La AEPD publica

La AEPD publica una guía para auditorías de tratamientos que incluyan IA

La AEPD ha publicado una guía que incluye una serie de requisitos que deberían aplicarse en las auditorías de tratamientos que incluyan componentes de IA 

A principios de este mes, la AEPD publicó una guía sobre los “Requisitos para Auditorías de Tratamiento que incluyan IA”, donde elabora sobre los principales controles que deberían aplicarse a las auditorías de actividades de tratamiento que comprendan componentes de IA. 

Las auditorías son parte de las medidas técnicas y organizativas reguladas en el RGPD y se consideran esenciales para configurar una óptima protección de los datos personales. La guía de la AEPD contiene una lista de controles entre las que el auditor habrá de seleccionar las que considere adecuadas para su caso concreto, en función de varios factores, como: la forma en la que el tratamiento puede influir en el cumplimiento con el RGPD, el tipo de componente de IA empleado, la categoría de actividades de tratamiento y los riesgos que estas suponen para los derechos y libertades de los sujetos.  

Características especiales de la metodología en las auditorías de IA 

La AEPD señala que el proceso de auditoria debería articularse en torno a los principios recogidos en el RGPD, a saber: licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad, y responsabilidad proactiva.

La AEPD también aclara que no se espera una aplicación conjunta de todos los controles detallados en la guía, sino que se deberán seleccionar en cada caso los que sean más relevantes según el alcance de la auditoría y los objetivos perseguidos.  

¿A qué tipo de tratamientos se aplican estos requisitos y quién debería cumplir con ellos? 

Las siguientes premisas serán necesarias para decidir sobre la idoneidad de los requisitos de la guía en un determinado proceso de auditoría:

  • Existe, o se pretende realizar, un tratamiento de datos personales en alguna de las etapas del ciclo de vida del componente IA o
  • El tratamiento se dirige a perfilar al individuo o a ejecutar decisiones automáticas sobre personas físicas que tengan efectos jurídicos sobre ellas o les afecten significativamente.

La AEPD establece que en algunas situaciones podría ser recomendable desarrollar una serie de evaluaciones previas antes de progresar con la auditoria, como serían, entre otros, un análisis previo del grado de anonimización alcanzado para los datos utilizados en el tratamiento en general y por el componente en particular, el cálculo o estimación del posible riesgo de reidentificación que existe, o una evaluación del cálculo del riesgo de pérdida de datos en la nube.

La guía está especialmente dirigida a responsables que han de auditar tratamientos que incluyan componentes basados en IA, a encargados y desarrolladores que quieran ofrecer garantías sobre sus productos y servicios, a los Delegados de Protección de Datos y a los equipos de auditores cuando se ocupen de la evaluación de dichos tratamientos.

Objetivos de control y controles

El contenido principal de la guía está constituido por cinco áreas de auditoria que se dividen en varios objetivos, los cuales a su vez contienen los diferentes controles entre los cuales los auditores, o la persona a cargo del proceso según corresponda, podrán hacer su selección para el caso concreto que les ocupe. 

La AEPD ofrece una lista exhaustiva que abarca más de cien controles, los cuales hemos resumido en los próximos párrafos. 

  • Identificación y transparencia del componente

Este área comprende los siguientes objetivos: inventario del componente IA auditado, identificación de responsabilidades y transparencia. 

La AEPD enfatiza la importancia de conservar registros tanto del componente -entre los que se incluyen el identificador, la version, la fecha de creación y el histórico- como de las personas que se encuentran a cargo del proceso -entre otros, sus datos de contacto, funciones y responsabilidades-. Se dan también algunas consideraciones en cuanto a la información que debe estar disponible para las partes interesadas, especialmente en lo que se refiere a las fuentes de datos, las categorías de datos involucradas, el modelo, la lógica y los mecanismos de rendición de cuentas.  

