Segunda Asamblea de la Alianza Europea

Segunda Asamblea de la Alianza Europea de IA

La segunda Asamblea de la Alianza Europea de IA se celebró el pasado viernes 9 de octubre, esta vez online debido a la situación generada por la pandemia del COVID-19. 

La segunda edición de la Asamblea Europea de IA tuvo lugar el pasado Viernes 9 de octubre en un evento de un día completo que se celebró de forma online debido a la pandemia del COVID-19. La Asamblea reunió a más de 1.400 personas conectadas que siguieron las sesiones en directo y tuvieron la oportunidad de formular preguntas a los panelistas. 

El evento

El foco se centró en la iniciativa europea para construir un Ecosistema de Excelencia y Confianza en Inteligencia Artificial. Las charlas se dividieron entre plenos, talleres y grupos de trabajo.  

Los principales temas que se trataron son los siguientes:

  • Los resultados de la Consulta en el Libro Blanco de IA lanzado por la Comisión Europea
  • Las últimas publicaciones del Alto Grupo de Expertos en IA (AI-HLEG) y 
  • Las futuras proyecciones de la Alianza Europea de IA como un foro multinivel que refleja de manera amplia aspectos sociales, económicos y técnicos de IA en el marco del proceso de creación de políticas europeas. 

Como miembros de la Alianza Europea de Inteligencia Artificial, Aphaia tuvo el honor de participar en el evento y disfrutar de algunas de las sesiones que trataron temas cruciales para el desarrollo e implementación de IA en Europa, tales como “Requisitos para una IA fiable” o “IA y responsabilidad”. 

Requisitos para una IA fiable

Los ponentes compartieron sus perspectivas sobre los riesgos derivados de los sistemas de IA y los enfoques que deberían tomarse para apoyar la generalización del uso de IA en la sociedad.

Hugues Bersini, Profesor de Ciencias de la Computación en la Universidad Libre de Bruselas, considera el uso de IA se refleja en una función de coste, donde optimizarla es el objetivo: “Los problemas desaparecen cuando se alinea el coste social y el coste individual”.  

Haydn Belfield, Manager de Proyectos en CSER, Universidad de Cambridge, señaló que el alto riesgo que los sistemas de IA pueden conllevar para las oportunidades y derechos fundamentales de las personas demanda un marco de regulación que incluya requisitos obligatorios que deberían, al mismo tiempo, ser flexibles y prácticos. 

Para Francesca Rossi, Líder Global de Ética de la IA en IBM, la transparencia y la explicabilidad son la clave. Aclaró que la IA debería emplearse para impulsar las capacidades de decisión de los seres humanos, los cuales han de tomar decisiones fundamentadas. Esta finalidad no podría alcanzarse si se concibe a los sistemas de IA como cajas negras. 

En respuesta a las preguntas de la audiencia, los expertos comentaron de manera conjunta la cantidad de niveles de riesgo que serían necesarios en el campo de la IA. La principal conclusión se trazó en torno a la consideración de que la propia definición de alto riesgo es ya en sí mismo un reto, de manera que contar con dos niveles de riesgo (alto riesgo y no alto riesgo) sería un buen comienzo sobre el cual se podrían construir futuros desarrollos. 

Los invitados también analizaron de manera breve cada uno de los requisitos para una IA fiable recogidos en las directrices del AI-HLEG, a saber: acción y supervisión humana, solidez técnica y seguridad, gestión de la privacidad y de los datos, transparencia, diversidad, no discriminación y equidad, bienestar social y ambiental y rendición de cuentas. 

En nuestra opinión, resultaron especialmente interesantes las aportaciones sobre la IA y los sesgos y aquellas otras en relación a la acción y supervisión humanas: 

IA y sesgos

Paul Lukowicz, Director Científico y Jefe de la Unidad de Investigación “Embedded Intelligence” en el Centro Alemán de Investigación en Inteligencia Artificial, define el concepto de “machine learning” como la operación por la cual se le da al ordenador métodos de los cuales puede extraer procedimientos e información de los datos, y afirmó que esa es precisamente la clave del éxito actual de la IA.  El resto reside en que muchos de los sesgos y efectos discriminatorios de los sistemas de IA resultan de entregar al ordenador datos que ya en sí mismos incorporan sesgos y discriminación. La dificultad no se encuentra en que los desarrolladores fallen de alguna forma en entregar datos que no son representativos: los datos son de hecho representativos, y es la circunstancia de que en nuestro día a día hay sesgo y discriminación, lo que hace que eso sea exactamente lo que los sistemas aprendan y enfaticen. En relación a esto, él considera que otro de los obstáculos es la incertidumbre, pues no se puede pretender tener un conjunto de datos que cubra todos los posibles sucesos del mundo: “Siempre tenemos un grado de incertidumbre en la vida, y eso mismo ocurre con los sistemas de IA”. 

