Sandbox de regulación de Inteligencia Artificial en la UE: se lanza el primer piloto

El Gobierno de España y la Comisión Europea han lanzado recientemente el programa piloto para el primer sandbox de regulación de IA. 

 

El Gobierno de España y la Comisión Europea presentaron el mes pasado un programa piloto del primer sandbox de regulación de Inteligencia Artificial. Este sandbox está enfocado a reunir a las autoridades competentes y a las empresas que desarrollan IA para determinar las mejores prácticas que guíen la implementación del futuro Reglamento de IA de la Comisión Europea (Reglamento de Inteligencia Artificial). Se ha fijado un plazo de dos años para la implementación de dicha legislación. De acuerdo a este informe de la Comisión Europea, esta iniciativa del Gobierno de España pretende operacionalizar los requisitos del futuro Reglamento de IA y otros aspectos, incluidas las evaluaciones de conformidad y las actividades posteriores de comercialización.  

 

El sandbox de regulación de IA creará una oportunidad para que innovadores y reguladores se reúnan y colaboren. 

 

Este sandbox presenta una forma de conectar a innovadores y reguladores en un entorno controlado para impulsar la cooperación entre ellos. El objetivo es facilitar el desarrollo, la prueba y la validación de sistemas de IA innovadores con total cumplimiento de los requisitos del Reglamento de IA. Se espera que esta iniciativa clarifique las mejores prácticas en la materia, fáciles de seguir y preparadas para el futuro, y que proporcione otras recomendaciones. Los resultados deberían facilitar la implementación de las normas por parte de las empresas, en concreto PyMEs y start-ups. 

 

Los resultados del piloto determinarán las orientaciones para la implementación y uso de IA a lo largo de la Unión Europea. 

 

Esta experiencia piloto permitirá documentar y sistematizar las obligaciones de los proveedores de IA y cómo estas deben implementarse, en forma de buenas prácticas y directrices de aplicación. Estas guías también incluirán métodos de control y seguimiento enfocadas a las autoridades de control que supervisen los mecanismos establecidos por el Reglamento. Si bien este proyecto está financiado por el Gobierno de España, queda abierto a otros Estados Miembro y podría potencialmente convertirse en un sandbox de regulación paneuropeo. Se espera que esta iniciativa refuerce la cooperación de todos los actores a un nivel europeo. La cooperación a nivel de la UE con otros Estados miembros se llevará a cabo en el marco del Grupo de Expertos sobre IA y Digitalización de las Empresas creado por la Comisión.

¿Tu app o tus servicios utilizan IA y necesitas ayuda para cumplir con la normativa aplicable? Podemos ayudarte. Realizamos Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y ofrecemos subcontratación del Delegado de Protección de Datos, entre otros servicios. Infórmate aquí.

La CNPD de Luxemburgo adopta el esquema de certificación RGPD-CARPA

Luxemburgo se convierte en el primer país en introducir un esquema de certificación bajo el RGPD al adoptar el esquema de certificación RGPD-CARPA.

 

La Comisión Nacional de Protección de Datos de Luxemburgo (CNPD) adoptó el pasado mes el mecanismo de certificación RGPD-CARPA (“Certified Assurance-Report based Processing Activities”, por sus siglas en inglés). El RGPD-CARPA es así el primer mecanismo de certificación adoptado bajo el RGPD a nivel tanto nacional como internacional. Las empresas y otras organizaciones de Luxemburgo tienen ahora la oportunidad de demostrar que sus actividades de tratamiento de datos cumplen con el RGPD. Esta certificación garantiza un alto grado de cumplimiento con la normativa por parte de aquellos responsables y encargados cuyas actividades de tratamiento de datos estén cubiertas por la misma. Debe tenerse en cuenta que este mecanismo no certifica a la organización en sí misma sino a actividades de tratamiento específicas. 

 

La certificación de protección de datos fue desarrollada con la colaboración de auditores profesionales y revisada por el CEPD. 

