Propuesta de Reglamento de la UE sobre IA

La propuesta de Reglamento de la UE sobre IA se centra principalmente en el nivel de riesgo asociado al sistema de IA. 

 

En abril de este año, la UE se convirtió en la primera institución internacional en crear un marco legal para regular los sistemas de Inteligencia Artificial (IA). La propuesta sienta las bases y mecanismos para identificar los riesgos asociados a la IA y ofrecer soluciones factibles a los mismos. Con esta iniciativa, la UE da un giro a su tradicional enfoque sobre IA y robótica, que hasta ahora había estado marcado por el “soft-law”. Así, la propuesta de Reglamento contiene normas para el desarrollo y uso de sistemas de IA en la UE, prohibiciones, requisitos y obligaciones específicos para operadores de sistemas de IA de “alto riesgo”, normas sobre transparencia y normas sobre control y vigilancia del mercado.

 

Los sistemas de IA se evalúan y clasifican en cuatro grupos conforme al nivel de riesgo percibido. 

 

El Reglamento distingue los sistemas de IA según el riesgo percibido, y los clasifica en cuatro categorías: riesgo inaceptable (sistemas completamente prohibidos), alto riesgo (sistemas sujetos a unas determinadas normas), riesgo limitado y riesgo mínimo (sujetos a códigos de conducta, fuera del Reglamento). Mientras que otras áreas quedan más claras, este no es el caso con los sistemas de IA de alto riesgo, que requerirán un control estricto, evaluaciones de riesgo detalladas y supervisión humana. Ejemplos de sistemas de IA de alto riesgo son aquellos empleados en infraestructuras críticas como transporte, cumplimiento de la ley, administración de justicia y control de fronteras, entre otros. 

 

La propuesta de Reglamento introduce normas y responsabilidades para los proveedores de sistemas de IA, incluso después de que éste haya sido vendido. 

 

La propuesta de Reglamento va más allá de la mera definición de los sistemas que precisan regulación y establece responsabilidad civil en ciertos casos, como aquella que puede recaer sobre los proveedores que ponen el sistema en el mercado. Estos deberán asegurar que se observan y respetan las prácticas de gobierno y gestión del dato y que se cumple con las normas, incluso después de la venta del sistema de IA, en relación a lo cual el proveedor tendrá que implementar un control postventa que le permita confirmar que se aplica la normativa y tomar medidas en caso de no ser así.

 

La propuesta también hace obligatorio para los proveedores ofrecer a los usuarios la posibilidad de supervisar los sistemas de IA de alto riesgo a fin de prevenir cualquier riesgo potencial. 

 

En caso de incumplimiento se prevén multas que pueden alcanzar el 6% del beneficio anual de la empresa. A pesar de que aún hay algún tiempo hasta que el Reglamento comenzase a aplicarse, pues ocurriría 24 meses después de la adopción de la propuesta, es recomendable que las empresas y operadores que pueden verse sujetos al mismo comiencen a revisar sus sistemas de IA y las prácticas asociadas a los mismos. 

 

Mientras que el Reglamento se aplicaría en el contexto de la Unión Europea, la UNESCO está también trabajando en una Recomendación sobre la Ética de la IA, lo cual tomaría un alcance global. 

¿Quieres explorar estas novedades en detalle? No te pierdas nuestro último vlog:

 

https://youtu.be/XqaMkkcP3i8

 

Para aprender más sobre IA y Regulación, visita nuestro Canal de Youtube. 

 

¿Utilizas IA en tu empresa y necesitas ayuda para cumplir con la normativa aplicable? Podemos ayudarte. Realizamos Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y ofrecemos subcontratación del Delegado de Protección de Datos, entre otros servicios. Podemos ayudarte. Infórmate aquí.

UE aprueba medidas de emergencia

La UE aprueba medidas de emergencia para la protección de los menores

El Parlamento Europeo ha aprobado medidas de emergencia temporales para la protección de los menores

 

El Parlamento Europeo adoptó el pasado 6 de julio medidas de emergencia temporales para la protección de los menores. Esta normativa permitirá a los proveedores de servicios de comunicaciones electrónicas analizar mensajes privados que comprendan cualquier tipo de abuso a menores. La Comisión Europea ha informado de que el año pasado se reportaron casi cuatro millones de archivos visuales con este contenido. También hubo 1.500 informes sobre acoso sexual infantil. En los últimos 15 años, este tipo de incidentes se han incrementado en un 15.000%.  

