La AEPD lanza Pacto Digital

La AEPD lanza Pacto Digital, una iniciativa para reforzar el derecho a la protección de datos

La AEPD lanza Pacto Digital, una iniciativa para reforzar el derecho a la protección de datos con el apoyo de 40 organizaciones. 

 

La iniciativa del Pacto Digital fue presentada por la AEPD de manera oficial en público el pasado 28 de enero, el día de la Protección de Datos, en un evento virtual denominado “Foro en Privacidad, Innovación y Sostenibilidad”. El evento se retransmitió en directo, y contó con la asistencia de diversos países, empresas y medios de comunicación. Esta iniciativa es parte del Marco Social de Responsabilidad y Sostenibilidad de la AEPD, con el objetivo de concienciar y hacer compatibles la protección de datos con la innovación, a la par que impulsar el compromiso de privacidad entre las organizaciones. Los principios de este pacto promueven la transparencia, y otorgan a los ciudadanos un mayor conocimiento sobre qué datos se recogen y por qué. La iniciativa también fomenta la igualdad de género y raza y asegura la protección de los niños y otras personas vulnerables. Pacto Digital persigue que los avances tecnológicos eviten la perpetuación de sesgos, principalmente aquellos relacionados con la raza, el origen, las creencias, la religión o el género.  

 

La iniciativa de pacto digital lanzada por la AEPD consiste en tres documentos: un contrato, un compromiso de responsabilidad digital y un código de conducta. 

 

Las organizaciones que se suscriben a esta iniciativa firman un contrato que muestra su compromiso de implementar las recomendaciones del pacto de manera interna y también de otorgar a sus empleados y usuarios acceso al Canal Prioritario para solicitar la eliminación urgente de contenido sexual o violento online, así como otras herramientas y recursos para ayudar a concienciar de la importancia de la privacidad y los datos personales. 

 

Como parte de la iniciativa, la AEPD ha introducido un Compromiso de Responsabilidad Digital que contiene obligaciones que las organizaciones subscriptoras prometen cumplir, lo cual no pretende imponer obligaciones adicionales a aquellas a las que ya están sometidas. Este compromiso está adaptado al entorno digital y busca simplemente obtener un acuerdo específico de las partes con la finalidad de mantener el estándar. Este documento describe las responsabilidades ya existentes para estas organizaciones específicamente orientadas a la seguridad y privacidad online. Asimismo incorpora principios que deberían considerarse para asegurar que la ética de la protección de datos permanece intacta cuando se diseñan e implementan desarrollos tecnológicos. 

 

Finalmente, el código de conducta para buenas prácticas está dirigido a organizaciones con sus propios canales de difusión y medios de comunicación, a lo cual la AEPD pretende colaborar para informar sobre eventos de relevancia para sus redes y audiencias. Además, el código de conducta establece que estas organizaciones se comprometen a abstenerse de identificar a las víctimas de la difusión de contenidos sensibles o sancionar cualquier información que pudiese potencialmente identificarlas, especialmente en relación a figuras públicas.  

 

Cuarenta organizaciones firmaron el pacto el pasado 28 de enero, y hay otras tantas partes interesadas que podrían hacerlo de manera online. 

 

El pasado 28 de enero, las 40 organizaciones que ya forman parte del Pacto se comprometieron con los principios de protección de datos y privacidad de manera pública mediante la firma de este acuerdo. Este pacto digital está a abierto a cualquier organización que desee asumir estos compromisos reflejados en el contrato. Las organizaciones que estén interesadas pueden postular simplemente mostrando su compromiso públicamente, y prometiendo cumplir con los principios indicados en el pacto.  

 

¿Has implementado todas las medidas necesarias en cumplimiento de la normativa aplicable? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Reino Unido y la UE

Acuerdo entre Reino Unido y la UE: se prolonga el plazo de validez de la libre circulación de datos personales.

El Gobierno de Reino Unido ha anunciado recientemente un acuerdo con la UE que prolonga el período de transición, lo cual también se refleja en los flujos de datos personales, que continúan sin restricciones durante dicho plazo. 

