodos razonables de retención de datos y limitaciones en el uso de esta tecnología. A pesar de ello, la iniciativa ha recibido críticas, que se basan en su mayoría en el hecho de que las herramientas automáticas normalmente destacan material no relevante. Los canales de información confidencial podrían también verse afectados. Por último, los detractores de esta medida argumentan que, lejos de impedirlo, esta normativa hará más difícil identificar y descubrir actos de abuso a menores, pues incentivaría técnicas ocultas. 

 

Esta medida para la protección de los menores es una solución temporal para lidiar con el problema persistente del abuso infantil. 

 

A principios de 2021 cambió la definición de comunicaciones electrónicas bajo la ley de la Unión Europea a fin de incluir servicios de mensajería. En consecuencia, la mensajería privada, anteriormente regulada por el RGPD, estará ahora también regulada por la directiva ePrivacy. A diferencia del RGPD, la directiva ePrivacy no incluye medidas para detectar el abuso infantil. Las negociaciones para revisar la directiva ePrivacy llevan varios años estancadas. Estas medidas son temporales y durarán hasta diciembre de 2025 o hasta que se apruebe la revisión de la directiva ePrivacy. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. Podemos ayudarte . Infórmate aquí.

ICO's Privacy Considerations for COVID-19

Consideraciones de privacidad de la ICO sobre tratamientos de datos relacionados con el COVID-19.

Las consideraciones de privacidad de la ICO sobre los tratamientos de datos relacionados con el COVID-19 han sido recientemente publicadas en el blog por la Comisionada de Información, Elizabeth Denham. 

 

Las consideraciones de privacidad de la ICO sobre los tratamientos de datos relacionados con el COVID-19 están recogidas en uno de los últimos blogs elaborados por la Comisionada de Información, Elizabeth Denham, lanzado algunas semanas después de su declaración inicial sobre el coronavirus. Mientras que la ICO ya aclaró entonces que las leyes de protección de datos no obstaculizan el uso de tecnología en una crisis de salud pública, cabe recordar que los principios de transparencia, legalidad, legitimidad y proporcionalidad continúan siendo de aplicación. En uno de nuestros últimos blogs informamos que la ICO había explicado sus planes o perspectivas de regulación durante la pandemia, y ahora han proporcionado información más detallada al respecto, mediante una serie de directrices centradas en aquellos que pretendan usar esta tecnología para frenar la expansión del COVID-19. Este marco es bastante específico y cubre algunos aspectos clave de privacidad que deberían adoptarse en cada iniciativa, tecnología o empresa que vaya a recoger datos públicos para la lucha contra el coronavirus, a fin de preservar la confianza del público.

 

Las consideraciones de privacidad de la ICO sobre tratamientos de datos relacionados con el COVID-19.

 

Mediante una sencilla estructura de preguntas y respuestas, la Comisionada de Información ha destacado los aspectos básicos del marco para el uso de las nuevas tecnologías con la implantación de las medidas que sean necesarias para velar por la privacidad de los usuarios. Uno de los principales requisitos es la elaboración de una Evaluación de Impacto, para demostrar cómo la privacidad se observa en la tecnología de tratamiento. La recogida de datos personales debe ser necesaria y proporcionada, aunque como sociedad aceptemos algunas limitaciones en la libertad a favor de la protección de la salud pública. Los desarrolladores de apps deberán ofrecer a los usuarios información clara sobre cómo se van a utilizar sus datos, así como cualquier alternativa con la que cuenten para evitar o limitar el tratamiento. La minimización sigue siendo crucial, y se debería evaluar y controlar el tratamiento de manera regular para asegurar que sigue siendo necesario y efectivo. La comisionada también apunta que las Evaluaciones de Impacto tendrán que ser actualizadas cuando sea posible.  

 

La ICO también ha publicado una opinión formal sobre las consideraciones de privacidad de la tecnología conjunta de Google y Apple. 