 

Esta nueva normativa, que pretende implementarse por medio de IA, ha despertado algunas preocupaciones en el campo de la privacidad. 

 

Estas medidas otorgan a los proveedores de servicios de comunicaciones electrónicas luz verde para analizar de manera voluntaria conversaciones privadas e identificar contenido que pueda incluir abuso sexual a menores. Con esta finalidad, se empleará IA bajo supervisión humana. También se podrán utilizar tecnologías anti abuso una vez que se hayan completado las consultas con las autoridades de control. Sin embargo, estos mecanismos han sido también señalados dadas sus implicaciones para la privacidad. El CEPD publicó el año pasado una opinion no vinculante donde cuestionaba si estas medidas podrían amenazar el derecho fundamental de la privacidad. 

 

Los críticos indican que esta medida no frenará el abuso infantil sino que hará más complicado detectarlo y potencialmente expondrá comunicaciones legítimas entre adultos.  

 

Estas medidas se redactaron en septiembre de 2020 durante uno de los peores momentos de la pandemia, cuando se produjo un máximo en el número de informes sobre acoso de menores en internet. Mientras que este nuevo marco permitirá a los proveedores de servicios de comunicaciones electrónicas supervisor material relacionado con abuso sexual de menores, tomar acción al respecto no es una obligación. 

 

En lo que concierne a la privacidad, se ha indicado el riesgo que supone exponer conversaciones legítimas entre adultos, que pueden abarcar fotos o vídeos de desnudos, en violación de su privacidad y con riesgo de que dicho material se vea comprometido. Durante las negociaciones se efectuaron algunos cambios para garantizar que se informa de manera debido a los usuarios sobre la posibilidad de analizar sus comunicaciones, así como asegurar que se establecen períodos razonables de retención de datos y limitaciones en el uso de esta tecnología. A pesar de ello, la iniciativa ha recibido críticas, que se basan en su mayoría en el hecho de que las herramientas automáticas normalmente destacan material no relevante. Los canales de información confidencial podrían también verse afectados. Por último, los detractores de esta medida argumentan que, lejos de impedirlo, esta normativa hará más difícil identificar y descubrir actos de abuso a menores, pues incentivaría técnicas ocultas. 

 

Esta medida para la protección de los menores es una solución temporal para lidiar con el problema persistente del abuso infantil. 

 

A principios de 2021 cambió la definición de comunicaciones electrónicas bajo la ley de la Unión Europea a fin de incluir servicios de mensajería. En consecuencia, la mensajería privada, anteriormente regulada por el RGPD, estará ahora también regulada por la directiva ePrivacy. A diferencia del RGPD, la directiva ePrivacy no incluye medidas para detectar el abuso infantil. Las negociaciones para revisar la directiva ePrivacy llevan varios años estancadas. Estas medidas son temporales y durarán hasta diciembre de 2025 o hasta que se apruebe la revisión de la directiva ePrivacy. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. Podemos ayudarte . Infórmate aquí.

Se adoptan dos decisiones

Se adoptan dos decisiones de adecuación para las transferencias de datos entre Reino Unido y la Unión Europea

La Comisión Europea ha adoptado dos decisiones de adecuación en relación a las transferencias internacionales a Reino Unido.

 

La Comisión Europea ha aprobado dos decisiones de adecuación para Reino Unido. Desde que tuvo lugar el Brexit, se han generado ciertos interrogantes sobre la adecuación de Reino Unido, y, en particular, el nivel de protección que reciben las transferencias de datos entre la UE y Reino Unido. Con la adopción de estas dos decisiones de adecuación- una bajo el RGPD y la otra bajo la Directiva de protección de datos en el ámbito penal, las transferencias de datos entre la UE y Reino Unido pueden ahora realizarse de manera libre sin la necesidad de adoptar garantías adicionales, pues se considera que se otorga un nivel de protección de datos equivalente al de la UE. 