 

El pasado mes informamos sobre la inminente finalización del período de transición y la necesidad de que las empresas y organizaciones británicas adaptasen sus procesos para cumplir con la normativa de protección de datos, antes del 31 de diciembre de 2020. Desde entonces, el Gobierno británico ha anunciado un acuerdo que permite la libre circulación de datos personales entre la UE (EEE) y Reino Unido, incluidas las autoridades de control. Este acuerdo se mantendrá hasta que se adopte una decision de adecuación, por un período no superior a seis meses.  

 

El Gobierno de Reino Unido anuncia el nuevo acuerdo, que permite la libre circulación de datos personales entre Reino Unido, la UE y el EEE. 

 

La declaración emitida por el Gobierno de Reino Unido ofrece un análisis en profundidad de las implicaciones del acuerdo en el comercio digital, pues se pretende que Reino Unido y la UE colaboren en asuntos de comercio digital en el futuro, incluidas las tecnologías de emergencia. El acuerdo prohibirá cualquier requisito de tratar datos en un lugar específico, en aras así de la libre circulación de información. Esta es la primera vez que la UE ha incluido provisiones sobre protección de datos en un acuerdo por el libre comercio. Se espera que el acuerdo promueva la confianza en la economía digital y que evite la imposición de condiciones prohibitivas a las empresas de Reino Unido.  

 

Este acuerdo entre Reino Unido y la UE también incluye una provisión completamente novedosa, inspirada por las recientes conversaciones de la Organización Mundial del Comercio y Espacio Económico Europeo (WTO), sobre la apertura de los datos gubernamentales, lo cual incentiva a los Gobiernos a poner a disposición datos no personales anonimizados, de una manera accesible y en un formato legible mecánicamente. También garantiza que ni Reino Unido ni la UE discriminará contra firmas o documentos electrónicos, únicamente sobre la base de que están en formato digital, asegurando así que los contratos se pueden completar de manera digital, con muy pocas excepciones. 

 

Se espera que el acuerdo brinde una mayor protección a los consumidores, pues contiene excepciones especiales para preservar el espacio político a fin de que Reino Unido y la UE protejan a los consumidores en sus transacciones digitales. Asimismo contiene protección al consumidor en dicho ámbito y provisiones anti-spam. Este acuerdo también protege contra la  transferencia forzada de código fuente, velando por la protección de las transferencias y la propiedad intelectual.  

 

La ICO ha publicado un pronunciamiento aconsejando a las empresas y organizaciones británicas acordar mecanismos de transferencia alternativos. 

 

La ICO ha publicado un pronunciamiento actualizado en el que solicita a las empresas y organizaciones que transfieren datos a la UE y el EEE establecer mecanismos de transferencia alternativos durante este período, a fin de evitar la interrupción de los flujos de datos. Elizabeth Denham, Comisionada de Información, afirmó que: “Esto implica que las empresas pueden estar seguras sobre la libre circulación de datos personales a partir del 1 de enero sin la necesidad de realizar ningún cambio en sus prácticas de protección de datos”. La ICO espera publicar nuevas orientaciones en su página web para reflejar la prolongación de estas provisiones y asegurar que las empresas conocen qué deben hacer. 

 

¿Realizas transferencias internacionales de datos a terceros países? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Segunda Asamblea de la Alianza Europea

Segunda Asamblea de la Alianza Europea de IA

La segunda Asamblea de la Alianza Europea de IA se celebró el pasado viernes 9 de octubre, esta vez online debido a la situación generada por la pandemia del COVID-19. 

La segunda edición de la Asamblea Europea de IA tuvo lugar el pasado Viernes 9 de octubre en un evento de un día completo que se celebró de forma online debido a la pandemia del COVID-19. La Asamblea reunió a más de 1.400 personas conectadas que siguieron las sesiones en directo y tuvieron la oportunidad de formular preguntas a los panelistas. 

El evento

El foco se centró en la iniciativa europea para construir un Ecosistema de Excelencia y Confianza en Inteligencia Artificial. Las charlas se dividieron entre plenos, talleres y grupos de trabajo.  

