Segunda Asamblea de la Alianza Europea

Segunda Asamblea de la Alianza Europea de IA

La segunda Asamblea de la Alianza Europea de IA se celebró el pasado viernes 9 de octubre, esta vez online debido a la situación generada por la pandemia del COVID-19. 

La segunda edición de la Asamblea Europea de IA tuvo lugar el pasado Viernes 9 de octubre en un evento de un día completo que se celebró de forma online debido a la pandemia del COVID-19. La Asamblea reunió a más de 1.400 personas conectadas que siguieron las sesiones en directo y tuvieron la oportunidad de formular preguntas a los panelistas. 

El evento

El foco se centró en la iniciativa europea para construir un Ecosistema de Excelencia y Confianza en Inteligencia Artificial. Las charlas se dividieron entre plenos, talleres y grupos de trabajo.  

Los principales temas que se trataron son los siguientes:

  • Los resultados de la Consulta en el Libro Blanco de IA lanzado por la Comisión Europea
  • Las últimas publicaciones del Alto Grupo de Expertos en IA (AI-HLEG) y 
  • Las futuras proyecciones de la Alianza Europea de IA como un foro multinivel que refleja de manera amplia aspectos sociales, económicos y técnicos de IA en el marco del proceso de creación de políticas europeas. 

Como miembros de la Alianza Europea de Inteligencia Artificial, Aphaia tuvo el honor de participar en el evento y disfrutar de algunas de las sesiones que trataron temas cruciales para el desarrollo e implementación de IA en Europa, tales como “Requisitos para una IA fiable” o “IA y responsabilidad”. 

Requisitos para una IA fiable

Los ponentes compartieron sus perspectivas sobre los riesgos derivados de los sistemas de IA y los enfoques que deberían tomarse para apoyar la generalización del uso de IA en la sociedad.

Hugues Bersini, Profesor de Ciencias de la Computación en la Universidad Libre de Bruselas, considera el uso de IA se refleja en una función de coste, donde optimizarla es el objetivo: “Los problemas desaparecen cuando se alinea el coste social y el coste individual”.  

Haydn Belfield, Manager de Proyectos en CSER, Universidad de Cambridge, señaló que el alto riesgo que los sistemas de IA pueden conllevar para las oportunidades y derechos fundamentales de las personas demanda un marco de regulación que incluya requisitos obligatorios que deberían, al mismo tiempo, ser flexibles y prácticos. 

Para Francesca Rossi, Líder Global de Ética de la IA en IBM, la transparencia y la explicabilidad son la clave. Aclaró que la IA debería emplearse para impulsar las capacidades de decisión de los seres humanos, los cuales han de tomar decisiones fundamentadas. Esta finalidad no podría alcanzarse si se concibe a los sistemas de IA como cajas negras. 

En respuesta a las preguntas de la audiencia, los expertos comentaron de manera conjunta la cantidad de niveles de riesgo que serían necesarios en el campo de la IA. La principal conclusión se trazó en torno a la consideración de que la propia definición de alto riesgo es ya en sí mismo un reto, de manera que contar con dos niveles de riesgo (alto riesgo y no alto riesgo) sería un buen comienzo sobre el cual se podrían construir futuros desarrollos. 

Los invitados también analizaron de manera breve cada uno de los requisitos para una IA fiable recogidos en las directrices del AI-HLEG, a saber: acción y supervisión humana, solidez técnica y seguridad, gestión de la privacidad y de los datos, transparencia, diversidad, no discriminación y equidad, bienestar social y ambiental y rendición de cuentas. 