 

Las decisiones de adecuación se han adoptado después de un minucioso proceso de evaluación, durante el cual las transferencias se han realizado conforme al Acuerdo de Comercio y Cooperación.  

 

Las normativa de protección de datos de Reino Unido y las prácticas vinculadas a la misma han sido evaluadas con detenimiento desde que se publicaron en febrero los dos borradores de adecuación. En abril, el CEPD emitió su opinión sobre los mismos y después estos se sometieron a un procedimiento de voto de los Estados Miembro de la UE. Durante este período, las transferencias de datos entre la UE y Reino Unido se han podido realizar con base en el Acuerdo de Comercio y Cooperación, con fecha límite el 30 de junio de 2021. Sin el acuerdo en vigor, la ausencia de una decisión de adecuación hubiese implicado que cualquier transferencia de datos a Reino Unido estuviese sujeta a las garantías adicionales del RGPD y la Directiva de protección de datos en el ámbito penal.  

 

La normativa de protección de Reino Unido es muy similar a las leyes bajo las cuales operaba como Estado Miembro de la UE. 

 

Reino Unido, como antiguo Estado Miembro de la UE, cuenta con un sistema de protección de datos muy similar al que estaba en vigor cuando formaba parte de la Unión Europea. Los principios, derechos y obligaciones del RGPD y la Directiva de protección de datos en el ámbito penal se han incorporado de manera plena en el derecho interno de Reino Unido, lo cual ha hecho posible la adopción de las decisiones de adecuación mediante un proceso sencillo. Reino Unido ha demostrado ofrecer fuertes garantías en relación al acceso a los datos personales por parte de las autoridades públicas y, en principio, la recogida de datos por parte de agencias de inteligencia queda sujeto a la autorización previa de un órgano judicial independiente. 

 

Las decisiones de adecuación incluyen una cláusula de extinción que las limita a un período máximo de cuatro años. 

 

Las dos decisiones de adecuación incluyen sin embargo una cláusula de extinción, por la cual expirarán automáticamente en cuatro años, después de los cuales podrán ser renovadas en función de si Reino Unido continúa ofreciendo un nivel equivalente de protección de datos y sujeto a la consecución de todo el proceso de adopción de nuevo. La Comisión Europea seguirá vigilando la situación legal de Reino Unido y se reserva el derecho a intervenir en cualquier momento si existe alguna desviación sobre el actual nivel de protección de datos. Se trata de la primera vez que se incorpora una provisión que limita la duración de la validez de las decisiones de adecuación. 

 

La adecuación del RGPD relativa a los controles de inmigración ha sido excluida de la decisión, a fin de reconsiderarse a espera de las sentencias de los Tribunales de Apelación de Inglaterra y Gales. 

 

Debido a una sentencia reciente del Tribunal de Apelación de Inglaterra y Gales, las transferencias de datos con fines de controles de inmigración en Reino Unido han sido excluidas del ámbito de la decisión de adecuación del RGPD. La sentencia afecta a la validez e interpretación de ciertos derechos de protección de datos vinculados con la inmigración y control, de manera que la Comisión reevaluará la necesidad de esta exclusión una vez que este aspecto quede claro bajo la normativa de la Unión Europea. 

 

¿Realizas transferencias internacionales de datos? ¿Has implementado todas las medidas necesarias en cumplimiento de las normas ePrivacy, el RGPD y la LSSI? Podemos ayudarte. Aphaia ofrece servicios de consultoría para la directiva ePrivacy, el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de la ética de la IA, evaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

 

autoridad de control de Irlanda

La autoridad de control de Irlanda publica unas orientaciones sobre el tratamiento de datos relativos a las vacunas en el entorno laboral

La autoridad de control de Irlanda publica unas orientaciones enfocadas a las empresas en relación al tratamiento de datos de salud vinculados con las vacunas. 

