En el blog de esta semanahemos analizado las multas impuestas bajo el RGPD y el rol de la Inteligencia Artificial en este contexto.
Una de las multas más sonadas de las impuestas bajo el RGPD hasta el momento ha sido la multa de más de 500.000 € que la ICO, en el Reino Unido, ha impuesto a Facebook por incumplimiento de la normativa. La investigación de la ICO ha probado que Facebook trató información personal de forma ilegítima al permitir a los desarrolladores de aplicaciones acceso a los datos de interesados sin consentimiento claro e informado. Asimismo, Facebook tampoco realizó los debidos controles de seguridad en las apps y desarrolladores que utilizaban su plataforma. Todo esto condujo a que datos de más de 87 millones de personas en todo el mundo fueron recogidos sin su consentimiento.
Además, un subconjunto de estos datos fue también compartido con otras compañías, incluida Cambridge Analytica, la cual estuvo involucrada en el escándalo político de Estados Unidos. La ICO descubrió que información personal de al menos un millón de interesados británicos fue expuesta.
La Comisión Federal de Comercio ha anunciado un acuerdo de 5 billones de dólares con Facebook, después de una larga investigación sobre el escándalo de Cambridge Analytica y otras brechas de privacidad. Esta multa es la segunda mayor cuantía jamás impuesta por la Comisión Federal de Comercio.
Las multas del RGPD han sido diseñadas de tal modo que no cumplir con la normativa suponga un alto coste para las empresas independientemente de su tamaño. Los incumplimientos más graves pueden resultar en una multa de 20 millones de euros o el 4% del beneficio financiero del año anterior, según qué cuantía sea mayor.
Estas multas pueden surgir por la violación de los artículos que regulan:
- Los principios básicos del tratamiento.
- Las condiciones del consentimiento.
- Los derechos de los interesados.
- La transferencia de datos a una organización internacional o un receptor en un tercer país.
Un mal uso de los sistemas de IA puede estar vinculado con la mayoría de ellos, porque, por un lado, hay sólo dos bases válidas para el tratamiento: contrato y consentimiento, y cuando rija el consentimiento éste debe ser explícito. Por otro lado, la toma automatizada de decisiones y la elaboración de perfiles se regula en el artículo 22 del RGPD, que está incluido en el Capítulo III, sobre los derechos de los interesados.
En consecuencia, aplicar todas las medidas de seguridad que recoge el RGPD se convierte en un paso esencial para evitar incurrir en una brecha del tratamiento:
- Pseudonimización y cifrado de los datos;
- la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
- la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
- un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
El uso de sistemas de IA requiere sin embargo la implementación de algunas medidas de seguridad adicionales para salvaguardar los derechos y libertades de los sujetos y también el interés legítimo. Entre ellas se encuentran: el derecho a obtener intervención humana, expresar su punto de vista y cuestionar la decisión.
La ICO pretende imponer una multa de más de 180 millones de euros a British Airways por el robo de información personal y financiera de sus clientes, y también una multa de más de 100 millones de euros al hotel Marriott por exponer de forma accidental 339 millones de registros de huéspedes de forma global. Las multas de British Airways y de Marriott no están relacionadas con el uso de IA. ¿Te imaginas qué cantidad hubiesen alcanzado si se hubiese aplicado IA? ¡Comparte tus ideas con nosotros!