Acción y supervisión humana

Aimee Van Wynsberghe, Profesora Asociada de Ética y Tecnología en TU Delft, destacó alguno de los problemas a los que puede enfrentarse la implementación de la acción y supervisión humana:

  1. Aimee replanteó la idea de que el resultado del sistema de IA no es válido hasta que se haya revisado y validado por un ser humano. Ella opina que este enfoque puede ser difícil de gestionar dado que hay algunos sesgos que amenazan la autonomía humana: sesgo de automatización, sesgo de simulación y sesgo de confirmación. Los humanos tienen tendencia de favorecer las recomendaciones de los sistemas de toma de decisión automática, e ignorar información contradictoria obtenida sin automatización. El otro reto en este sentido es el consume de recursos que se necesita para revisar y validar cada output del sistema de IA. 
  2. En cuanto a la alternativa basada en el hecho de que los resultado del sistema de IA se harían inmediatamente efectivos bajo el requisito de que se asegurase una supervisión humana después, Aimee evidenció el problema de distribución de la responsabilidad de confirmar dicha intervención humana posterior: “¿Quién va a asegurar que dicha supervisión posterior realmente tenga lugar? ¿La empresa? ¿El cliente? ¿Es justo asumir que los consumidores tendrían el tiempo, el conocimiento y la habilidad para hacerlo? “
  3. Por su parte, el control del sistema de IA mientras está en funcionamiento y la posibilidad de intervenir en tiempo real y desactivarlo también sería complicado debido, de nuevo, a la psicología humana: “existe una falta de conciencia situacional que no permite tomar el mando”. 

IA y responsabilidad

Corinna Schulze, Directora de Asuntos Gubernamentales en  SAP; Marco Bona, Miembro del Comité General de PEOPIL’s  en Italia y Experto Internacional en Lesiones Personales; Bernhard Koch, Profesor de Derecho Civil y Comparado y miembro de la Formación de Nuevas Tecnologías del Grupo Europeo experto en Responsabilidad de las Nuevas Tecnologías; Jean-Sébastien Borghetti, Profesor de Derecho Privado en la Universidad de Paris II Panthéon-Assas y Dirk Staudenmaier, Jefe de la Unidad de Derecho de los Contratos en el Departamento de Justicia de la Comisión Europea, hablaron sobre los principales defectos detectados en el campo de la responsabilidad de la IA, y lo pusieron en relación con la Directiva de Responsabilidad por los daños causados por Productos Defectuosos.

Los expertos señalaron los siguientes elementos negativos de la Directiva:

  • Limitación temporal de 10 años: en la opinión de la mayoría de los participantes, esto puede generar problemas porque se refiere únicamente a los productores, y la situación es más complicada cuando también hay operadores, usuarios, propietarios y otras partes implicadas. Además, los 10 años puede ser un período válido para los productos tradicionales, pero puede que no sea suficiente en términos de protección de las víctimas de algunos artefactos y sistemas de IA.
  • Ámbito: únicamente se refiere a la protección de los consumidores, y no cubre la protección de las víctimas. Consumidores y víctimas a veces coinciden, pero otras no. 
  • Noción de defecto: la distinción entre producto y servicio puede dar lugar a algunos conflictos. La Directiva cubre sólo los productos, no los servicios, lo cual puede levantar algunas preocupaciones en relación al internet de las cosas y el software. 

 

La Comisión Europea ha publicado los links de las sesiones para que pueden acceder todos aquellos que no pudieron atender el evento o que quieran volver a verlas. 

¿Necesitas ayuda con la ética de la IA? Podemos ayudarte. Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA.

Corresponsabilidad del tratamiento

Corresponsabilidad del tratamiento: indicaciones clave del Comité Europeo de Protección de Datos

El Comité Europeo de Protección de Datos publica unas indicaciones clave sobre los conceptos de encargado, responsable y corresponsable del tratamiento, en sus Directrices 07/2020.

El Comité Europeo de Protección de Datos (CEPD) publicó el pasado 7 de septiembre sus Directrices 07/2020 sobre los conceptos de responsable y encargado de tratamiento bajo el RGPD, con la intención de delimitar un significado preciso de los mismos y un criterio adecuado para su correcta interpretación, de manera que se aplique de forma consistente en todos los países del Espacio Económico Europeo. 