 

Conforme el mundo comienza a ponerse en marcha de nuevo y el teletrabajo deja paso al trabajo presencial en algunas industrias, las empresas solicitan información sobre el enfoque que deben tomar en lo relativo al tratamiento de datos personales vinculados con las vacunas de sus empleados. ¿Pueden las empresas incentivar a sus trabajadores para que se vacunen? ¿Se pueden recoger datos relacionados con el estatus de vacunación de la plantilla?¿Cómo debe tratarse esta información? A la vez que avanzan los programas de vacunación por toda Europa y un gran número ha recibido ya al menos una de las dosis, las autoridades sanitarias y las autoridades de protección de datos trabajan para ofrecer a las empresas guías sobre si deben recoger algún tipo de datos específicos y cuáles serían los límites de dicha práctica. Así, la autoridad de control de Irlanda, el DPC, ha emitido un comunicado que contempla recomendaciones para las empresas sobre cómo actuar en estos casos. 

 

El tratamiento de datos de salud debería realizarse en consonancia con las políticas gubernamentales sobre salud pública. 

 

El tratamiento de datos de salud debería basarse en las indicaciones de los gobiernos nacionales en sus políticas de salud pública. Por ejemplo, el protocolo de seguridad en el trabajo de Irlanda sugiere que son muy pocas las circunstancias en las que las vacunas deberían ofrecerse como una medida de seguridad en el entorno laboral. Sin embargo, hay algunas excepciones, como ocurre con puestos vinculados con el cuidado de la salud en primera línea. En estas circunstancias las empresas están autorizadas a tratar datos relativos a las vacunas de sus empleados. En España, la vacunación en el ámbito laboral está regulada en el Real Decreto 664/1997, de 12 de mayo, sobre la protección de los trabajadores contra los riesgos relacionados con la exposición a agentes biológicos durante el trabajo, y tiene un carácter voluntario. Sin embargo, independientemente de la vacuna, en un espacio de trabajo deberían aplicarse algunas medidas generales, como distancia mínima, obligatoriedad de mascarilla y aplicación del teletrabajo para aquellos puestos que lo permitan, las cuales deberían considerarse como paso previo antes de entrar a valorar si la recogida de información sobre el estatus de vacunación de los trabajadores es necesaria. El principio de minimización indica que no deberán recogerse datos que no sean absolutamente necesarios para la finalidad perseguida. 

Bajo el RGPD, los datos de salud se consideran categorías especiales de datos, y merecen protección específica. 

 

En consideración de que aún no se ha probado la eficacia a largo plazo de las vacunas dada la posibilidad de que surjan nuevas variantes o que sean necesarios varios recordatorios para mantener la inmunidad, el tratamiento de datos vinculados con el estado de vacunación no puede, en este momento, catalogarse como esencial en términos generales. Además, es un dato de salud que entra en la categoría de datos especiales del RGPD y, como tal, requiere cierta protección específica bajo el derecho de la UE. El requisito para la empresa de tratar datos personales puede crear una situación de desequilibrio entre el interesado y el responsable cuando en dichos roles se encuentra la empresa y el trabajador, respectivamente. No se debería solicitar a la plantilla su consentimiento a estos efectos, pues, en caso de ser otorgado, probablemente no sería de forma libre. 

 

Incluso en los casos donde se requiera cierta información de los empleados en el contexto de la pandemia, los datos personales de salud deben permanecer protegidos con las debidas garantías. 

 

Existen algunas situaciones en las que la empresa, o el personal sanitaria, puede necesitar recoger ciertos datos de salud de sus empleados. Por ejemplo, en el contexto del COVID-19, si un trabajador tuviese que viajar, la empresa necesitará conocer si cumple con los debidos requisitos para hacerlo, y las condiciones en las que tendrá lugar, pues en algunos casos se exige un período de aislamiento o cuarentena. En estos casos, se preguntaría a los trabajadores la fecha en la que podrían reincorporarse a su puesto, y la información necesaria podrá variar con la actualización de los protocolos de cada país y el avance de la pandemia. En aquellos sectores en los que sea necesario recopilar información sobre la vacuna, las empresas deberán mantenerse actualizadas de las recomendaciones sobre salud pública.  

¿Tienes dudas sobre cómo cumplir con la normativa en lo relativo al tratamiento de datos de salud en el contexto del COVID-19? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.