  • Propósitos del componente IA

Se dan numerosos objetivos dentro de esta segunda área: identificación de las finalidades, usos previstos y contexto de uso del componente IA, análisis de proporcionalidad y necesidad, determinación de los destinatarios de los datos, limitación de la conservación de datos y análisis de las categorías de interesados. 

Los controles asociados a estos objetivos se basan en los estándares y requisitos necesarios para alcanzar los resultados deseados y los elementos que pueden afectar a dichos resultados, como por ejemplo los factores condicionantes, las condiciones socioeconómicas y la distribución de tareas, entre otros, para lo cual se recomienda realizar un análisis de riesgos y una evaluación de impacto. 

  • Fundamentos del componente IA

Este área se construye sobre los siguientes objetivos: identificación de la política de desarrollo del componente IA, implicación del DPD, adecuación de los modelos teóricos base y del marco metodológico e identificación de la arquitectura básica del componente. 

Los controles definidos en esta sección se relacionan en esencia con los elementos formales del proceso y la metodología aplicada, y se enfocan a asegurar la interoperabilidad entre la política de desarrollo del componente de IA y la política de privacidad, a definir los requisitos que debería cumplir el DPD y garantizar su oportuna participación, así como a fijar los procesos de revisión correspondientes. 

  • Gestión de los datos

La AEPD detalla cuatro objetivos para este área: aseguramiento de la calidad de los datos, determinación del origen de las fuentes de datos, preparación de los datos y control de sesgo. 

Mientras que la protección de datos es en efecto el ‘leitmotiv’ de toda la guía, esta materia está en especial presente en este capítulo, el cual cubre aspectos como el gobierno del dato, la distribución de variables y proporcionalidad, las bases legítimas de tratamiento, la lógica en la selección de las fuentes de datos y la categorización de los datos y las variables. 

  • Verificación y validación

Son siete los objetivos que se persiguen bajo esta área: adecuación del proceso de verificación y validación del componente IA, verificación y validación del componente IA, rendimiento, coherencia, estabilidad y robustez, trazabilidad y seguridad. 

Los controles que se incluyen en este área se centrar en asegurar el cumplimiento con la normativa de protección de datos durante la implementación y uso continuados del componente de IA, y se buscan garantías sobre la existencia de normas y estándares que permitan la verificación y validación de los procesos una vez que se ha integrado el componente IA, una planificación para inspecciones internas, un análisis de falsos positivos y falsos negativos, un proceso para encontrar anomalías y la identificación de comportamiento inesperado, entre otros. 

Notas finales

La AEPD concluye con un recordatorio sobre el hecho de que la guía contiene un enfoque de protección de datos para la auditoria de componentes IA, lo cual implica, por un lado, que podría requerir ser complementada con controles adicionales derivados de otras perspectivas y, por otro, que no todos los controles serán importantes para cada caso, pues deberán ser seleccionados conforme a las necesidades concretas de las circunstancias, en consideración del tipo de tratamiento, los requisitos impuestos por el cliente, las características especiales de la auditoria y su alcance y los resultados de la evaluación de riesgos. 

¿Utilizas IA en tu empresa? El futuro marco regulatorio de la UE podría afectarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de la ética de la IA y subcontratación del Delegado de Protección de DatosInfórmate aquí.

paquete de Digital Services Act

La UE anuncia sus nuevos planes para la regulación de los servicios digitales: por un lado, la Digital Services Act y, por otro, la Digital Markets Act

Conforme a la Comisión Europea, el paquete de Digital Services Act es un nuevo marco legal que busca garantizar la seguridad de los usuarios en internet y mantener un entorno abierto para las plataformas que vele por ello. 

La Comisión Europea ha anunciado recientemente su intención de implementar dos nuevas leyes: por un lado, la Digital Services Act (DSA) y, por otro, la Digital Markets Act (DMA). El objetivo de ambas es asegurar el espacio digital, de tal manera que los derechos fundamentales de todos los usuarios de servicios digitales esté protegidos y equilibrar el campo de juego para impulsar la innovación, el crecimiento y la competencia tanto dentro del Mercado Único Europeo como de forma global. 

