Regulación TIC 2020

Regulación TIC: ¿qué podemos esperar? Una perspectiva de Aphaia.

Los Socios de Aphaia, Bostjan Makarovic, Socio Gerente, y Cristina Contero Almagro, hacen un balance de la regulación de las TIC en 2019 y hablan sobre sus predicciones para 2020.

Es bien sabido que el 2019 ha sido un gran año para la protección de datos, el ePrivacy y el Gobierno de las TIC en general -especialmente dentro de la UE-. De hecho, el 2019 ha sido el primer año completo de aplicación del RGPD y se ha convertido así en un año de aprendizaje, implementación de políticas, nuevos desarrollos, resoluciones y multas, todo ello centrado en la protección de la privacidad y de los derechos de los interesados en la era tecnológica. De hecho,Privacy Affairs indica que se han impuesto 150 multas por un total que supera los 100 millones de euros este año, incluida una sanción de 50 millones a Google , que ha sido la más alta.

Así, con el 2019 dando paso al 2020, nos hemos sentado con los Socios de Aphaia, Bostjan Makarovic, Socio Gerente, y Cristina Contero Almagro, para que compartan con nosotros su experiencia de este año y sus expectativas y proyecciones para el próximo 2020.

Desde una perspectiva de protección de datos y ética de la IA, ¿cómo describirías el 2019? ¿Qué dos eventos de la regulación TIC destacarías de este año?

Bostjan2019 ha sido el año en el que la IA como tema parece haber encontrado un lugar especial en el marco regulatorio de la UE. Además, han surgido algunas nuevas cuestiones muy prácticas e interesantes en la intersección entre privacidad y regulación IA, como las carteles publicitarios inteligentes.

Cristina: Desde el punto de vista de la ética de la IA, yo diría que el 2019 ha supuesto un punto de inflexión. El 8 de abril de 2019, el Alto Grupo de Expertos de IA presentó sus recomendaciones para una IA de confianza, lo cual fue parte de una serie de cuatro documentos. En Abril fue también cuando en Aphaia, Bostjan y yo, nos hicimos miembros de la Alianza Europea de IA, un foro de partes interesadas donde dialogamos y tratamos todos los aspectos del desarrollo de la IA y su posible impacto en la economía y en la sociedad, lo cual nos permite interactuar de manera directa con el Alto Grupo de Expertos. La primera Asamblea de miembros de la Alianza Europea de IA tuvo lugar el 26 de junio en Bruselas, y tuvimos el placer de ser invitados. Las Recomendaciones de Política e Inversión en IA y el proceso piloto de las Recomendaciones en la ética de la IA se lanzaron en este evento. Este año también hemos comenzado nuestro canal de Youtube, y esperamos seguir publicando y haciéndolo crecer en 2020.

Desde la óptica de protección de datos, el 2019 ha sido el primer año completo de aplicación del RGPD, porque comenzó a aplicarse en mayo de 2018. Hemos aprendido de las multas y recomendaciones de todas las autoridades de control de los Estados Miembro, y también de las instituciones de la UE, como el CEPD. Uno de los acontecimientos más esperados de este año ha sido la publicación es de la guía de cookies por parte de las diferentes autoridades de control de la UE (AEPD en España, ICO en Reino Unido, CNIL en Francia, etc.), aunque parece que todavía tendremos que esperar para el nuevo Reglamento ePrivacy.

Con la mirada en el 2020, ¿cuáles son vuestras expectativas? ¿Prevéis algunos cambios e implementaciones que tendrán un gran impacto en la manera de operar de las empresas?

Cristina: Yo personalmente espero que las Recomendaciones de la UE conciencien sobre la importancia de la ética, y que esto conduzca a la aprobación de códigos de conducta específicos por industria. También esperamos una propuesta revisada del Reglamento ePrivacy bajo la presidencia croata de la UE.

Sería genial ver cómo el 2020 se convierte por fin en el año del 5G, porque va a tener un gran impacto en la forma de hacer negocios, y en nuestras vidas en general. Además, está muy vinculado con la protección de datos y la ética de la IA. Hay mucho trabajo que hacer en ese sentido, pero es un reto y estamos deseando que llegue. Ciudades Inteligentes, coches autónomos, realidad aumentada… ¡hay todo un mundo ahí fuera esperando al 5G!

Tampoco podemos olvidarnos del Brexit, que puede tener un fuerte impacto en la regulación de la protección de datos y de la IA en Europa.

BostjanEn la segunda mitad del 2020, el nuevo Código Electrónico de las Comunicaciones Europeo (EECC) afectará tanto a los proveedores servicios de comunicación como a los de infraestructura de telecomunicaciones a lo largo de Europa. También me pregunto si en el 2020 la Comisión Europea va a explorar de manera seria un marco regulatorio imperativo para la IA, además del RGPD.