En nuestra opinión, resultaron especialmente interesantes las aportaciones sobre la IA y los sesgos y aquellas otras en relación a la acción y supervisión humanas: 

IA y sesgos

Paul Lukowicz, Director Científico y Jefe de la Unidad de Investigación “Embedded Intelligence” en el Centro Alemán de Investigación en Inteligencia Artificial, define el concepto de “machine learning” como la operación por la cual se le da al ordenador métodos de los cuales puede extraer procedimientos e información de los datos, y afirmó que esa es precisamente la clave del éxito actual de la IA.  El resto reside en que muchos de los sesgos y efectos discriminatorios de los sistemas de IA resultan de entregar al ordenador datos que ya en sí mismos incorporan sesgos y discriminación. La dificultad no se encuentra en que los desarrolladores fallen de alguna forma en entregar datos que no son representativos: los datos son de hecho representativos, y es la circunstancia de que en nuestro día a día hay sesgo y discriminación, lo que hace que eso sea exactamente lo que los sistemas aprendan y enfaticen. En relación a esto, él considera que otro de los obstáculos es la incertidumbre, pues no se puede pretender tener un conjunto de datos que cubra todos los posibles sucesos del mundo: “Siempre tenemos un grado de incertidumbre en la vida, y eso mismo ocurre con los sistemas de IA”. 

Acción y supervisión humana

Aimee Van Wynsberghe, Profesora Asociada de Ética y Tecnología en TU Delft, destacó alguno de los problemas a los que puede enfrentarse la implementación de la acción y supervisión humana:

  1. Aimee replanteó la idea de que el resultado del sistema de IA no es válido hasta que se haya revisado y validado por un ser humano. Ella opina que este enfoque puede ser difícil de gestionar dado que hay algunos sesgos que amenazan la autonomía humana: sesgo de automatización, sesgo de simulación y sesgo de confirmación. Los humanos tienen tendencia de favorecer las recomendaciones de los sistemas de toma de decisión automática, e ignorar información contradictoria obtenida sin automatización. El otro reto en este sentido es el consume de recursos que se necesita para revisar y validar cada output del sistema de IA. 
  2. En cuanto a la alternativa basada en el hecho de que los resultado del sistema de IA se harían inmediatamente efectivos bajo el requisito de que se asegurase una supervisión humana después, Aimee evidenció el problema de distribución de la responsabilidad de confirmar dicha intervención humana posterior: “¿Quién va a asegurar que dicha supervisión posterior realmente tenga lugar? ¿La empresa? ¿El cliente? ¿Es justo asumir que los consumidores tendrían el tiempo, el conocimiento y la habilidad para hacerlo? “
  3. Por su parte, el control del sistema de IA mientras está en funcionamiento y la posibilidad de intervenir en tiempo real y desactivarlo también sería complicado debido, de nuevo, a la psicología humana: “existe una falta de conciencia situacional que no permite tomar el mando”. 

IA y responsabilidad

Corinna Schulze, Directora de Asuntos Gubernamentales en  SAP; Marco Bona, Miembro del Comité General de PEOPIL’s  en Italia y Experto Internacional en Lesiones Personales; Bernhard Koch, Profesor de Derecho Civil y Comparado y miembro de la Formación de Nuevas Tecnologías del Grupo Europeo experto en Responsabilidad de las Nuevas Tecnologías; Jean-Sébastien Borghetti, Profesor de Derecho Privado en la Universidad de Paris II Panthéon-Assas y Dirk Staudenmaier, Jefe de la Unidad de Derecho de los Contratos en el Departamento de Justicia de la Comisión Europea, hablaron sobre los principales defectos detectados en el campo de la responsabilidad de la IA, y lo pusieron en relación con la Directiva de Responsabilidad por los daños causados por Productos Defectuosos.

Los expertos señalaron los siguientes elementos negativos de la Directiva:

  • Limitación temporal de 10 años: en la opinión de la mayoría de los participantes, esto puede generar problemas porque se refiere únicamente a los productores, y la situación es más complicada cuando también hay operadores, usuarios, propietarios y otras partes implicadas. Además, los 10 años puede ser un período válido para los productos tradicionales, pero puede que no sea suficiente en términos de protección de las víctimas de algunos artefactos y sistemas de IA.
  • Ámbito: únicamente se refiere a la protección de los consumidores, y no cubre la protección de las víctimas. Consumidores y víctimas a veces coinciden, pero otras no. 
  • Noción de defecto: la distinción entre producto y servicio puede dar lugar a algunos conflictos. La Directiva cubre sólo los productos, no los servicios, lo cual puede levantar algunas preocupaciones en relación al internet de las cosas y el software. 