La Comisión preparó este paquete legislativo después de consultar a un amplio conjunto de partes interesadas, incluidos, entre otros, el sector privado, usuarios de servicios digitales, organizaciones civiles, autoridades nacionales, universidades, expertos técnicos, organizaciones internacionales y el público en general. Se llevaron a cabo varias fases de consulta para recoger los puntos de vista de todas las partes en relación a diferentes temas relaciones con los servicios digitales y las plataformas. 

La Digital Services Act se enfoca a garantizar un entorno online seguro y responsable. 

La DSA consiste en un nuevo conjunto de normas en relación a los servicios digitales, que sitúa a los ciudadanos en el centro, con la finalidad de impulsar el crecimiento, la competencia, la innovación y la presencia de las plataformas más pequeñas. Las normas han sido diseñadas para ofrecer transparencia y cubrir las responsabilidades oportunas que se derivan de las plataformas online, de tal manera que se reforzará la protección de los consumidores y sus derechos fundamentales online. Los ciudadanos pueden esperar más opciones, precios menores y mayor protección respecto del contenido ilegal. Se deberían también mitigar los riesgos sistémicos como la manipulación y la desinformación, a la vez que se establezca un mayor control democrático sobre las plataformas. 

La Digital Services Act regulará los servicios de intermediación online que millones de europeos usan cada día, como los online marketplaces, las redes sociales, las plataformas de contenido, las app stores, las plataformas, los servicios de hosting y los servicios de intermediación, con normativa especial aplicable a las grandes empresas tecnológicas que alcanzan alrededor del 10% de los 450 millones de consumidores europeos. Las empresas micro y las pequeñas empresas tendrán obligaciones proporcionales a su habilidad y tamaño, a su vez que se asegura su responsabilidad. Todos los intermediarios online que ofrezcan sus servicios en el mercado único, ya estén establecidos en la UE o fuera, tendrán que cumplir con estas nuevas normas. 

La Digital Markets Act ha sido diseñada para asegurar mercados digitales abiertos y justos. 

La DMA se enfoca a un grupo muy específico de organizaciones, denominadas “gatekeepers”. La ley establece un conjunto de criterios objetivos estrictamente definidos para designar a las grandes plataformas tecnológicas, llamadas “gatekeeper”, permitiendo así a la DMA actuar sobre el objetivo que pretende afrontar en relación a las grandes plataformas online. Este criterio incluye companies con una posición económica fuerte, impacto signiticativo en el mercado interno, una posición de intermediación fuerte, posición duradera en el mercado y operativa en múltiples países miembro de la UE. Lo que estas nuevas normas permiten y no permiten a estas empresas deben incorporarse a las operaciones diarias de las mismas. La Comisión llevará a cabo investigaciones para asegurar que estas normas evolucionan a la par que el mercado. 

Con el establecimiento de este nuevo conjunto de normas, se espera que los consumidores tengan mejor acceso al rango de servicios sobre el que pueden elegir, más oportunidades para cambiar de proveedor, acceso directo a los servicios y precios más razonables. La ley permitirá a los “gatekeepers” mantener las oportunidades de innovación y oferta de nuevos servicios, pero no podrán ganar una ventaja indebida. Los beneficios que estas normas conllevan para empresas innovadoras y start-ups son nuevas oportunidades de competir e innovar en el entorno digital, así como la libertad de no tener que adherirse con términos injustos y condiciones que limitan su desarrollo. En generar, las empresas que dependan de los “gatekeepers” para ofrecer sus servicios en el mercado único digital se beneficiarán de un entorno más equitativo. 

Las dos nuevas leyes propuestas darán solución a un conjunto de problemas a lo largo de la UE, y se espera que tengan un impacto positivo muy significativo en los derechos fundamentales dentro del entorno digital. 