Los principales temas que se trataron son los siguientes:

  • Los resultados de la Consulta en el Libro Blanco de IA lanzado por la Comisión Europea
  • Las últimas publicaciones del Alto Grupo de Expertos en IA (AI-HLEG) y 
  • Las futuras proyecciones de la Alianza Europea de IA como un foro multinivel que refleja de manera amplia aspectos sociales, económicos y técnicos de IA en el marco del proceso de creación de políticas europeas. 

Como miembros de la Alianza Europea de Inteligencia Artificial, Aphaia tuvo el honor de participar en el evento y disfrutar de algunas de las sesiones que trataron temas cruciales para el desarrollo e implementación de IA en Europa, tales como “Requisitos para una IA fiable” o “IA y responsabilidad”. 

Requisitos para una IA fiable

Los ponentes compartieron sus perspectivas sobre los riesgos derivados de los sistemas de IA y los enfoques que deberían tomarse para apoyar la generalización del uso de IA en la sociedad.

Hugues Bersini, Profesor de Ciencias de la Computación en la Universidad Libre de Bruselas, considera el uso de IA se refleja en una función de coste, donde optimizarla es el objetivo: “Los problemas desaparecen cuando se alinea el coste social y el coste individual”.  

Haydn Belfield, Manager de Proyectos en CSER, Universidad de Cambridge, señaló que el alto riesgo que los sistemas de IA pueden conllevar para las oportunidades y derechos fundamentales de las personas demanda un marco de regulación que incluya requisitos obligatorios que deberían, al mismo tiempo, ser flexibles y prácticos. 

Para Francesca Rossi, Líder Global de Ética de la IA en IBM, la transparencia y la explicabilidad son la clave. Aclaró que la IA debería emplearse para impulsar las capacidades de decisión de los seres humanos, los cuales han de tomar decisiones fundamentadas. Esta finalidad no podría alcanzarse si se concibe a los sistemas de IA como cajas negras. 

En respuesta a las preguntas de la audiencia, los expertos comentaron de manera conjunta la cantidad de niveles de riesgo que serían necesarios en el campo de la IA. La principal conclusión se trazó en torno a la consideración de que la propia definición de alto riesgo es ya en sí mismo un reto, de manera que contar con dos niveles de riesgo (alto riesgo y no alto riesgo) sería un buen comienzo sobre el cual se podrían construir futuros desarrollos. 

Los invitados también analizaron de manera breve cada uno de los requisitos para una IA fiable recogidos en las directrices del AI-HLEG, a saber: acción y supervisión humana, solidez técnica y seguridad, gestión de la privacidad y de los datos, transparencia, diversidad, no discriminación y equidad, bienestar social y ambiental y rendición de cuentas. 

En nuestra opinión, resultaron especialmente interesantes las aportaciones sobre la IA y los sesgos y aquellas otras en relación a la acción y supervisión humanas: 

IA y sesgos

Paul Lukowicz, Director Científico y Jefe de la Unidad de Investigación “Embedded Intelligence” en el Centro Alemán de Investigación en Inteligencia Artificial, define el concepto de “machine learning” como la operación por la cual se le da al ordenador métodos de los cuales puede extraer procedimientos e información de los datos, y afirmó que esa es precisamente la clave del éxito actual de la IA.  El resto reside en que muchos de los sesgos y efectos discriminatorios de los sistemas de IA resultan de entregar al ordenador datos que ya en sí mismos incorporan sesgos y discriminación. La dificultad no se encuentra en que los desarrolladores fallen de alguna forma en entregar datos que no son representativos: los datos son de hecho representativos, y es la circunstancia de que en nuestro día a día hay sesgo y discriminación, lo que hace que eso sea exactamente lo que los sistemas aprendan y enfaticen. En relación a esto, él considera que otro de los obstáculos es la incertidumbre, pues no se puede pretender tener un conjunto de datos que cubra todos los posibles sucesos del mundo: “Siempre tenemos un grado de incertidumbre en la vida, y eso mismo ocurre con los sistemas de IA”. 

