CEPD y el SEPD lanzan una opinión

El CEPD y el SEPD lanzan una opinión conjunta que plantea la prohibición del reconocimiento facial

El CEPD y el SEPD han realizado una petición conjunta para la prohibición del reconocimiento facial automatizado en espacios públicos. 

 

El CEPD y el SEPD proponen una prohibición del uso de IA para identificación biométrica en espacios públicos, lo que incluiría reconocimiento facial, huellas dactilares, ADN, reconocimiento de voz y otros indicadores biométricos y de comportamiento. Esta petición llega después de que la Comisión Europea haya elaborado, a principios de este año, normas armonizadas sobre Inteligencia Artificial. Mientras que el CEPD y el SEPD acogen la introducción de normas que regulan el uso de sistemas de IA en la UE por instituciones, organismos o agencias, ambos han expresado su preocupación en torno a la exclusión en la propuesta de cooperación internacional para la toma de acciones legales. Asimismo, el CEPD y el SEPD destacan que es necesario aclarar que la actual normativa de protección de datos de la UE se aplica a cualquier tratamiento de datos personales bajo el ámbito de la propuesta de regulación de los sistemas de IA.  

El CEPD y el SEPD solicitan una prohibición general del uso de IA en espacios públicos, especialmente en aquellos casos que puedan resultar en discriminación.  

 

En la opinión conjunta que el CEPD y el SEPD han publicado recientemente, ambos reconocen que la identificación biométrica en espacios públicos presenta grandes riesgos, especialmente en el caso de aquellos sistemas que emplean datos biométricos para clasificar a los sujetos conforme a información relativa a etnia, género, orientación política o sexual u otros campos sobre los cuales se prohíbe la discriminación. De acuerdo al Artículo 21 de la Carta de Derechos Fundamentales de la UE “Se prohíbe toda discriminación, y en particular la ejercida por razón de sexo, raza, color, orígenes étnicos o sociales, características genéticas, lengua, religión o convicciones, opiniones políticas o de cualquier otro tipo, pertenencia a una minoría nacional, patrimonio, nacimiento, discapacidad, edad u orientación sexual”. El CEPD y el SEPD también solicitan que se prohíba el uso de IA con la finalidad de inferir el estado emocional de las personas, excepto en escenarios específicos, como por ejemplo en casos donde esto sea necesario en el campo de la salud. Sin embargo, ambas instituciones mantienen que cualquier uso de este tipo de IA con el objetivo de clasificación o puntuación social debería quedar estrictamente prohibido. Dr. Bostjan Makarovic, Socio Gerente de Aphaia, recuerda que “Debería tenerse en cuenta que un sistema general de reconocimiento facial en espacios públicos dificulta que se pueda informar a los interesados sobre dicha práctica, lo cual también hace imposible oponerse al tratamiento, incluida la elaboración de perfiles”. 

 

El CEPD y el SEPD consideran que se precisa mayor claridad sobre el rol del SEPD como autoridad de control competente.  

 

Las organizaciones valoran de manera positiva que la Comisión Europea designe al SEPD como la autoridad de control y organismo supervisor para las instituciones, agencias y cuerpos dentro de la Unión Europea. Sin embargo, consideran que se requiere mayor transparencia sobre las tareas específicas asignadas al SEPD en dichas funciones. El CEPD y el SEPD reconocen que las autoridades de control nacionales ya están aplicando el RGPD y la Directiva 2016/680 en el contexto de IA que implique el tratamiento de datos personales, pero sugieren un enfoque regulatorio más armonizado, que incluya a las autoridades de control como las autoridades de supervisión nacionales designadas y una interpretación consistente de las provisiones de tratamiento de datos a lo largo de la UE. Por otro lado, su comunicado también demanda una mayor autonomía para el Comité Europeo de Inteligencia Artificial a fin de evitar conflicto y crear una atmosfera apropiada para una institución europea de IA libre de influencia política. 

 

Visita nuestro vlog para más información sobre reconocimiento facial en espacios públicos.

¿La IA forma parte de tus productos o servicios y necesitas ayuda para cumplir con la normativa? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Certificados digitales verdes

Certificados digitales verdes: el CEPD y el SEPD publican una opinión conjunta al respecto.

A la luz del debate que están generando los certificados digitales, el CEPD y el SEPD han publicado su opinión conjunta en relación a los mismos en el ámbito de privacidad y protección de datos. 