Las nuevas estrategias legislativas propuestas se aplicarán a lo largo de toda la UE, y tendrán como objetivo las lagunas y barreras legales que todavía requieren una solución a pesar de las intervenciones dirigidas y por específicas por sector que se han dado a nivel comunitario. Mientras que los servicios digitales incluyen un amplio rango de servicios online, las normas recogidas en la Digital Services Act conciernen principalmente a los intermediarios online y a las plataformas como marketplaces, redes sociales, plataformas de contenido, app stores y plataformas de reservas de alojamiento. La Comisión espera que el paquete de la Digital Services Act de lugar a importantes beneficios para los consumidores y una gran innovación en las plataformas, a la vez que se frenan los problemas asociados con la aceleración digital de la sociedad y de la economía.  

En Aphaia somos expertos en política y regulación TIC en Europa, incluyendo telecomunicaciones, protección de datos e IA

Google y Amazon

Google y Amazon se enfrentan a una multa impuesta por la CNIL en Francia por tratamiento ilegítimo de cookies.

Google y Amazon han sido multados por la CNIL en Francia por instalar cookies en los dispositivos de los usuarios sin obtener el correspondiente consentimiento previo ni proporcionar la información relevante. 

 

La CNIL, la autoridad de protección de datos de Francia, informó la semana pasada de que tanto Google como Amazon habían sido sancionados por un tratamiento de cookies ilegítimo que condujo a un incumplimiento de la normativa de protección de datos nacional. Tras varias investigaciones que tuvieron lugar entre diciembre de 2019 para amazon.fr y marzo de 2020 en el caso de google.fr, la CNIL descubrió que ambas páginas violaban el Artículo 82 de la normativa de protección de datos nacional. 

 

Google infringió el artículo 82 de la ley de protección de datos francesa hasta en tres ocasiones, mientras que Amazon lo hizo dos veces.  

 

Tras la investigación, se descubrió que ambas páginas habían estado instalando cookies de manera automática en los ordenadores de los usuarios, sin solicitarles ninguna acción por su parte ni consentimiento previo. Dichas cookies se consideraron no esenciales para la prestación del servicio, y por tanto deberían instalarse sólo con consentimiento expreso del usuario.  Esta práctica infringe el Artículo 82 de la ley de protección de datos francesa, e ignora el requisito de obtener consentimiento previo antes de instalar cookies en los dispositivos de los usuarios. 

 

Mientras que tanto google.fr como amazon.fr contaban con un banner que se mostraba en la parte inferior de la pantalla e informaba a los usuarios bien del acuerdo de confidencialidad de la empresa (en el caso de Google) o de la aceptación de las cookies por medio del uso de la página (en el caso de Amazon), los dos banners incumplían la normativa de cookies y no proporcionaban la información requerida, infringiendo así el Artículo 82 de la ley de protección de datos francesa. En el caso de Google, el banner directamente no aportaba ningún tipo de información sobre las cookies que se habían instalado de forma automática. Por otro lado, el botón de “consultar ahora” que estaba disponible en el banner de google.fr tampoco conducía a los usuarios a ninguna información sobre las cookies. 

 

En amazon.fr, por su parte, mientras que el banner sí avisaba a los usuarios de la instalación automática de las cookies a través del uso de la página web, esta información no era clara ni completa. El banner no especificaba que las cookies se instalaban en los ordenadores de los usuarios se empleaban principalmente para mostrar anuncios personalizados. Tampoco explicaba si el usuario podía rechazar dichas cookies ni cómo hacerlo. 

 

Además, en el caso de google.fr, incluso después de emplear el mecanismo disponible a través del botón “consulta ahora” para desactivar la personalización de los anuncios, una de las cookies publicitarias se quedaba almacenada en el ordenador del usuario y continuaba leyendo la información correspondiente. El mecanismo de oposición de la página de Google se consideró incorrecto, derivando en una infracción adicional del artículo 82 de la ley francesa de protección de datos. 

 

Google y Amazon han sido multados con un total de 100 y 35 millones, respectivamente. 