Desde que el TJUE determinase, en el caso Fashion ID, C-40/17, que el minorista de moda Fashion ID actuaba como corresponsable del tratamiento junto con Facebook al incorporar el botón de ‘Me gusta’ en su página web, el concepto de corresponsabilidad del tratamiento parece tener ahora un alcance más amplio, y aplicarse a ciertos tratamientos que en el pasado habrían tomado una consideración distinta. 

En nuestro artículo de hoy analizamos las principales consideraciones del CEPD en relación al concepto de corresponsabilidad del tratamiento.

El concepto de corresponsable del tratamiento en el RGPD

Conforme al Artículo 26 del RGPD, se puede dar corresponsabilidad en el tratamiento cuando dos o más responsables determinan de manera conjunta los medios y los objetivos del tratamiento. El RGPD también establece que las partes implicadas deberán definir sus respectivas obligaciones de cumplimiento en un acuerdo entre las mismas, cuyos aspectos esenciales se pondrán a disposición de los interesados. Sin embargo, el RGPD no contiene ninguna disposición relativa a los detalles de esta figura, como la definición de “conjuntamente” o la forma legal que deberá tomar el acuerdo.

Participación conjunta. 

El CEPD explica que la participación conjunta puede ser mediante una decision común o a través de decisions convergentes. Así por tanto, en la práctica, la participación conjunta puede tomar formas diversas y no require el mismo grado de implicación o responsabilidad proporcional de cada uno de los responsables en cada caso. 

  • Participación conjunta mediante una decision común. Implica que los responsables decidan juntos y tomar una decisión conjunta.
  • Participación conjunta mediante decisiones convergentes. Esta variedad deriva de la jurisprudencia del TJUE sobre el concepto de corresponsables. Conforme al RGPD, los requisitos que las decisiones deberían cumplir para ser consideradas decisiones convergentes en los objetivos y medios del tratamiento son las siguientes:  
    • Se complementan la una a la otra.
    • Son necesarias para que el tratamiento tenga lugar de tal manera que repercutan en un impacto tangible en la determinación de los objetivos y medios del tratamiento.

Como resultado, la pregunta que debería plantearse a fin de identificar si se da el escenario de decisiones convergentes yace sobre el siguiente planteamiento: “¿Sería el tratamiento posible sin la participación de todos los responsables en el sentido de que la participación de todos es indispensable?”.

Asimismo, el CJE destaca el hecho de que no es necesario que todas las partes tengan acceso a los datos para que se les considere parte de una relación de corresponsabilidad. 

Objetivo determinado de manera conjunta

El CEPD considera que hay dos situaciones bajo las que los objetivos perseguidos por los responsables de tratamiento pueden considerarse como determinados de manera conjunta:

  • Las entidades involucradas en la misma operación traten esos datos con fines definidos de manera conjunta. 
  • Las entidades involucradas persigan objetivos que están muy estrechamente vinculados o son complementarios. Podría ser el caso, por ejemplo, donde haya un beneficio mutuo que resulte de la misma operación de tratamiento, sujeto a que cada una de las entidades participen en la determinación de los objetivos y medios de la correspondiente operación de tratamiento.  

Medios determinados de manera conjunta

La corresponsabilidad requiere que todas las partes involucradas ejerzan influencia en los medios del tratamiento. Sin embargo, esto no implica necesariamente que cada uno de los responsable determine en todos los casos todos los medios. Pueden darse diferentes circunstancias que conduzcan a una situación de corresponsabilidad siempre que se cumplan el resto de condiciones, incluso cuando la determinación de los medios no se comparta de forma equitativa entre todas las partes, por ejemplo: 

 

  • Diferentes corresponsables determinan los medios del tratamiento a distintos niveles, dependiendo de quien esté efectivamente en la posición de hacerlo. 
  • Una de la entidades suministra los medios del tratamiento y los pone a disposición de otras entidades para sus actividades de tratamiento. La parte que decide hacer uso de dichos medios a fin de que los datos personales se traten para un objetivo determinado también participa en la elección de los medios del tratamiento. Por ejemplo, una entidad que usa para sus objetivos propios una herramienta o sistema desarrollado por otra entidad y que permite el tratamiento de datos personales, probablemente estará tomando una decisión conjunta en relación a los medios del tratamiento para ambas entidades. 