 

Los certificados digitales verdes, también denominados “pasaporte vacuna” no están, al contrario de lo que se cree, dirigidos específicamente a las vacunas. De hecho se propone que los certificados digitales verdes o pases consistan en un código QR que contenga información sobre el estatus de cada persona en relación al virus del COVID-19. Los elementos específicos de dicha información pueden girar en torno a la vacuna y contar con detalles sobre qué vacuna se empleó o cuándo fue administrada, o también recoger datos sobre test de COVID-19 negativos y la fecha en que se realizaron. Este código podría asimismo aportar información sobre los anticuerpos presentes en el sistema inmune de una persona, y si se han desarrollado tras haber estado contagiado del virus con su posterior recuperación. Las vacunas no son obligatorias en este momento, y los certificados digitales verdes propuestos por la Comisión Europea pretenden hacer más sencilla la identificación del estado actual de una persona con respecto al COVID-19, si se han vacunado o no, lo cual facilitaría el desplazamiento entre países de la EU para cualquiera que necesite viajar durante la pandemia. 

 

La publicación conjunta del CEPD y del SEPD abarca de manera específica los aspectos de la propuesta relativos a la protección de datos personales. 

 

Inicialmente la Comisión publicó una propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la emisión, verificación y aceptación de certificados de vacunación, pruebas y recuperación para nacionales de terceros países que se encontrasen o estuviesen residiendo de manera legal en los Estados Miembro durante la pandemia del COVID-19 el 17 de marzo. El CEPD y el SEPD señalan que el objetivo de la propuesta es facilitar el ejercicio del derecho de libre movimiento dentro de la UE durante la pandemia del COVID-19. Dada la importancia particular de estas propuestas y su impacto en los derechos y libertades de los sujetos en relación al tratamiento de sus datos, el EDPB y el SEPB han publicado una opinión conjunta sobre los aspectos específicos relacionados con la protección de los datos personales. Se destaca que es esencial que la propuesta sea consistente y no entre en ningún caso en conflicto con la aplicación del RGPD. 

 

Conforme a la opinión conjunta del CEPD y el SEPD, los certificados digitales verdes deberían enfocarse desde un punto de vista holístico y ético. 

 

El CEPD y el SEPD recomiendan que la Comisión tome un enfoque holístico y ético en la propuesta, en un esfuerzo por acompasar todos los aspectos relativos a la privacidad y a la protección de datos, y a los derechos fundamentales de los sujetos en general. Afirman que la protección de datos no es un obstáculo para la lucha contra la actual pandemia y el cumplimiento con la normativa de protección de datos ayudará a que los ciudadanos confíen en los marcos que se establezcan. El CEPD y el SEPD aconsejan que cualquier medida que adopten los Estados Miembro o las instituciones de la UE debe basarse y orientarse conforme a los principios generales de efectividad, necesidad y proporcionalidad. Además, indican que la Organización Mundial de la Salud (OMS) recoge en su documento provisional referente a las consideraciones sobre la prueba de vacunación del COVID-19 para viajeros internacionales lo siguiente: “(…)las autoridades nacionales y los operadores intermedios no deberían introducir requisitos de prueba de vacunación del COVID-19 para viajeros internacionales como una condición de salida o entrada, puesto que todavía hay un gran desconocimiento en torno a la eficacia de la vacuna para reducir la transmisión del virus”.  

 

El CEPD y el SEPD afirman en su opinión conjunta que estos certificados digitales verdes no deberán conducir a la creación de ninguna base de datos central de datos personales a nivel europeo bajo el pretexto del marco de los Certificados Digitales Verdes. Además, hacen mención específica al hecho de que estos certificados deben estar disponibles tanto en formato digital como físico, para asegurar así la inclusión de todos los ciudadanos independientemente de su nivel de familiarización con la  tecnología. Se apela por otro lado a la manera en que estos certificados serán emitidos, si automáticamente o bajo solicitud de los sujetos. El considerando 14 y los artículos 5(1) y 6(1) de la propuesta actualmente rezan lo siguiente “(…) Los Estados Miembro deberían emitir certificados conforme al marco de los Certificados Digitales Verdes de manera automática o bajo petición (…)”

 

El CEPD y el SEPD valoran positivamente la inclusión en la propuesta de los derechos y libertades de los sujetos así como el cumplimiento con la normativa de protección de datos. 