 

La Comisión Europea ha publicado los links de las sesiones para que pueden acceder todos aquellos que no pudieron atender el evento o que quieran volver a verlas. 

¿Necesitas ayuda con la ética de la IA? Podemos ayudarte. Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA.

anulación del EU-US Privacy Shield

Actualización sobre las implicaciones prácticas de la anulación del EU-US Privacy Shield

Desde que el Tribunal de Justicia de la Unión Europea (TJUE) invalidara el EU-US Privacy Shield en su sentencia sobre el caso Schrems II hace dos semanas, son muchas las cuestiones que han surgido en torno la transferencia de datos a Estados Unidos.

Tras la anulación del EU-US Privacy Shield por parte del TJUE el pasado 16 de julio tal y como recogimos en el blog de Aphaia, las transferencias de datos a Estados Unidos requieren ahora de la aplicación de otro mecanismo válido que ofrezca un nivel similar de protección de datos personales a aquel garantizado por el RGPD. 

Las directrices del Comité Europeo de Protección de Datos

A fin de clarificar algunas de las cuestiones principales derivadas de la anulación del EU-US Privacy Shield, el Comité Europeo de Protección de Datos (CEPD) ha publicado un documento donde ofrece respuestas a las preguntas más comunes en torno al caso Schrems II. Se espera que este contenido se desarrolle más en detalle conforme se vaya contando con un análisis más específico sobre la decisión del TJUE. 

El CEPD recuerda que la anulación del EU-US Privacy Shield es inmediata sin período de gracia, de tal manera que ha dejado de ser un mecanismo válido para la transferencia de datos personales a los Estados Unidos, lo que implica que las empresas que lo estuviesen usando deberán implementar otra salvaguarda a este fin que les permita asegurar un nivel de protección de los datos personales equivalente a aquel garantizado por el RGPD.  

¿Qué ocurre con las Cláusulas Contractuales Tipo (SCCs)?

El TJUE ha considerado que la validez de las SCCs depende de la habilidad del exportador y del importador de los datos de verificar, antes de transferirlos, y teniendo en cuenta las circunstancias específicas de cada caso, si el nivel de protección de los mismos requerido por el RGPD puede respetarse en Estados Unidos. Si bien esto resulta en principio difícil, pues el TJUE afirmó que la ley estadounidense (Section 702 FISA and EO 12333) no proporciona un nivel equivalente de protección. 

El importador de los datos debería informar al exportador sobre cualquier incapacidad para cumplir con las SCCs y, cuando sea necesario, sobre la aplicación de medidas suplementarias. El exportador, por su parte, debería llevar a cabo una evaluación para asegurar que la ley de Estados Unidos no vulnera el nivel de protección adecuado requerido por la ley europea, tomando en consideración las circunstancias concretas de la transferencia y las medidas adicionales. El exportador puede contactar con el importador para verificar la legislación del país de destino y pedirle colaboración en la evaluación. Si el resultado no es favorable, la transferencia debería suspenderse. En caso contrario el exportador debería notificar la misma a la respectiva autoridad de control. 

¿Qué ocurre con las normas corporativas vinculantes (BCRs)?

Dado que el motivo de la anulación del EU-US Privacy Shield por parte del TJUE fue el grado de interferencia generado por la ley estadounidense respecto de las garantías de protección de los datos, la decisión del TJUE se aplica del mismo modo a las BCRs, pues la ley estadounidense también primaría sobre esta herramienta al igual que lo hace sobre las SCCs. De igual manera que antes de emplear SCCs, previamente a utilizar BCRs como mecanismo de transferencia se habría de desarrollar una evaluación por parte del exportador y, y se tendría que notificar a la autoridad de control competente si el resultado de la evaluación es negativo y aun así se pretende continuar con la transferencia. 