 

GOOGLE LLC fue multado con 60 millones de euros y GOOGLE IRELAND LIMITED, con 40 millones de euros. La CNIL justificó estos importes y la decisión de hacerlo público en la seriedad de la triple infracción de Google, el alcance de dicho buscador y la cantidad de usuarios que se vieron afectados por ello, alrededor de cincuenta millones. Los beneficios de publicidad generados por compañías como Google provienen de manera indirecta de los datos recogidos por medio de las cookies publicitarias instaladas en los ordenadores de los usuarios.  Desde una actualización que tuvo lugar en septiembre de 2020 en la página de google.fr, las cookies ya no se instalan de manera automática en los dispositivos de los usuarios, sin embargo, el banner no informa a los usuarios de las finalidades para las cuales se emplean las cookies, ni se ofrece orientación sobre cómo pueden oponerse a las mismas. Además de las multas impuestas a GOOGLE LLC y GOOGLE IRELAND LIMITED, también se emitió un requerimiento por el cual se impondrá una multa de 100.000 euros diarios si, tras tres meses, las empresas no informan a sus usuarios de manera adecuada conforme a la normativa nacional correspondiente. 

 

Por su parte, AMAZON EUROPE CORE fue multado con 35 millones de euros, proceso que también se ha hecho pública debido a la seriedad de las infracciones. Se consideró que, dada la popularidad de la página amazon.fr, millones de residentes franceses visitan este sitio diariamente, con la correspondiente instalación de cookies. Además, la principal actividad de la empresa es la venta de bienes de consume, por lo que los anuncios personalizados, posibles debido al uso de dichas cookies, condujeron a un aumento significativo de la visibilidad de dichos productos en otras páginas web. Se tuvo en cuenta también que, hasta la reestructuración de la web de amazon.fr que se dio en septiembre de 2020, la empresa instalaba cookies en los ordenadores de los usuarios residentes en Francia de manera continua y sin informarles. Independientemente de la fuente o camino que conducía a los usuarios a la página, estos recibían bien información insuficiente o ninguna información en absoluto sobre las cookies instaladas en sus dispositivos. Amazon también ha recibido el requerimiento por el cual se impondrán 100.000 euros de multa adicionales por cada día si en tres meses no se han implementado todos los requisitos correspondientes.  

 

La CNIL ha modificado y publicado su guía y recomendaciones sobre el uso de cookies conforme al RGPD. 

 

El pasado 1 de octubre de 2020, la CNIL publicó sus orientaciones sobre el uso de cookies y otros dispositivos de rastreo. Estas orientaciones son parte de su plan de acción sobre la publicidad dirigida y la aplicación del RGPD. La CNIL requiere que todas las partes implicadas cumplan con las normas recogidas en su guía, y especifica que el período de implementación no debería ser superior a los seis meses. La CNIL ha indicado también que monitorizará de manera continua otros requisitos que no han sido modificados y, cuando sea necesario, adoptará las medidas correctivas que procesan para respetar la privacidad de los individuos. 

 

¿Has adaptado el banner de cookies y la política de cookies de tu página web conforme al RGPD y la guía de la AEPD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. Asimismo disponemos de servicios de cumplimiento con la CCPAInfórmate aquí.

Autoridad de Competencia

La Autoridad de Competencia y de Mercados de Reino Unido publica un nuevo régimen regulatorio para los gigantes tecnológicos, dentro del nuevo marco pro-competencia del país.

La Autoridad de Competencia y de Mercados de Reino Unido publica un nuevo régimen regulatorio para los gigantes tecnológicos que garantizará la competencia y una mayor protección de los datos personales de los individuos que utilizan sus plataformas. 

 

La nueva recomendación emitida hoy al gobierno de Reino Unido incluye incluye una serie de notas alrededor del diseño e implementación del nuevo régimen pro-competencia para los mercados digitales. Este consejo puntero y dirigido fue configurado por el Grupo de Trabajo de Mercados Digitales y liderado por la Autoridad de Competencia y de Mercados (CMA), en trabajo conjunto con Ofcom, la Autoridad de Protección de Datos de Reino Unido (ICO y la Autoridad Financiera de Reino Unido (FCA). El gobierno lo encargó en marzo, y propone un nuevo régimen regulatorio adecuado para la era digital. Permite resultados rápidos, para aprovechar el potencial completo de los mercados digitales y dar como resultado mayor y mejor competencia e innovación. 