 

El CEPD y el SEPD valoran de manera positiva que la propuesta menciona de forma explícita que el cumplimiento con la regulación europea de protección de datos es clave para la aceptación comunitaria de los certificados de vacuna, prueba y recuperación. El considerando 38 de la propuesta establece que “conforme al principio de minimización de datos, los certificados deberían únicamente contener los datos personales que sean necesarios para el cumplir con el propósito de facilitar el ejercicio del derecho de libre movimiento dentro de la Unión durante la pandemia del COVID-19”. El CEPD y el SEPD recomiendan que se incluya una referencia al RGPD en el principal texto de la propuesta, pues es la base legal para el tratamiento de los datos y la emisión de certificados de vacunación interoperables, como enfatiza el considerando 37. 

 

El Artículo 3(3) de la propuesta establece que los ciudadanos podrán obtener estos certificados sin coste, y pueden renovarlos para actualizar la información o reemplazarla cuando sea necesario. Mientras que el CEPD y el SEPD comparten esta postura, también recomiendan aclarar que el certificado original, así como sus modificaciones, deberán emitirse bajo petición de los sujetos. Esto es muy importante a fin de mantener la accesibilidad para todos. 

 

El CEPD y el SEPD apuntan la necesidad de prestar atención a la minimización de datos y a una serie de aclaraciones en torno a la período de validez de los datos tratados. 

 

Hay algunas categorías y campos de datos que se tratarían dentro del marco de los Certificados Digitales Verdes. Como resultado, el CEPD y el SEPD consideran que la justificación de la necesidad de tales campos de datos personales debe estar claramente definida en la propuesta. Además, se requiere una explicación más elaborada sobre si todos las categorías de datos personales deben necesariamente incluirse en el código QR para el formato digital y el físico. Apuntan que la minimización de datos se puede lograr mediante un enfoque de varios conjuntos de datos o códigos QR. Por otro lado, se enfatiza la ausencia de especificaciones en la propuesta en relación a la fecha de expiración o período de validez de cada certificado. Es importante mencionar que el CEPD y el SEPD establecen de manera clara que, dado el ámbito de la propuesta y el contexto de pandemia, la declaración de enfermedad o agente del cual el sujeto se ha recuperado debe limitarse únicamente al COVID-19 y sus variantes. 

 

El CEPD y el EDPS insisten en la importancia de contar con las adecuadas medidas de privacidad y seguridad técnicas y organizativas en el contexto de la propuesta.  

 

En relación al marco de los Certificados Digitales Verdes, el CEPD y el SEPD recomiendan que se estructuren de manera especial las medidas de privacidad y seguridad a fin de asegurar el cumplimiento de los responsables y encargados del tratamiento que el marco requiere. La opinión indica que los responsables y encargados deberían tomar medidas técnicas y organizativas adecuadas que confirmen un nivel de seguridad apropiado al riesgo del tratamiento de datos personales de acuerdo con el artículo 32 RGPD. Estas medidas tendrían que incluir el establecimiento de procesos para evaluaciones regulares de la efectividad de las medidas de privacidad y seguridad que se adoptan. 

 

Mientras que el CEPD y el SEPD aprecian la aclaración que contiene la propuesta sobre el rol de los responsables y encargados de tratamiento, también recomiendan que se especifique, a través de una lista completa y detallada, todas las entidades que se prevé que actúen como responsables y encargados de tratamiento en los Estados Miembro, tomando en consideración el uso de estos certificados en múltiples estados por parte de personas que viajan de manera intracomunitaria. También apuntan que la propuesta debería ofrecer explicaciones sobre el papel de la Comisión en torno a las leyes de protección de datos en el contexto de este marco, garantizando la interoperabilidad entre certificados. Se solicita también que se preste atención al Artículo 5(1)(e) RGPD, en relación al almacenamiento de los datos personales, así como indicaciones sobre el período de almacenamiento que los Estados Miembro no deberían exceder, más allá de la pandemia. Además, el CEPD y el SEPD recomiendan que la Comisión explique de manera explícita si se esperan transferencias internacionales de datos personales y cuándo, junto a las salvaguardas dentro de la legislación para asegurar que los terceros países sólo tratan los datos personales para finalidades específicas por las cuales estos datos se intercambian, dentro del marco. 

 

¿Tus actividades de tratamiento de datos personales cumplen con la Directiva ePrivacy, el RGPD y la LOPDGDD? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

 

El CEPD y el SEPD

El CEPD y el SEPD han publicado una opinión conjunta sobre el borrador de las cláusulas responsable-encargado y las SCCs

El CEPD y el SEPD han publicado una opinión conjunta sobre las cláusulas contractuales tipo para la transferencia de datos personales dentro del EEE y a terceros países. 