¿Qué ocurre con las excepciones del artículo 49 RGPD?

El artículo 49 del RGPD recoge una serie de condiciones bajo las cuales los datos personales pueden transferirse a un tercer país en ausencia de una decisión de adecuación o de mecanismos como las SCCs y las BCRs, entre ellas:

  • Consentimiento. El TJUE señala que el consentimiento debería ser explícito, específico y concreto para la transferencia o conjunto de transferencias sobre las que se informa al interesado. Este element implica dificultades prácticas de cumplimiento por parte de empresas que tratan datos de sus clientes, pues significaría, por ejemplo, pedir consentimiento a todos sus clientes antes de utilizar herramientas como Sales Force. 
  • Contrato entre el interesado y el responsable de los datos. Es importante apuntar que esto sólo se aplica cuando la transferencia es ocasional y únicamente para aquellas que son objetivamente necesarias para el cumplimiento del contrato.  

¿Qué ocurre con terceros países diferentes a EEUU?

El TJUE ha explicado que, como norma general, se puede continuar usando las SCCs para transferir datos a un tercer país, pero los umbrales exigidos para transferencias a Estados Unidos se aplicarán también a cualquier otro tercer país, y lo mismo ocurre con las BCRs. 

¿Qué debería hacer si uso encargados del tratamiento que transfieren datos a EEUU?

Conforme al documento publicado por el CEPD, si no se aportan medidas adicionales que puedan asegurar que Estados Unidos no vulnera la aplicación de un nivel de protección similar al exigido por el RGPD y si las excepciones del artículo 49 RGPD no se aplican “la única solución es negociar cambios o una cláusula suplementaria al contrato para prohibir las transferencias a Estados Unidos. Los datos no sólo deberían ser almacenados, sino también administrados en otro lugar que no sea Estados Unidos”. 

¿Qué es lo próximo que podemos esperar del TJUE?

El CEPD está analizando la sentencia del TJUE para determinar el tipo de medidas adicionales que podrían ofrecerse cuando se utilicen SCCs o BCRs, ya sean medidas legales, técnicas u organizativas. 

El pronunciamiento de la ICO

La ICO está continuamente actualizando su declaración sobre la sentencia del TJUE en el caso Schrems II. La última version disponible hasta ahora es del 27 de julio y en ella la ICO confirma que las orientaciones ofrecidas por el CEPD se aplican a responsables y encargados de tratamiento de Reino Unido. Hasta que se ofrezcan directrices más detalladas por parte de las instituciones europeas, la ICO recomienda  a las empresas realizar un balance de las transferencias internacionales que hacen por el momento y estar preparados para poder reaccionar con flexibilidad a cualquier cambio. Asimismo, afirman que continuarán aplicando su enfoque basado en el riesgo y en la proporcionalidad de acuerdo a su Política de Acción Regulatoria.  

Los pronunciamientos de otras autoridades de control europeas.

Algunas autoridades de control europea han hecho ya pública su respuesta a la sentencia del Caso Schrems II. Mientras que la mayoría de países están aún sopesando las implicaciones de la misma, otros avisan del riesgo de no cumplimiento y unos poco, como Alemania (en concreto Berlín y Hamburgo) y los Países Bajos han dicho abiertamente que las transferencias a Estados Unidos son ilegales.

En términos generales, aquellos que están intentando concienciar sobre los riesgos establecen que:

  • Las transferencias de datos a Estados Unidos son posibles, pero requieren de la implementación de medidas adicionales.
  • La obligación de implementar los requisitos recogidos en la sentencia del TJUE conciernen tanto a las empresas como a las autoridades de control. 
  • Se requiere a las empresas controlar de manera continua el nivel de protección del país receptor de los datos. 
  • Las empresas deberían llevar a cabo una evaluación previa a la transferencia de datos personales a Estados Unidos.