 

¿Qué consejo le darías a negocios online que utilizan IA para asegurar que no se queden atrás en el 2020?

Cristina: Sin lugar a dudas…¡que contacten con Aphaia! (es broma). Lo que les aconsejaría es que miren al pasado y que escuchen a sus consumidores. Que miren al pasado porque, con el ejemplo del RGPD, es fácil ver que no hacer las cosas bien desde el principio acaba resultando muy caro, y, escuchar a sus consumidores, porque su público demanda una IA de confianza, y aunque puede que no vean un impacto negativo de no proporcionarla por ahora, es sólo cuestión de tiempo. Ya se sabe, ‘adaptarse o morir’.

BostjanComo señala Cristina, el cumplimiento a tiempo es crucial. El requisito del RGPD sobre “protección de datos por diseño y por defecto” ya impone a las empresas la obligación de considerar la privacidad desde el desarrollo del producto, no una vez que ya ha sido finalizado o incluso lanzado. En la segunda mitad del 2020, muchos negocios online que proporcionen voz, chat o plataformas de mensajes necesitarán asegurar también cumplimiento con el EECC.

¿Necesitas asesoramiento con la política e implementación de las TIC? Aphaia ofrece subcontratación del Delegado de Protección de Datos y evaluaciones de impacto, evaluaciones de la ética de la IA y servicios de consultoría para política y regulación de las telecomunicaciones.

El borrador del Reglamento ePrivacy actualizado

El borrador del Reglamento ePrivacy será actualizado y presentado en la próxima presidencia de la UE

Parece que un una nueva versión del borrador del Reglamento ePrivacy se presentado en la próxima presidencia de la UE

La semana pasada, en Aphaia informamos en nuestro blog – conforme a lo que inicialmente fue anunciado por la asociación internacional European Digital Rights(EDRi) sobre el hecho de que los Estados Miembro de la UE habían rechazado el borrador del Reglamento ePrivacy. Como se podía prever, esta inesperada decisión había activado las alarmas en toda la UE. El responsable de política de la EDRiadvirtió que la incapacidad de la UE hasta el momento de “asegurar una protecciónfirme de la privacidad en el Reglamento ePrivacy es un paso atrás para la UE”. Parece así que pueden aparcarse por ahora los temores a que la negativa al borrador del Reglamento ePrivacy pudiese resultar en un abandono definitivo del mismo. Hace tres días, el pasado 3 de diciembre, el Comisario de Mercado Interno Thierry Breton anunció que la Comisión Europea presentará una nueva propuesta del Reglamento ePrivacy como parte de la próxima presidencia croata de la UE.  

Necesitamos tener una nueva propuesta sobre la mesa porque definitivamente creo que todo el mundo quiere hacer algo, pero es obvio que no hay un acuerdo”. Euractivrecogió en un artículo las palabras de Breton delante del Consejo de Transporte, Telecomunicaciones y Energía. “Yo propongo que, para la próxima presidencia, pongamos en la mesa una nueva propuesta que aúne todas nuestras preocupaciones e intereses, porque de verdad creo que existe una necesidad urgente de avanzar con estetema en relación a nuestros ciudadanos”.

Se espera que la nueva versión del Reglamento ePrivacy regule también la telefonía por internet y los servicios de mensajería como Skype y WhatsApp. La actual Directiva ePrivacy de 2002 – que será reemplazada por el nuevo Reglamento ePrivacy – incluye garantías de privacidad y condiciones estrictas únicamente para mensajes de texto y llamadas cuyos servicios sean proporcionados por los operadores tradicionales.

Conforme a Cristina Contero Almagro, Socia de Aphaia, “Debemos avanzar hacia una armonización de la normativa a nivel europeo, pero no puede ser a cualquier precio ni de forma que suponga un gran impacto en las empresas. Confiamos en que finalmente se adoptará una versión del Reglamento ePrivacy que proteja de forma adecuada la privacidad de los ciudadanos y al mismo tiempo no suponga un cambio total de las reglas de juego”.

¿Necesitas asesoramiento con el RGPD y la LOPDGDD? Aphaia ofrece consultoría para la adaptación al RGPD y al ePrivacy, incluidas Evaluaciones de Impacto y subcontratación del Delegado de Protección de Datos.

Nevada Internet privacy

Nevada promulga una Ley de Privacidad en Internet

Se promulga la Ley de Privacidad en Internet del Estado de Nevada.

Nevada promulgó el pasado 1 de octubre el proyecto de ley 220 del Senado (“SB220”). Este proyecto de ley, también denominado “Ley relacionada con la privacidad en internet” ha entrado en vigor tres meses antes de la muy anunciada fecha límite del 1 de enero de 2020 para la Ley de Privacidad de California.

Conforme al documento del proyecto de ley, se prohíbe a cualquier operador de una página web en internet que recoja datos de consumidores en el Estado de Nevada vender dicha información si así se lo manifiesta el consumidor. Básicamente la ley se centra en el derecho de oposición u opt-out.