 

En relación a la tecnología de rastreo introducida de manera conjunta por Google y Apple a principios de este mes, la ICO ha publicado opinión formal al respecto donde explica de forma específica sus consideraciones sobre la privacidad. Esta iniciativa es “una solución completa que incluye interface de programación de aplicaciones (APIs) y una tecnología de nivel de sistema operativo para ayudar con el rastreo del contacto” y utilizará apps de las instituciones de salud públicas. En dicho documento, la Comisionada de Información resalta algunos aspectos clave que son esenciales para mantener la seguridad en el tratamiento de datos y en la privacidad. El marco de rastreo del contacto (CTF) cumple en principio con la minimización de datos, mediante la no inclusión de datos personales o el uso de datos de localización. Hasta ahora, las propuestas CTF parecen ser voluntarias y cualquier diagnosis posterior de tokens almacenados requiere permisos separados. Además, los usuarios tienen la posibilidad de desactivar el Bluetooth en sus dispositivos, que es la tecnología usada por estas apps. También tienen la alternativa de borrar o desinstalar toda la aplicación en sí misma. Por otro lado, parece que hay importantes medidas de seguridad en cuanto al intercambio de información entre dispositivos y la subida de datos a la app con CTF. 

 

La Comisionada también comentó que esta tecnología CTF muestra signos de posible evolución más allá de su actual estado y uso, y debe ser precavida con los riesgos de desarrollo que excedan la finalidad de rastrear el contacto durante la respuesta a la pandemia del COVID-19. La limitación de la finalidad es un principio central de la protección de datos a escala internacional y como tal la Comisionada de Información seguirá de cerca este marco para asegurarse de que no cae víctima del fenómeno conocido como “scope creep” o cambios no controlados en el alcance de un proyecto. 

 

Conforme a Cristina Contero Almagro, socia de Aphaia, “estas aplicaciones deberían ser especialmente cuidadosas con las brechas de seguridad, porque los sujetos pueden ser potencialmente identificables si se asocian los códigos encriptados con las direcciones IP, que son datos personales que pueden ser almacenados en el servidor”. 

 

¿Tienes dudas sobre cómo cumplir con la normativa de protección de datos durante el tiempo que dure la pandemia? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Aplicación legislativa y AI

Regulación del derecho a la privacidad en la era de la IA

El año 2019 ha demostrado que las reglas del RGPD acerca de la elaboración de perfiles con IA no podrían haber sido más oportunas. Desde paneles publicitarios inteligentes hasta dispositivos de audio en casa, la IA se ha desplegado para dar sentido a todo lo que exponemos sobre nosotros mismos, incluso las caras y las cosas que decimos informalmente. Al margen de estos acontecimientos, que en muchas ocasiones han despertado inquietudes, el cumplimiento de la legislación en el sector ha sido algo lento. ¿Será 2020 el año en que la regulación sobre la privacidad devuelve por fin el golpe?

Tecnología de IA

A pesar del endurecimiento de la legislación, parece que sigue habiendo un claro sesgo hacia el despliegue de la tecnología sin tener en cuenta si su implementación satisface los requisitos de cumplimiento normativo. Merece la pena apuntar que la tecnología, de por sí, rara vez incurre en un «incumplimiento», sino que es la forma en que se usa la que genera problemas.

Pongamos por ejemplo los paneles publicitarios inteligentes capaces de leer las expresiones faciales que se han desplegado en múltiples ubicaciones públicas y concurridas en 2019. ¿Se ha sometido a estos proyectos a la evaluación del impacto sobre la privacidad de la Regulación General de Protección de Datos (RGPD), tal como exige la ley? Debemos apuntar que la propia monitorización por vídeo de los espacios públicos ya conlleva considerables riesgos para la privacidad. Al añadir a esta monitorización por vídeo un análisis en tiempo real de las características faciales, el RGPD ofrece al consumidor el claro derecho a objetar por la elaboración de perfiles. Si hacemos caso omiso a las obvias dificultades para objetar a un panel publicitario en una calle concurrida, ¿cómo se observará en el futuro la objeción del consumidor a esta elaboración de perfiles la siguiente vez que pase por delante?