 

Limitaciones a la corresponsabilidad

El hecho de que diferentes actores participen en el mismo tratamiento no significa que estén necesariamente actuando como responsables conjuntos de dicho tratamiento. No todos los tipos de asociación, cooperación o colaboración conllevan corresponsabilidad del tratamiento, pues dicha clasificación requiere un análisis caso por caso de cada tratamiento y el papel preciso que juega cada una de las partes. El CEPD ofrece una lista no exhaustiva de ejemplos de situaciones donde no se da corresponsabilidad: 

  • Operaciones anteriores o posteriores: mientras que dos partes pueden ser consideradas corresponsables en relación a un tratamiento específico donde el objetivo y los medios se hayan determinado de forma conjunta, esto no afecta a los objetivos y medios de operaciones de tratamiento anteriores o posteriores en la cadena de tratamiento. En esos casos, la entidad que decide será considerada como responsable única de las mismas.  
  • Objetivo propio: la figura del corresponsable deberá distinguirse de la de encargado, pues éste, aunque también participa en el desarrollo del tratamiento, no trata los datos con sus propios objetivos, sino que lo hace por parte del responsable. 
  • Beneficio comercial: la mera existencia de un beneficio mutuo que resulte de una actividad de tratamiento no conduce a corresponsabilidad. Por ejemplo, si una de las entidades simplemente recibe un precio por los servicios prestados, estará actuando como un encargado y no como corresponsable. 

Por ejemplo, el uso de un sistema de tratamiento de datos común o una infraestructura no será suficiente para considerar a las partes corresponsables, en concreto en los casos en que el tratamiento se lleve a cabo de forma separada y pudiese desarrollarse por una de las partes sin la intervención de la otra, o donde el proveedor sea un encargado del tratamiento dada la ausencia de objetivos propios. Otro ejemplo sería la cesión de datos de los empleados a las autoridades fiscales. 

Acuerdo de corresponsabilidad

Los corresponsables deberían establecer un acuerdo de corresponsabilidad donde acuerden de manera conjunta y transparente sus respectivas obligaciones en cumplimiento con el RGPD. La siguiente lista no exhaustiva de tareas debería concretarse en dicho documento: 

  • Respuesta a las solicitudes de ejercicio de los derechos reconocidos a los interesados por el RGPD. 
  • Deberes de transparencia en la provisión de la información relevante recogida en los artículos 13 y 14 del RGPD. 
  • Implementación de los principios de protección de datos generales.
  • Base legítima para el tratamiento.
  • Medidas de seguridad.
  • Notificación de una brecha de seguridad a la autoridad de control y a los interesados.
  • Evaluaciones de Impacto de Protección de Datos.
  • El uso de encargados de tratamiento.
  • La transferencia de datos a terceros países.
  • Comunicaciones y contacto con los interesados y las autoridades de control.

El CEPD recomienda documentar todos los factores determinantes así como el análisis interno llevado a cabo para asignar cada una de las obligaciones. Dicho análisis será parte de la documentación debida bajo el principio de rendición de cuentas. 

Por último, en relación a la forma del acuerdo, incluso aunque no exista un requisito legal en el RGPD al respecto, el CEPD recomienda que tal acuerdo se haga mediante un documento vinculante como un contrato o cualquier otro que lo sea bajo el derecho de la Unión o de los Estados Miembro. 

Se puede aportar comentarios a estas Directrices gasta el 19 de octubre. 

¿Tienes dudas sobre cómo cumplir con la normativa de protección de datos? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, cumplimiento con la CCPA, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.

 

vinculantes tras el Brexit

Cambios en las normas corporativas vinculantes tras el Brexit: orientaciones del Comité Europeo de Protección de Datos.

El Comité Europeo de Protección de Datos (CEPD) ha publicado unas orientaciones sobre las normas corporativas vinculantes (BCRs) para empresas y grupos de empresas que tienen a la ICO como autoridad de control principal.  

 

El CEPD ha publicado unas orientaciones sobre las normas corporativas vinculantes (BCRs) para empresas y grupos de empresas que tienen a la ICO como autoridad de control principal. A medida que se realizan cambios para implementar de manera oficial el Brexit, las empresas también están experimentando muchas modificaciones estructurales y procedimentales y algunas tienen como origen la última sentencia del TJUE en el caso Schrems II. El el CEPD ha realizado un análisis de las consecuencias que ha conducido a la publicación de unas orientaciones en las que señala los cambios necesarios en las normas corporativas vinculantes tras el Brexit, que incluye una tabla sobre el criterio para un cambio de autoridad de control en relación a las BCRs, el cómo y el por qué, y la legislación para cada criterio. 