Acción y supervisión humana

Aimee Van Wynsberghe, Profesora Asociada de Ética y Tecnología en TU Delft, destacó alguno de los problemas a los que puede enfrentarse la implementación de la acción y supervisión humana:

  1. Aimee replanteó la idea de que el resultado del sistema de IA no es válido hasta que se haya revisado y validado por un ser humano. Ella opina que este enfoque puede ser difícil de gestionar dado que hay algunos sesgos que amenazan la autonomía humana: sesgo de automatización, sesgo de simulación y sesgo de confirmación. Los humanos tienen tendencia de favorecer las recomendaciones de los sistemas de toma de decisión automática, e ignorar información contradictoria obtenida sin automatización. El otro reto en este sentido es el consume de recursos que se necesita para revisar y validar cada output del sistema de IA. 
  2. En cuanto a la alternativa basada en el hecho de que los resultado del sistema de IA se harían inmediatamente efectivos bajo el requisito de que se asegurase una supervisión humana después, Aimee evidenció el problema de distribución de la responsabilidad de confirmar dicha intervención humana posterior: “¿Quién va a asegurar que dicha supervisión posterior realmente tenga lugar? ¿La empresa? ¿El cliente? ¿Es justo asumir que los consumidores tendrían el tiempo, el conocimiento y la habilidad para hacerlo? “
  3. Por su parte, el control del sistema de IA mientras está en funcionamiento y la posibilidad de intervenir en tiempo real y desactivarlo también sería complicado debido, de nuevo, a la psicología humana: “existe una falta de conciencia situacional que no permite tomar el mando”. 

IA y responsabilidad

Corinna Schulze, Directora de Asuntos Gubernamentales en  SAP; Marco Bona, Miembro del Comité General de PEOPIL’s  en Italia y Experto Internacional en Lesiones Personales; Bernhard Koch, Profesor de Derecho Civil y Comparado y miembro de la Formación de Nuevas Tecnologías del Grupo Europeo experto en Responsabilidad de las Nuevas Tecnologías; Jean-Sébastien Borghetti, Profesor de Derecho Privado en la Universidad de Paris II Panthéon-Assas y Dirk Staudenmaier, Jefe de la Unidad de Derecho de los Contratos en el Departamento de Justicia de la Comisión Europea, hablaron sobre los principales defectos detectados en el campo de la responsabilidad de la IA, y lo pusieron en relación con la Directiva de Responsabilidad por los daños causados por Productos Defectuosos.

Los expertos señalaron los siguientes elementos negativos de la Directiva:

  • Limitación temporal de 10 años: en la opinión de la mayoría de los participantes, esto puede generar problemas porque se refiere únicamente a los productores, y la situación es más complicada cuando también hay operadores, usuarios, propietarios y otras partes implicadas. Además, los 10 años puede ser un período válido para los productos tradicionales, pero puede que no sea suficiente en términos de protección de las víctimas de algunos artefactos y sistemas de IA.
  • Ámbito: únicamente se refiere a la protección de los consumidores, y no cubre la protección de las víctimas. Consumidores y víctimas a veces coinciden, pero otras no. 
  • Noción de defecto: la distinción entre producto y servicio puede dar lugar a algunos conflictos. La Directiva cubre sólo los productos, no los servicios, lo cual puede levantar algunas preocupaciones en relación al internet de las cosas y el software. 

 

La Comisión Europea ha publicado los links de las sesiones para que pueden acceder todos aquellos que no pudieron atender el evento o que quieran volver a verlas. 

¿Necesitas ayuda con la ética de la IA? Podemos ayudarte. Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA.

Corresponsabilidad del tratamiento

Corresponsabilidad del tratamiento: indicaciones clave del Comité Europeo de Protección de Datos

El Comité Europeo de Protección de Datos publica unas indicaciones clave sobre los conceptos de encargado, responsable y corresponsable del tratamiento, en sus Directrices 07/2020.