 

La CNPD, como responsable de este esquema de certificación, acreditará aquellas entidades que cumplan con los requisitos. Desde que el RGPD comenzó a aplicarse en 2018, la CNPD ha mantenido numerosas conversaciones con auditores profesionales para desarrollar el sistema de acreditación, el cual se basa en la ISAE 3000 (auditoría), la ISCQ1 (control de calidad de las organizaciones auditoras) y la ISO 17065 (licencia de entidades certificadoras). El criterio de acreditación destaca el trabajo realizado por la entidad de certificación y los auditores profesionales. Después de que la CNPD publicase la primera versión de su esquema de certificación, otras autoridades de control europeas examinaron el criterio bajo el mecanismo de coherencia y el CEPD emitió una opinión formal al respecto. En general, la CNPD ha sido un impulsor de los avances del CEPD en el campo de la certificación, ha actuado como ponente de las orientaciones publicadas en torno a ella y ha ayudado al CEPD con las opiniones formales en esta nueva materia. 

 

La implementación del mecanismo de certificación RGPD-CARPA incentivará la confianza en los tratamientos de datos que estén cubiertos por el mismo. 

 

La implementación del esquema de certificación puede ayudar a promover la transparencia y el cumplimiento con el RGPD, así como contribuir a que los sujetos sienta seguridad respecto del grado de protección ofrecido por los productos, servicios, procesos y sistemas empleados por las organizaciones para tratar sus datos personales. Una característica única del esquema de certificación de la CNPD es que se basa en un informe ISAE 3000 tipo 2, con el auditor como responsable de la implementación del mecanismo de control, lo cual ofrece garantía de un alto nivel de confianza, que es clave para generar confianza de los actores principales y los sujetos en las actividades de tratamiento cubiertas por el esquema de certificación. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Cesión de datos de organizaciones benéficas: guía de la CNIL

La CNIL ha publicado recientemente una guía en relación a la cesión de datos con fines de prospección en las organizaciones benéficas. 

 

La CNIL ha publicado recientemente una guía relacionada con la cesión de datos por parte de organizaciones benéficas con la finalidad de prospección. Conforme a la CNIL, estas directrices están dirigidas a cualquier asociación o fundación que apele a la generosidad del público para recibir donaciones y que ceda los datos de sus miembros o contactos con la finalidad de prospección benéfica o comercial. Las normas aplicables varían ligeramente según el objetivo que se persiga con la reutilización de los datos; ya sea para campañas benéficas o comerciales. Esta guía también se enfoca a las compañías comerciales que venden o alquilan a las organizaciones benéficas archivos con datos personales para prospección benéfica. 

 

Las organizaciones que cedan los datos de sus miembros a otras organizaciones con fines de prospección benéfica deberán informar a los interesados. 

 

Las normas aplicables a la prospección benéfica son menos estrictas que aquellas que regulan la prospección comercial. Una organización puede transmitir los datos de sus miembros o contactos a otra organización con la finalidad de prospección benéfica, conforme a las condiciones básicas del RGPD. Esta prospección puede realizarse por correo, llamadas telefónicas o por otros medios electrónicos, como SMS o llamadas automáticas. Bajo el RGPD, las partes afectadas (miembros/contactos) deben haber sido informados del uso de sus datos con finalidades de prospección benéfica en el momento de la recogida inicial. Deberá ser en ese momento cuando los sujetos sean informados de la posible cesión de sus datos a los socios de la organización con finalidad de prospección benéfica.  

 

Las organizaciones deberán obtener consentimiento en el momento de recoger los datos para poder utilizarlos con finalidades de prospección comercial.

 

En algunos casos, una asociación o fundación que apela a la generosidad del público puede necesitar ceder los datos de sus miembros o contactos a otras organizaciones similares con la finalidad de prospección comercial. Para que esta circunstancia pueda darse, los interesados tendrán que haber dado su consentimiento explícito para que sus datos se utilicen con esta finalidad de manera específica, en el momento los mismos fueron obtenidos. Además, los sujetos también deberán poder oponerse al tratamiento de estos datos de antemano, de forma sencilla y gratuita.  Por ejemplo, debería ser tan fácil como marcar una casilla de verificación que esté a su disposición en los pasos iniciales de recogida de datos. También podrán retirar su consentimiento en cualquier momento, y en concreto después de cada contacto.  

 

Una organización que reciba datos de sus miembros es responsable del tratamiento de los mismos y deberá cumplir con el RGPD. 