La autoridad de control de Alemania (Rhineland-Palatinate) ha propuesto una evaluación de cinco pasos:

¿Puede EEUU garantizar el nivel de protección de datos requerido por el RGPD?

El TJUE ha considerado que los requisitos de la ley de Estados Unidos y, en particular, algunos programas que permiten a las autoridades públicas de Estados Unidos el acceso a datos personales transferidos desde Europa, resultan en limitaciones a la protección de datos personales que no satisfacen los requisitos del RGPD. Además, el TJUE ha establecido que la legislación estadounidense no garantiza a los interesados derechos ejecutables ante las autoridades estadounidenses. 

En este contexto parece difícil que una compañía pudiese demostrar que puede ofrecer un nivel adecuado de protección de datos personales para los datos transferidos desde Europa, porque básicamente tendría que estar por encima de la legislación nacional estadounidense para ello. 

Los últimos movimientos en el Senado de Estados Unidos tampoco arrojan mucha luz a este problema, porque la «Lawful Access to Encrypted Data Act» fue introducida el mes pasado, la cual ordena a los proveedores de servicios y a los fabricantes de dispositivos ayudar a las autoridades a acceder a los datos encriptados si esto ayudase a ejecutar una orden legalmente obtenida. 

¿Realizas transferencias internacionales de datos a terceros países? ¿Te afecta la Sentencia del caso “Schrems II”? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.

vinculantes tras el Brexit

Cambios en las normas corporativas vinculantes tras el Brexit: orientaciones del Comité Europeo de Protección de Datos.

El Comité Europeo de Protección de Datos (CEPD) ha publicado unas orientaciones sobre las normas corporativas vinculantes (BCRs) para empresas y grupos de empresas que tienen a la ICO como autoridad de control principal.  

 

El CEPD ha publicado unas orientaciones sobre las normas corporativas vinculantes (BCRs) para empresas y grupos de empresas que tienen a la ICO como autoridad de control principal. A medida que se realizan cambios para implementar de manera oficial el Brexit, las empresas también están experimentando muchas modificaciones estructurales y procedimentales y algunas tienen como origen la última sentencia del TJUE en el caso Schrems II. El el CEPD ha realizado un análisis de las consecuencias que ha conducido a la publicación de unas orientaciones en las que señala los cambios necesarios en las normas corporativas vinculantes tras el Brexit, que incluye una tabla sobre el criterio para un cambio de autoridad de control en relación a las BCRs, el cómo y el por qué, y la legislación para cada criterio. 

 

Cambios procedimentales para BCRs autorizadas.

 

La empresas que realicen transferencias internacionales mediante BCRs aprobadas y que estén sujetas a la ICO necesitarán una nueva autoridad de control principal dentro del Espacio Económico Europeo. Este cambio deberá implementarse antes de que finalice el período de transición del Brexit. Para BCRs ya aprobadas bajo el RGPD, la nueva autoridad de control principal tendrá que emitir una nueva decisión de aprobación, tras recibir la opinión del CEPD.  

Sin embargo, esta decisión de aprobación no será necesaria para aquellas BCRs donde la ICO actuó como la autoridad de control bajo la Directiva 95/46/EC. 

 

Cambios de contenido para BCRs autorizadas.

 

Antes del fin del período de transición del Brexit, las compañías que ostenten BCRs aprobadas con la ICO como la autoridad de control principal tendrán que modificar dichas BCRs y referenciar el orden normativo del Espacio Económico Europeo. Sin estos cambios (o la nueva decision de aprobación, según corresponda), estas empresas o grupos de empresas no podrán utilizar las BCRs para transferencias fuera del Espacio Económico Europeo tras el período de transición. 