El Comité Europeo de Protección de Datos (CEPD) publicó el pasado 7 de septiembre sus Directrices 07/2020 sobre los conceptos de responsable y encargado de tratamiento bajo el RGPD, con la intención de delimitar un significado preciso de los mismos y un criterio adecuado para su correcta interpretación, de manera que se aplique de forma consistente en todos los países del Espacio Económico Europeo. 

Desde que el TJUE determinase, en el caso Fashion ID, C-40/17, que el minorista de moda Fashion ID actuaba como corresponsable del tratamiento junto con Facebook al incorporar el botón de ‘Me gusta’ en su página web, el concepto de corresponsabilidad del tratamiento parece tener ahora un alcance más amplio, y aplicarse a ciertos tratamientos que en el pasado habrían tomado una consideración distinta. 

En nuestro artículo de hoy analizamos las principales consideraciones del CEPD en relación al concepto de corresponsabilidad del tratamiento.

El concepto de corresponsable del tratamiento en el RGPD

Conforme al Artículo 26 del RGPD, se puede dar corresponsabilidad en el tratamiento cuando dos o más responsables determinan de manera conjunta los medios y los objetivos del tratamiento. El RGPD también establece que las partes implicadas deberán definir sus respectivas obligaciones de cumplimiento en un acuerdo entre las mismas, cuyos aspectos esenciales se pondrán a disposición de los interesados. Sin embargo, el RGPD no contiene ninguna disposición relativa a los detalles de esta figura, como la definición de “conjuntamente” o la forma legal que deberá tomar el acuerdo.

Participación conjunta. 

El CEPD explica que la participación conjunta puede ser mediante una decision común o a través de decisions convergentes. Así por tanto, en la práctica, la participación conjunta puede tomar formas diversas y no require el mismo grado de implicación o responsabilidad proporcional de cada uno de los responsables en cada caso. 

  • Participación conjunta mediante una decision común. Implica que los responsables decidan juntos y tomar una decisión conjunta.
  • Participación conjunta mediante decisiones convergentes. Esta variedad deriva de la jurisprudencia del TJUE sobre el concepto de corresponsables. Conforme al RGPD, los requisitos que las decisiones deberían cumplir para ser consideradas decisiones convergentes en los objetivos y medios del tratamiento son las siguientes:  
    • Se complementan la una a la otra.
    • Son necesarias para que el tratamiento tenga lugar de tal manera que repercutan en un impacto tangible en la determinación de los objetivos y medios del tratamiento.

Como resultado, la pregunta que debería plantearse a fin de identificar si se da el escenario de decisiones convergentes yace sobre el siguiente planteamiento: “¿Sería el tratamiento posible sin la participación de todos los responsables en el sentido de que la participación de todos es indispensable?”.

Asimismo, el CJE destaca el hecho de que no es necesario que todas las partes tengan acceso a los datos para que se les considere parte de una relación de corresponsabilidad. 

Objetivo determinado de manera conjunta

El CEPD considera que hay dos situaciones bajo las que los objetivos perseguidos por los responsables de tratamiento pueden considerarse como determinados de manera conjunta:

  • Las entidades involucradas en la misma operación traten esos datos con fines definidos de manera conjunta. 
  • Las entidades involucradas persigan objetivos que están muy estrechamente vinculados o son complementarios. Podría ser el caso, por ejemplo, donde haya un beneficio mutuo que resulte de la misma operación de tratamiento, sujeto a que cada una de las entidades participen en la determinación de los objetivos y medios de la correspondiente operación de tratamiento.  

Medios determinados de manera conjunta

La corresponsabilidad requiere que todas las partes involucradas ejerzan influencia en los medios del tratamiento. Sin embargo, esto no implica necesariamente que cada uno de los responsable determine en todos los casos todos los medios. Pueden darse diferentes circunstancias que conduzcan a una situación de corresponsabilidad siempre que se cumplan el resto de condiciones, incluso cuando la determinación de los medios no se comparta de forma equitativa entre todas las partes, por ejemplo: 

 

  • Diferentes corresponsables determinan los medios del tratamiento a distintos niveles, dependiendo de quien esté efectivamente en la posición de hacerlo. 
  • Una de la entidades suministra los medios del tratamiento y los pone a disposición de otras entidades para sus actividades de tratamiento. La parte que decide hacer uso de dichos medios a fin de que los datos personales se traten para un objetivo determinado también participa en la elección de los medios del tratamiento. Por ejemplo, una entidad que usa para sus objetivos propios una herramienta o sistema desarrollado por otra entidad y que permite el tratamiento de datos personales, probablemente estará tomando una decisión conjunta en relación a los medios del tratamiento para ambas entidades. 