 

Cambios procedimentales para BCRs autorizadas.

 

La empresas que realicen transferencias internacionales mediante BCRs aprobadas y que estén sujetas a la ICO necesitarán una nueva autoridad de control principal dentro del Espacio Económico Europeo. Este cambio deberá implementarse antes de que finalice el período de transición del Brexit. Para BCRs ya aprobadas bajo el RGPD, la nueva autoridad de control principal tendrá que emitir una nueva decisión de aprobación, tras recibir la opinión del CEPD.  

Sin embargo, esta decisión de aprobación no será necesaria para aquellas BCRs donde la ICO actuó como la autoridad de control bajo la Directiva 95/46/EC. 

 

Cambios de contenido para BCRs autorizadas.

 

Antes del fin del período de transición del Brexit, las compañías que ostenten BCRs aprobadas con la ICO como la autoridad de control principal tendrán que modificar dichas BCRs y referenciar el orden normativo del Espacio Económico Europeo. Sin estos cambios (o la nueva decision de aprobación, según corresponda), estas empresas o grupos de empresas no podrán utilizar las BCRs para transferencias fuera del Espacio Económico Europeo tras el período de transición. 

 

Cambios procedimentales para nuevas solicitudes de BCRs ante la ICO. 

 

El CEPD insta a cualquier empresa o grupo de empresas que cuenten con BCRs en fase de revisión con la ICO a identificar una nueva autoridad principal según las orientaciones WP263 rev.01 antes del final del período de transición del Brexit. Habrán de contactar con la nueva autoridad de control y proporcionar toda la información necesaria para solicitar que sea su nueva autoridad de control principal en lo que concierne a las BCRs. Ésta entonces iniciará el procedimiento conforme a la opinión emitida por el CEPD.  

 

Las empresas o grupos de empresas pueden transferir su solicitud a la nueva autoridad de control tras la aprobación de la ICO, en cuyo caso la nueva autoridad de control deberá aprobar la nueva aplicación antes del final del período de transición, conforme al artículo 47.1 RGPD. 

 

Cambios de contenido para nuevas solicitudes de BCRs ante la ICO.

 

Las empresas o grupos de empresas con BCRs en proceso de aprobación por la ICO deberán asegurarse de que sus BCRs refieren el orden normativo del Espacio Económico Europeo con información sobre los cambios previstos, antes del final del período de transición. 

Cambios generales para nuevas solicitudes de BCRs.

 

Cualquier autoridad de control en el Espacio Económico Europeo a la que se le solicite actuar como nueva autoridad de control para las BCRs deberá considerar si es ella la apropiada, caso por caso, conforme al criterio recogido en WP263 y en colaboración con otras autoridades de control que puedan ser de relevancia. El CEPD ha preparado una lista de elementos para BCRs de responsables y encargados de tratamiento que vayan a cambiar sus BCRs con motivo del Brexit. 

 

¿Tienes a la ICO como autoridad de control principal o transfieres datos a Reino Unido? En ese caso puede que necesites realizar algunos cambios importantes antes del final del período de transición del Brexit. Nuestras Evaluaciones de Impacto, adaptaciones al RGPD y la Data Protection Act 2018 así como nuestros servicios de Delegado de Protección de Datos pueden ayudarte. Contacta con nosotros. 

Comisión Europea sobre la transición:

La Comisión Europea lanza un comunicado sobre la transición entre Reino Unido y la Unión Europea

La Comisión Europea ha lanzado un comunicado donde detalla las implicaciones de la transición entre Reino Unido y la Unión Europea.  

Con motivo del final del período de transición entre Reino Unido y la Unión Europea en la salida del primero, prevista para finales de este año, la Comisión Europea ha lanzado un comunicado donde evalúa la situación actual de Reino Unido para su separación. El acuerdo de salida se firmó el 1 de febrero de 2020 y en él se estableció que las leyes de la UE se continuarían aplicando a Reino Unido hasta el 31 de diciembre de 2020. De esta forma, por ahora Reino Unido sigue siendo parte de los programas de la UE y el Mercado Único Europeo y continúa respetando las políticas de la UE y cualquier acuerdo internacional que incluya a la misma.  Esta situación tomará un giro a partir del 1 de enero de 2021, cuando el período de transición llegue a su fin y el acuerdo de salida se haga efectivo. Así por tanto, el período de transición funciona como un período de continuidad para asegurar que Reino Unido está preparada para implementar todas las medidas y acuerdos que sean necesarios a fin de facilitar la negociación de la nueva relación entre Reino Unido y la UE a partir del 1 de enero de 2021. 