 

El CEPD y el SEPD publicaron el mes pasado unas declaraciones conjuntas sobre las cláusulas contractuales tipo para la transferencia de datos personales. Esta actualización de las mismas pretende alinearlas con los requisitos del RGPD y ofrecer un reflejo más realista de las actividades de tratamiento más complejas, así como proporcionar salvaguardas específicas en relación a las leyes de los terceros países y su efecto en el cumplimiento que puede garantizar el importador de los datos. El borrador de las cláusulas abarca, por un lado, las relaciones entre responsable y encargado de tratamiento dentro del EEE y, por otro, transferencias internacionales. Ambos documentos se denominan SCC; sin embargo, se trata de publicaciones independientes que no deben confundirse. Tanto el CEPD como el SEPD  afirman que las provisiones particulares incluyen muchas recomendaciones realizadas por el CEPD, y también lidian con la mayoría de las indicaciones efectuadas por el TJUE en el caso Schrems II.

El CEPD y el SEPD expresaron satisfacción general con las SCCs para transferencias internacionales.

 

El CEPD y el SEPD están en términos generales satisfechos con el nivel de protección reforzado que la actualización de las SCCs aportan a los sujetos. Esta nueva versión busca alinear las SCCs con las disposiciones del RGPD a la par que dar respuesta a la polémica que plantea el cumplimiento con las leyes de los terceros países y su conflicto con las SCCs. Las organizaciones destacaron que el borrador de las SCCs cubre la mayoría de las medidas complementarias recomendadas por el RGPD, aunque algunas indicaron que les gustaría percibir una mayor consistencia. Muchas organizaciones tendrán que basarse en estas cláusulas contractuales tipo para las transferencias internacionales, principalmente tras la anulación del EU-US Privacy Shield.  

 

Puedes leer más sobre las nuevas SCCs para transferencias internacionales en este artículo del pasado diciembre en nuestro blog.

 

En su análisis de las cláusulas responsable-encargado, el CEPD y el SEPD realizaron algunas sugerencias. 

Mientras que el CEPD y el SEPD se mostraron generalmente satisfechos con el borrador, presentaron una solicitud a la Comisión Europea para aclarar algunos elementos específicos, con la finalidad de alcanzar una mayor transparencia del texto y asegurar su practicidad y uso en las operaciones del día a día entre responsables y encargados. 

 

El CEPD y el SEPD también sugirieron que los anexos de las cláusulas aclaren tanto como sea posible los roles y responsabilidades de cada una de las partes en relación a las actividades de tratamiento, pues cualquier tipo de ambigüedad al respecto podría derivar en impedimentos para que los responsables y los encargados cumplan en su totalidad con sus obligaciones conforme al principio de rendición de cuentas. Se pretende que los anexos ofrezcan una explicación técnica sobre cómo las cláusulas se aplican en situaciones específicas. 

 

Andrea Jelinek, Presidente del CEPD, señaló que “El CEPD y el SEPD dan la bienvenida a las cláusulas responsable-encargado como una herramienta europea única y sólida que facilitará el cumplimiento con las provisiones del RGPD y el EUDPR. Entre otros aspectos, el CEPD y el SEPD requieren que se ofrezca claridad suficiente a las partes en relación a las situaciones en las que pueden emplear estas cláusulas, y enfatizar que las circunstancias que impliquen transferencias fuera de la UE no deberían ser excluidas”. 

 

Las opiniones presentadas por el CEPD y el SEPD serán tomadas en consideración por la Comisión, junto a las otras respuestas enviadas a la consulta que se abrió a tales efectos. La Comisión Europea adoptará entonces una decisión que incorporará las cláusulas finalizadas y señalará los detalles pertinentes para que las organizaciones las adopten. Una vez alcanzada dicha fase, las SCCs para transferencias internacionales reemplazarán las actuales SCCs para las transferencias de datos personales entre la UE y terceros países que no ofrezcan un nivel adecuado de protección de los datos. En lo que respecta a las cláusulas responsable-encargado, estas ofrecerán un estándar para las partes, pero su implementación no será obligatoria para los responsables y los encargados, que podrán seguir utilizando sus propias cláusulas.   

 

¿Realizas transferencias internacionales de datos a terceros países?  Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.