 

Limitaciones a la corresponsabilidad

El hecho de que diferentes actores participen en el mismo tratamiento no significa que estén necesariamente actuando como responsables conjuntos de dicho tratamiento. No todos los tipos de asociación, cooperación o colaboración conllevan corresponsabilidad del tratamiento, pues dicha clasificación requiere un análisis caso por caso de cada tratamiento y el papel preciso que juega cada una de las partes. El CEPD ofrece una lista no exhaustiva de ejemplos de situaciones donde no se da corresponsabilidad: 

  • Operaciones anteriores o posteriores: mientras que dos partes pueden ser consideradas corresponsables en relación a un tratamiento específico donde el objetivo y los medios se hayan determinado de forma conjunta, esto no afecta a los objetivos y medios de operaciones de tratamiento anteriores o posteriores en la cadena de tratamiento. En esos casos, la entidad que decide será considerada como responsable única de las mismas.  
  • Objetivo propio: la figura del corresponsable deberá distinguirse de la de encargado, pues éste, aunque también participa en el desarrollo del tratamiento, no trata los datos con sus propios objetivos, sino que lo hace por parte del responsable. 
  • Beneficio comercial: la mera existencia de un beneficio mutuo que resulte de una actividad de tratamiento no conduce a corresponsabilidad. Por ejemplo, si una de las entidades simplemente recibe un precio por los servicios prestados, estará actuando como un encargado y no como corresponsable. 

Por ejemplo, el uso de un sistema de tratamiento de datos común o una infraestructura no será suficiente para considerar a las partes corresponsables, en concreto en los casos en que el tratamiento se lleve a cabo de forma separada y pudiese desarrollarse por una de las partes sin la intervención de la otra, o donde el proveedor sea un encargado del tratamiento dada la ausencia de objetivos propios. Otro ejemplo sería la cesión de datos de los empleados a las autoridades fiscales. 

Acuerdo de corresponsabilidad

Los corresponsables deberían establecer un acuerdo de corresponsabilidad donde acuerden de manera conjunta y transparente sus respectivas obligaciones en cumplimiento con el RGPD. La siguiente lista no exhaustiva de tareas debería concretarse en dicho documento: 

  • Respuesta a las solicitudes de ejercicio de los derechos reconocidos a los interesados por el RGPD. 
  • Deberes de transparencia en la provisión de la información relevante recogida en los artículos 13 y 14 del RGPD. 
  • Implementación de los principios de protección de datos generales.
  • Base legítima para el tratamiento.
  • Medidas de seguridad.
  • Notificación de una brecha de seguridad a la autoridad de control y a los interesados.
  • Evaluaciones de Impacto de Protección de Datos.
  • El uso de encargados de tratamiento.
  • La transferencia de datos a terceros países.
  • Comunicaciones y contacto con los interesados y las autoridades de control.

El CEPD recomienda documentar todos los factores determinantes así como el análisis interno llevado a cabo para asignar cada una de las obligaciones. Dicho análisis será parte de la documentación debida bajo el principio de rendición de cuentas. 

Por último, en relación a la forma del acuerdo, incluso aunque no exista un requisito legal en el RGPD al respecto, el CEPD recomienda que tal acuerdo se haga mediante un documento vinculante como un contrato o cualquier otro que lo sea bajo el derecho de la Unión o de los Estados Miembro. 

Se puede aportar comentarios a estas Directrices gasta el 19 de octubre. 

¿Tienes dudas sobre cómo cumplir con la normativa de protección de datos? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, cumplimiento con la CCPA, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.