Las negociaciones cobran impulso este verano porque la UE y Reino Unido pretenden alcanzar un acuerdo sobre la futura relación entre ambos antes de que llegue la fecha de implementación, prevista para el 1 de enero de 2021. 

Mientras que las negociaciones han evolucionado lento durante la primera parte de este año, desde junio han tomado impulso, pues el Gobierno de Reino Unido ha tomado la decisión de no alargar el período de transición. El objetivo es alcanzar un ambicioso acuerdo en la relación entre ambas partes que cubra todas las áreas acordadas por Reino Unido en la Declaración Política para finales de 2020. El acuerdo resultante daría lugar a una situación muy diferente a la actual participación de Reino Unido en el Mercado Único Europeo y en el área de IVA e impuestos especiales.  Se espera también que se pongan barreras al comercio de bienes y servicios y a la movilidad e intercambios transfronterizos. Todo esto, en el contexto de presión bajo el que se encuentran todos los negocios debido a la pandemia del COVID-19, probablemente causará algunas disrupciones en enero de 2021.   

Se aconseja a los negocios que revisen sus planes de reacción previstos para el escenario de Brexit sin acuerdo. Mientras que las negociaciones todavía están en curso, dichos planes podrían ser todavía muy importantes para los cambios al final del período de transición. 

La Comisión Europea ha publicado información sobre los efectos que dichos cambios podrían tener en varias industrias, e implora a las empresas la implementación de las acciones que aseguren su preparación para el nuevo escenario. 

La Comisión Europea ha comunicado un resumen de los cambios que se esperan  tanto si hay como si no hay un acuerdo de colaboración futura entre Reino Unido y la UE. El 1 de enero de 2021 finalizará el período de transición que actualmente permite la participación de Reino Unido en el Mercado Único Europeo y la Unión Aduanera, lo que implicará el fin del libre movimiento de personas, bienes y servicios entre ambos territorios. Como resultado habrá muchos cambios automáticos. 

Desde marzo de 2020 la Unión Europea ha estado publicando artículos sobre la preparación específica para varias industrias. Hasta la fecha hay 59 artículos que cubren un amplio rango de industrias, y esta lista será actualizada de manera regular conforme otros nuevos se vayan lanzando. La Comisión Europea hace un llamamiento a todos los consumidores nacional y europeos, empresas y asociaciones para asegurar que todos los miembros son plenamente conscientes de los cambios que se esperan. Los cambios que tendrán lugar a partir del 1 de enero de 2021 serán automáticos, de gran alcance e inevitables, de carácter tanto logístico como legal, con lo que los efectos no deberían infravalorarse. En última instancia, las empresas necesitan realizar su propia evaluación de riesgos e implementar las acciones necesarias para confirmar su propia preparación.  

¿Cuáles son las implicaciones para la protección de datos?

Como informamos en nuestro blog en enero, la ICO lanzó un comunicado sobre las implicaciones del Brexit en protección de datos, donde se ofrecía una serie de orientaciones en la materia, a saber: 

Durante el período de transición:

  • El RGPD se continúa aplicando en Reino Unido.
  • No se necesita un representante europeo.
  • Las orientaciones sobre el RGPD de la ICO siguen siendo válidas.
  • Las transferencias de datos entre Reino Unido y Europa no están restringidas. 

Después del período de transición: 

  • El RGPD será llevado a la legislación nacional británica como el ‘RGPD de Reino Unido’ y Reino Unido tendrá independencia para mantener el marco bajo revisión.
  • Podría ser necesario nombrar un representante europeo.
  • La ICO no será institución reguladora ni autoridad de protección de datos para ninguna actividad específicamente europea que recaiga bajo la versión comunitaria del RGPD.
  • La DPA 2018 continuará siendo de aplicación.
  • La ICO seguirá siendo el cuerpo independiente de supervisión de la normativa de protección de datos británica.
  • Las transferencias de datos entre Reino Unido y Europa podrían estar limitadas y se podría precisar de la implementación de medidas y salvaguardas adecuadas.

¿Tratas datos personales en Reino Unido o transfieres datos personales entre Reino Unido y Europa? Si es así, el Brexit podría afectarte. Las evaluaciones de impacto de Aphaia y los servicios de subcontratación del Delegado de Protección de Datos y de adaptación al RGPD y a la Data Protection Act 2018 pueden ayudarte. Infórmate aquí.