El aprendizaje automático nos permite dar cada vez más sentido a enormes cantidades de datos. Por si no lo parecían ya, se pronostica que las soluciones que se lancen en 2020 pueden percibirse incluso como más intrusivas. Es irónico, no obstante, que dicha percepción puede no ser aplicable en el caso de ciertos sistemas inteligentes desarrollados para crear vínculos más sutiles, menos intrusivos a la vista y por tanto más efectivos para vincular nuestras preferencias y las ofertas comerciales que se nos presentan. Esto puede ayudarnos a entender qué aspecto de la publicidad dirigida detestamos más: la intrusión en la privacidad o la burda implementación de la tecnología.

La IA y la ley

La idea de que la ley es simplemente «incapaz de mantenerse al día con la tecnología» no solo es una respuesta inadecuada al problema, sino que también suele carecer de base como afirmación. El RGPD incorpora provisiones concretas acerca de la elaboración de perfiles y la toma de decisiones automatizada, creadas a medida para el uso de la inteligencia artificial en relación con el procesamiento de datos personales. Dicho procesamiento queda sujeto al derecho de obtener la intervención humana y al derecho de objetar al procesamiento. También existen limitaciones adicionales relativas a categorías especiales de datos. Algunos países de fuera de la UE han comenzado a adoptar principios similares a los del RGPD, entre ellos Brasil, que aprobó la Ley General de Protección de Datos (LGPD) en 2018.

La Ley de Privacidad de los Consumidores de California (CCPA), aunque está menos centrada específicamente en la IA, también empodera a los consumidores permitiéndoles prohibir la «venta de datos». Se trata de una medida que no es en absoluto irrelevante. Sin la posibilidad de recopilar y fusionar datos de diferentes fuentes, su valor para fines de aprendizaje automático puede disminuir considerablemente. Por otro lado, sin la posibilidad de vender datos, los incentivos para realizar análisis estadísticos excesivos de los datos se disipa en cierta medida.

A la hora de crear un marco más amplio para la regulación de la inteligencia artificial, la situación legal sigue estando menos clara por ahora. Los principios y las reglas se limitan actualmente a directrices no vinculantes, como las Directrices Éticas para una IA Fiable de la UE. Pero esto no afecta a los aspectos de privacidad por los que los reguladores europeos ya pueden imponer sanciones de hasta 20 millones de € o un 4 % de los ingresos mundiales de la empresa. Las sanciones de la CCPA son menores, pero se pueden multiplicar debido al número de usuarios afectados.

El panorama regulatorio de la IA

A principios de 2019, la autoridad francesa de protección de datos CNIL puso una multa de 50 millones de € a Google por su insuficiente transparencia en relación a la publicidad dirigida. Como indicó la CNIL, «la información esencial, como los fines del procesamiento de datos, sus periodos de almacenamiento y las categorías de datos utilizadas para la personalización de los anuncios están diseminadas en exceso a lo largo de diferentes documentos, con botones y enlaces en los que es necesario hacer clic para acceder a información complementaria». Aunque la multa no se acercó al límite máximo permitido por el RGPD, el caso abre la veda para que las autoridades de protección de datos hagan más pesquisas en 2020.

Por ejemplo: ¿están suficientemente explicados los algoritmos de aprendizaje automático y las fuentes de datos que se utilizan con ellos? Cuando las autoridades de protección de datos tratan de encontrar respuesta a estas preguntas, ¿confiarán en la información que aporten las empresas? Si no es así, podrían empezar a profundizar más en base a evidencias anecdóticas. ¿Cómo es posible que el usuario esté viendo un anuncio particular? ¿Se ha basado este hecho en un algoritmo sofisticado de aprendizaje automático o se han analizado datos que no debieran haberse analizado?

Hasta ahora, las batallas legales por la privacidad se han centrado principalmente en el cumplimiento formal, por ejemplo en los dos casos «Schrems». Pero las tendencias de uso de la IA en 2020 podrían obligar a los reguladores a mirar con más atención lo que está pasando en realidad en las profundidades de las cajas negras de dispositivos domésticos y en la nube. Mientras redacto este artículo, la UE acaba de dar un paso para imponer una prohibición temporal sobre el reconocimiento facial en espacios públicos.