 

Una vez que una organización ha recibido datos de miembros o contactos por parte de otra organización que los recoge, la misma será responsable del tratamiento de estos y tendrá que cumplir con los requisitos aplicables bajo el RGPD. Deberá proporcionar a los interesados toda la información relevante, como tarde en la primera comunicación con los mismos. Esto incluye, en concreto, aportar la fuente de la que se obtuvieron los datos, así como otra información exigida por el artículo 14 del RGPD. Asimismo, tanto en el primer contacto como en cada comunicación, el interesado deberá poder oponerse a ser contactado de nuevo. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

La CNIL advierte de que las funciones personalizadas de Google Analytics no hacen legal la transferencia de datos

La CNIL ha anunciado que las transferencias de datos con Google Analytics no son legales ni aunque se utilicen las funciones personalizadas. 

 

La CNIL ha anunciado recientemente que incluso con el uso de las funciones personalizadas de Google Analytics, las transferencias de datos a través de esta tecnología no son legales en ausencia de un acuerdo de transferencia de datos entre Europa y Estados Unidos. Este anuncio se ha incluido en la página de respuestas y preguntas de la CNIL, como una clarificación después de que numerosas empresas mostrasen su esperanza de que las funciones de personalización pudiesen emplearse de tal modo que hiciesen legales las transferencias de datos entre Europa y Estados Unidos a través de Google Analytics. Sin embargo, según la CNIL, la utilización de esta herramienta sigue sin cumplir con el RGPD aunque ahora haya algunas opciones preventivas disponibles. 

 

A pesar de que se están realizando grandes esfuerzos para reemplazar el ya anulado Privacy Shield, las autoridades indican que aún queda un largo camino por recorrer. 

 

A principios de este año, la CNIL envió comunicaciones formales a una serie de empresas tras determinar que las transferencias de datos a Estados Unidos a través de Google Analytics son ilegales. Esta decisión se basó en la resolución del TJUE en el caso Schrems II que anuló el Privacy Shield hace dos años. Mientras que se anunció que dicha herramienta se reemplazaría, aún queda mucho camino por recorrer. La Vicepresidenta ejecutiva de la Comisión Europea, Margrethe Vestager, confirmó en el Foro Internacional de Ciberseguridad que tuvo lugar a principios de este mes que las negociaciones “han finalizado”, pero también indicó que “aun queda mucho trabajo por hacer”.  

 

En ausencia del Privacy Shield, la CNIL ha dado respuesta a una serie de preguntas y preocupaciones relacionadas con otras soluciones que se han ofrecido al respecto. 

 

Mientras que se espera el reemplazo del Privacy Shield, la CNIL ha sido muy transparente y ha ofrecido clarificación siempre que ha sido necesario. La autoridad de control ofreció también su opinión sobre la posibilidad de configurar Google Analytics de tal modo que no se transfiriesen datos fuera de la UE, de tal manera que ha expresado al respecto una clara negativa acompañada de una explicación centrada en que “el uso de soluciones propuestas por compañías sujetas a jurisdicciones no europeas puede dar lugar a dificultades en cuanto al acceso a los datos”. Este será el caso incluso en ausencia de una transferencia, pues Google ha confirmado a la CNIL que todos los datos recogidos por Google Analytics son almacenados en Estados Unidos. 

 

Muchas de las soluciones alternativas no se consideran satisfactorias, pues cualquier transferencia de datos personales a Estados Unidos parece suponer un riesgo. 

 

Google ha propuesto la implementación de garantías adicionales como la anonimización y el cifrado de los datos, pero la CNIL no considera satisfactorias ninguna de estas soluciones. La CNIL reconoce la función de anonimización de IP proporcionada por Google, pero indica que no se aplica a todas las transferencias y que Google ha sido incapaz de demostrar que la anonimización tiene lugar antes de que los datos sean transferidos a Estados Unidos. Los identificadores únicos no son tampoco una buena solución porque su uso puede ser identificado a través de la asociación con otros datos. La CNIL establece que las soluciones de cifrado de datos ofrecidas por Google fueron ineficientes, pues Google ofrece y guarda las claves, lo que permite a la compañía acceder a los datos si así lo desea. Como resultado, cualquier compañía u organización que quiera utilizar esta herramienta necesitará obtener consentimiento explícito de los sujetos afectados.  

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.