 

Cambios procedimentales para nuevas solicitudes de BCRs ante la ICO. 

 

El CEPD insta a cualquier empresa o grupo de empresas que cuenten con BCRs en fase de revisión con la ICO a identificar una nueva autoridad principal según las orientaciones WP263 rev.01 antes del final del período de transición del Brexit. Habrán de contactar con la nueva autoridad de control y proporcionar toda la información necesaria para solicitar que sea su nueva autoridad de control principal en lo que concierne a las BCRs. Ésta entonces iniciará el procedimiento conforme a la opinión emitida por el CEPD.  

 

Las empresas o grupos de empresas pueden transferir su solicitud a la nueva autoridad de control tras la aprobación de la ICO, en cuyo caso la nueva autoridad de control deberá aprobar la nueva aplicación antes del final del período de transición, conforme al artículo 47.1 RGPD. 

 

Cambios de contenido para nuevas solicitudes de BCRs ante la ICO.

 

Las empresas o grupos de empresas con BCRs en proceso de aprobación por la ICO deberán asegurarse de que sus BCRs refieren el orden normativo del Espacio Económico Europeo con información sobre los cambios previstos, antes del final del período de transición. 

Cambios generales para nuevas solicitudes de BCRs.

 

Cualquier autoridad de control en el Espacio Económico Europeo a la que se le solicite actuar como nueva autoridad de control para las BCRs deberá considerar si es ella la apropiada, caso por caso, conforme al criterio recogido en WP263 y en colaboración con otras autoridades de control que puedan ser de relevancia. El CEPD ha preparado una lista de elementos para BCRs de responsables y encargados de tratamiento que vayan a cambiar sus BCRs con motivo del Brexit. 

 

¿Tienes a la ICO como autoridad de control principal o transfieres datos a Reino Unido? En ese caso puede que necesites realizar algunos cambios importantes antes del final del período de transición del Brexit. Nuestras Evaluaciones de Impacto, adaptaciones al RGPD y la Data Protection Act 2018 así como nuestros servicios de Delegado de Protección de Datos pueden ayudarte. Contacta con nosotros. 

Comisión Europea sobre la transición:

La Comisión Europea lanza un comunicado sobre la transición entre Reino Unido y la Unión Europea

La Comisión Europea ha lanzado un comunicado donde detalla las implicaciones de la transición entre Reino Unido y la Unión Europea.  

Con motivo del final del período de transición entre Reino Unido y la Unión Europea en la salida del primero, prevista para finales de este año, la Comisión Europea ha lanzado un comunicado donde evalúa la situación actual de Reino Unido para su separación. El acuerdo de salida se firmó el 1 de febrero de 2020 y en él se estableció que las leyes de la UE se continuarían aplicando a Reino Unido hasta el 31 de diciembre de 2020. De esta forma, por ahora Reino Unido sigue siendo parte de los programas de la UE y el Mercado Único Europeo y continúa respetando las políticas de la UE y cualquier acuerdo internacional que incluya a la misma.  Esta situación tomará un giro a partir del 1 de enero de 2021, cuando el período de transición llegue a su fin y el acuerdo de salida se haga efectivo. Así por tanto, el período de transición funciona como un período de continuidad para asegurar que Reino Unido está preparada para implementar todas las medidas y acuerdos que sean necesarios a fin de facilitar la negociación de la nueva relación entre Reino Unido y la UE a partir del 1 de enero de 2021. 

Las negociaciones cobran impulso este verano porque la UE y Reino Unido pretenden alcanzar un acuerdo sobre la futura relación entre ambos antes de que llegue la fecha de implementación, prevista para el 1 de enero de 2021. 