A fin de facilitar el ejercicio del derecho de oposición del consumidor, la ley obliga a los operadores de internet o de un servicio online a establecer una dirección específica a través de la cual los consumidores puedan remitir una solicitud verificada para que el operador no realice ninguna venta sobre la información encubierta que recogen de ellos.

El concepto de “Venta” se define en la ley como el “intercambio de información por una suma monetaria por parte del operador hacia una persona con el propósito de que dicha persona licencie o venda la información a otras personas”.

Se considera que la información objeto de dicha cláusula seráncualesquiera datos recogidos y almacenados de manera accesible por un operador ya sea a través de una página web o un servicio online, incluidos:

1. Nombre y apellidos.

2. Dirección física que incluya el nombre de la calle y de la ciudad o pueblo.

3. Dirección de email.

4. Número de teléfono.

5. Número de la seguridad social.

6. Un identificador que permita contactar con la persona ya sea de manera física u online.

7. Cualquier otra información recogida de un individuo a través de la página web o servicio online del operador y almacenado por el operador en combinación con un identificador que haga que la información personal sea identificable.

¿Quién más tiene que cumplir con la  SB220?

Se incluyen como operadores a aquellos que:

(a) Sean propietarios y operen una página web o servicio online con fines comerciales;

(b) Recojan y almacenen información de contacto de consumidores que residen en el Estado de Nevada y usen o visiten la página web o el servicio online; y

(c)De manera intencionada dirijan sus actividades al Estado de Nevada, realicen alguna transacción con el Estado de Nevada o sea un residente del mismo, [o] se aproveche de forma deliberada del privilegio de realizar actividades en este Estado o de otra manera se involucre en cualquier actividad que constituya un nexo suficiente con este Estado para satisfacer los requisitos de la Constitución de los Estados Unidos.

Consecuencias de no cumplir con SB220

La ley autoriza al Abogado General a solicitar una orden judicialtemporal o permanente o una sanción civil que no exceda los 5000 dólares por cada incumplimiento.

¿Tus actividades alcanzan a residentes de Nevada/California? ¿Has tomado los pasos necesarios para cumplir con la ley,incluida la designación de una dirección específica? Aphaia ofrece servicios de cumplimiento con el RGPD, la CCPA y la DB220, incluidas Evaluaciones de Impacto y Subcontratación del Delegado de Protección de Datos.

¿Es posible regular la IA?

Esta semana hablamos en nuestro canal de Youtube sobre la situación actual de la regulación de la IA y los retos futuros con los que podemos encontrarnos.

Uno de los principales desafíos de la IA es evitar los resultados discriminatorios, lo cual requiere que se apliquen importantes controles sobre los conjuntos de datos de entrenamiento, así como que se tengan en cuenta los principios éticos en el diseño, y también que se realicen comprobaciones y auditorías regulares.

Una problemática adicional que debería tratarse es la dimensión de la responsabilidad, es decir, quién debe responder cuando el sistema de IA no cumple con la ley. Esto está relacionado también con derecho internacional, pues no se deberá discernir solo quién es el responsable, sino también la jurisdicción y ley aplicable. A estos efectos, se podría debatir, por ejemplo: ¿sería el país donde la IA fue diseñada o programada? ¿O aquél donde se fabricó y distribuyó? Este tipo de decisiones son realmente determinantes en ciertos contextos donde la infracción de ley conduce a resultados graves, como aquellos en los que se pone en jaque la integridad física de las personas.

Esta dicotomía se pone más de relieve aun cuando nos encontramos con sistemas de ‘deep learning’, respecto de los cuales el control toma una dimensión más, al plantearse un escenario donde es necesario poner límites a algo de lo que no se conoce su alcance.

Y por otro lado, ¿qué ocurre cuando nos encontramos con IA que son usadas como arma? Hay algunas orientaciones en el sector que recomiendan restringir el uso de estos sistemas a sólo algunos contextos, pero ¿es esto realmente posible? Sin duda merece un examen y análisis detallado antes de elaborar un plan de acción, que deberá tener en cuenta todos los campos de juego, como aquél de las armas autónomas que deciden por sí mismas cuando actuar, con qué fuerza, hacia qué objetivo y con qué resultados.

En Aphaia, si nos preguntasen para ofrecer una opinión en este campo, consideramos que la regulación inicial va a venir por parte de las empresas, de las grandes y no tan grandes, que ya estén aplicando estos sistemas y se encuentren con una demanda de seguridad en el mercado por parte de sus consumidores.

Nos encantaría saber qué opináis vosotros, así que ¡compartid vuestras ideas!

Si necesitas asesoramiento en IA para tus productos y servicios, Aphaia ofrece evaluaciones de la ética de la IA y evaluaciones de impacto.