 

Elizabeth Denham, presidenta de la ICO, afirma al respecto que “Damos la bienvenida a la publicación de las recomendaciones del Grupo de Trabajo de Mercados Digitales y para nosotros ha sido un placer apoyarlo. La predominancia de unos pocos en el mercado digital impacta en los derechos de protección de datos de las personas cuando utilizan dichas plataformas. Nuestra colaboración con el Grupo de Trabajo refleja la importancia de proteger estos y derechos y asegurar que los individuos tienen un mayor control sobre su información personal”.

 

Este nuevo régimen regulatorio se aplicará a las firmas tecnológicas con “posición estratégica de mercado” (SMS), el equivalente a la posición dominante de mercado en España.

 

Si finalmente este nuevo régimen es implementado, éste gobernará las grandes firmas tecnológicas con “posición estratégica de mercado” (SMS). Se refiere a aquellas con un poder de mercado significativo y afianzado y en los casos en que se deriven efectos generalizados y relevantes de tal poder de mercado. También se crea una nueva “Unidad de Mercados Digitales (DMU)” que garantizará que las reglas y pautas sean claras desde el principio y trabajará con las empresas que tengan “posición estratégica de mercado” para asegurar que cumplen con ellas. 

 

El régimen propone tres pilares clave para las firmas con posición estratégica de mercado, incluyendo un código de conducta vinculante.  

 

Los tres pilares propuestos del régimen para empresas con “posición estratégica de mercado” comprenden un código de conducta vinculante, intervenciones pro-competencia y mejores normas para las fusiones. El nuevo Código de conducta estará adaptado a cada firma y será diseñado y supervisado por el DMU para los casos en que surjan problemas. Se espera que moldear así el comportamiento de las empresas con “posición estratégica de mercado” y regular ciertos aspectos de sus relaciones entre ellas y con sus clientes. El DMU será dotado con una serie de poderes para gestionar controversias, incluido el poder de imponer multas elevadas. 

 

Las intervenciones pro-competencia, como los requisitos de interoperabilidad para las firmas tecnológicas, se emplearán para manejar las fuentes de poder de mercado, permitir una mayor y mejor competencia y dar lugar a que florezca el potencial de innovación de transformación de otros en el mercado. Las normas mejoradas sobre fusiones, que también se implementarían, permitirían a la CMA aplicar un escrutinio más eficaz de las transacciones que conciernan a las empresas con “posición estratégica de mercado”. Incluirían una notificación obligatoria a la cmA sobre la transacción, un bloqueo para completar acuerdos antes de que la CMA lo investigue y una comprobación legal más cautelosa sobre el daño que podría ocasionar a los consumidores, lo que abordaría las preocupaciones sobre el incumplimiento histórico de las fusiones en las que participan grandes empresas tecnológicas. 

 

La Unidad de Mercados Digitales trabajará con la CMA y formará parte de un marco regulatorio más amplio para mercados digitales. 

 

La DMU formará parte de la CMA, que actualmente está trabajando con, la ICO y la FCA a través del Foro de Cooperación para la Regulación Digital, a fin de considerar todos los pasos que deben dar para asegurar una coordinación óptima así como claridad y capacidad suficiente para toda la regulación digital. Este Grupo de Trabajo ha instado al gobierno a progresar con esta legislación pronto, para así tomar ventaja de la clara oportunidad de Reino Unido para liderar un régimen pro-competencia y pro-innovación. El gobierno de Reino Unido se ha comprometido a consultar todas las propuestas para el nuevo régimen pro-competencia  a principios de 2021 y legislar para poner a la DMU sobre una base estatutaria cuando sea posible. 

 

¿Has implementado todas las medidas necesarias para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.