Mientras que las negociaciones han evolucionado lento durante la primera parte de este año, desde junio han tomado impulso, pues el Gobierno de Reino Unido ha tomado la decisión de no alargar el período de transición. El objetivo es alcanzar un ambicioso acuerdo en la relación entre ambas partes que cubra todas las áreas acordadas por Reino Unido en la Declaración Política para finales de 2020. El acuerdo resultante daría lugar a una situación muy diferente a la actual participación de Reino Unido en el Mercado Único Europeo y en el área de IVA e impuestos especiales.  Se espera también que se pongan barreras al comercio de bienes y servicios y a la movilidad e intercambios transfronterizos. Todo esto, en el contexto de presión bajo el que se encuentran todos los negocios debido a la pandemia del COVID-19, probablemente causará algunas disrupciones en enero de 2021.   

Se aconseja a los negocios que revisen sus planes de reacción previstos para el escenario de Brexit sin acuerdo. Mientras que las negociaciones todavía están en curso, dichos planes podrían ser todavía muy importantes para los cambios al final del período de transición. 

La Comisión Europea ha publicado información sobre los efectos que dichos cambios podrían tener en varias industrias, e implora a las empresas la implementación de las acciones que aseguren su preparación para el nuevo escenario. 

La Comisión Europea ha comunicado un resumen de los cambios que se esperan  tanto si hay como si no hay un acuerdo de colaboración futura entre Reino Unido y la UE. El 1 de enero de 2021 finalizará el período de transición que actualmente permite la participación de Reino Unido en el Mercado Único Europeo y la Unión Aduanera, lo que implicará el fin del libre movimiento de personas, bienes y servicios entre ambos territorios. Como resultado habrá muchos cambios automáticos. 

Desde marzo de 2020 la Unión Europea ha estado publicando artículos sobre la preparación específica para varias industrias. Hasta la fecha hay 59 artículos que cubren un amplio rango de industrias, y esta lista será actualizada de manera regular conforme otros nuevos se vayan lanzando. La Comisión Europea hace un llamamiento a todos los consumidores nacional y europeos, empresas y asociaciones para asegurar que todos los miembros son plenamente conscientes de los cambios que se esperan. Los cambios que tendrán lugar a partir del 1 de enero de 2021 serán automáticos, de gran alcance e inevitables, de carácter tanto logístico como legal, con lo que los efectos no deberían infravalorarse. En última instancia, las empresas necesitan realizar su propia evaluación de riesgos e implementar las acciones necesarias para confirmar su propia preparación.  

¿Cuáles son las implicaciones para la protección de datos?

Como informamos en nuestro blog en enero, la ICO lanzó un comunicado sobre las implicaciones del Brexit en protección de datos, donde se ofrecía una serie de orientaciones en la materia, a saber: 

Durante el período de transición:

  • El RGPD se continúa aplicando en Reino Unido.
  • No se necesita un representante europeo.
  • Las orientaciones sobre el RGPD de la ICO siguen siendo válidas.
  • Las transferencias de datos entre Reino Unido y Europa no están restringidas. 

Después del período de transición: 

  • El RGPD será llevado a la legislación nacional británica como el ‘RGPD de Reino Unido’ y Reino Unido tendrá independencia para mantener el marco bajo revisión.
  • Podría ser necesario nombrar un representante europeo.
  • La ICO no será institución reguladora ni autoridad de protección de datos para ninguna actividad específicamente europea que recaiga bajo la versión comunitaria del RGPD.
  • La DPA 2018 continuará siendo de aplicación.
  • La ICO seguirá siendo el cuerpo independiente de supervisión de la normativa de protección de datos británica.
  • Las transferencias de datos entre Reino Unido y Europa podrían estar limitadas y se podría precisar de la implementación de medidas y salvaguardas adecuadas.

¿Tratas datos personales en Reino Unido o transfieres datos personales entre Reino Unido y Europa? Si es así, el Brexit podría afectarte. Las evaluaciones de impacto de Aphaia y los servicios de subcontratación del Delegado de Protección de Datos y de adaptación al RGPD y a la Data Protection Act 2018 pueden ayudarte. Infórmate aquí.