A lo largo de este año, la UE y Reino Unido han experimentado varios desarrollos notables en materia de protección de datos. En este artículo destacaremos algunos de los hitos clave de 2024.
El año comenzó con un recordatorio relevante, aconsejando a las organizaciones de Reino Unido sobre la transferencia de datos personales a EEUU bajo el RGPD de Reino Unido, subrayando la importancia de las evaluaciones de riesgos, los mecanismos legales y las medidas de seguridad para garantizar el cumplimiento y la protección de datos.
A principios de 2024, hablamos sobre las orientaciones del ICO para ayudar a las organizaciones de Reino Unido a transferir datos personales a EEUU bajo el Artículo 46 del RGPD de Reino Unido cuando las entidades receptoras de EEUU no están certificadas bajo la Extensión de Reino Unido al Marco de Privacidad de Datos UE-EEUU (DPF). El ICO declaró que las organizaciones debían realizar evaluaciones de riesgo de transferencia y utilizar mecanismos como el Acuerdo Internacional de Transferencia de Datos (IDTA), las Cláusulas Contractuales Tipo (SCC) o las Normas Corporativas Vinculantes (BCR) para garantizar el cumplimiento y una adecuada protección de los datos. Esto implicaba evaluar factores como las leyes de seguridad nacional y vigilancia, incluyendo la FISA y el CLOUD Act, e implementar medidas complementarias como el cifrado y controles de acceso más estrictos. Desde que la sentencia en el caso Schrems II anuló el Escudo de Privacidad UE-EEUU, se había instado a las organizaciones a lo largo del año anterior a mantenerse alerta, vigilar la evolución de las regulaciones y adoptar prácticas de seguridad sólidas para mantener el cumplimiento del RGPD de Reino Unido mientras se protegían los derechos de privacidad de las personas.
El gobierno de Reino Unido priorizó la reducción de gastos y la eficiencia del sector público en su estrategia de IA, apartándose de un mayor enfoque en la inversión en IA e implementando regulaciones más estrictas para esta tecnología.
El gobierno del Reino Unido ha estado reevaluando su estrategia de IA, enfocándose en mejorar la eficiencia del sector público en lugar de invertir fuertemente en tecnología de IA, como parte de un esfuerzo más amplio para reducir gastos en su presupuesto de otoño. Este cambio, que incluyó la cancelación de una inversión en IA de £1.300 millones y posibles recortes en proyectos planificados como una oficina en San Francisco para el Instituto de Seguridad de IA de Reino Unido, generó críticas por parte de líderes de la industria. Como contraste, países como Francia aumentaron su inversión en IA. Mientras tanto, las autoridades de protección de datos de Reino Unido se centraron en endurecer las regulaciones sobre IA, especialmente en relación con herramientas de IA generativa, como el chatbot “My AI” de Snap Inc. Este año, tras una investigación sobre las prácticas de protección de datos de Snap, el ICO de Reino Unido emitió consejos generales para las empresas que integran chatbots de IA, destacando la necesidad de evaluaciones exhaustivas de protección de datos. El escrutinio del ICO sobre herramientas de IA forma parte de su consulta más amplia sobre cómo deberían aplicarse las leyes de protección de datos a los modelos de IA, con el objetivo de garantizar equidad y cumplimiento. Todo esto se alinea con el objetivo más amplio de Reino Unido de fomentar la innovación mientras protege la privacidad y los datos en el rápido avance del panorama de la IA.
La Ley de IA de la UE ha introducido un marco regulador para la IA y será implementada por los Estados Miembro con el apoyo de órganos gubernamentales para garantizar la consistencia y la confianza pública.
La Unión Europea ha estado dedicada a avanzar en su regulación de la inteligencia artificial con la adopción de la Ley de IA de la UE. Esta legislación entró en vigor tras la aprobación final del Consejo de la UE el 21 de mayo de 2024 y se aplicará plenamente en los próximos 24 a 36 meses. La Ley establece un marco basado en el riesgo para los sistemas de IA, categorizándolos en riesgos inaceptables, altos, limitados y mínimos, con prohibiciones en aplicaciones de alto riesgo como la categorización biométrica y la vigilancia predictiva. Exige medidas de transparencia, seguridad y responsabilidad para los desarrolladores, incluyendo evaluaciones de conformidad y marcas CE para sistemas de alto riesgo. Las autoridades de protección de datos en toda Europa, como la CNIL de Francia, el ICO de Reino Unido y la AEPD de España, han proporcionado recomendaciones éticas de IA a lo largo de 2024 alineadas con el RGPD o el RGPD de Reino Unido, enfatizando la transparencia, equidad y privacidad, demostrando el equilibrio entre seguridad y el avance tecnológico en constante evolución en Europa.
Esta Ley ha introducido un marco integral para regular las tecnologías de IA, con los Estados Miembro desempeñando un papel fundamental en la implementación. Esto incluye el nombramiento de autoridades nacionales supervisoras y competentes para supervisar el cumplimiento, realizar vigilancia del mercado y representar a sus países en la Junta de IA de la UE. Las sanciones por incumplimiento son significativas, oscilando entre €7.5 millones y €35 millones o hasta el 7% del volumen de negocios global, dependiendo de la gravedad de la infracción. Los ciudadanos pueden presentar quejas y buscar compensación por daños causados por sistemas de IA de alto riesgo o productos defectuosos bajo directivas relacionadas de la UE. Órganos de apoyo, como la Junta de IA, la Oficina de IA, el Foro Asesor y un Panel Científico de expertos independientes, garantizarán una implementación consistente, proporcionarán experiencia técnica y avanzarán en la gobernanza de la IA en toda la UE. Estas medidas tienen como objetivo fomentar un desarrollo de IA confiable mientras se protegen los intereses y derechos públicos.
En abril, el CEPD aclaró que los modelos de suscripción “Paga o OK” deben cumplir con los requisitos de consentimiento del RGPD, incluyendo ofrecer una alternativa gratuita genuina y no inscribir automáticamente a los usuarios en suscripciones pagadas si retiran su consentimiento.
Con el aumento del uso de modelos de suscripción “Paga o OK”, el Comité Europeo de Protección de Datos (CEPD) publicó una opinión abordando las preocupaciones legales en torno a este modelo, que presenta a los usuarios la opción de consentir el tratamiento de datos para publicidad dirigida o pagar una tarifa por acceso sin publicidad. El CEPD enfatizó que cualquier modelo de este tipo debe cumplir con todos los aspectos del RGPD, particularmente en cuanto al consentimiento válido. El consentimiento debe ser dado libremente, ser específico, informado y no ambiguo, y el usuario debe tener una elección genuina entre alternativas. La opinión del CEPD insistió en que las empresas deben ofrecer una alternativa equivalente gratuita, que podría implicar un tratamiento de datos menos intrusivo o ningún tratamiento de datos en absoluto. También subrayó que los usuarios deben poder elegir finalidades específicas de tratamiento de datos en lugar de consentir un conjunto de actividades. Además, el CEPD destacó la importancia de proporcionar información clara y completa a los usuarios sobre cómo se utilizarán sus datos y garantizar que retirar el consentimiento no coloque automáticamente al usuario en una suscripción de pago. Además, las empresas deben adherirse a principios como la minimización de datos y la limitación de finalidad, asegurando que solo se traten los datos necesarios. La opinión del CEPD también abordó la protección de los niños, quienes requieren salvaguardias adicionales frente a la publicidad conductual. Esta orientación buscó garantizar que las empresas ofrezcan alternativas justas, transparentes y conformes con el RGPD en sus prácticas de datos, equilibrando los derechos de los usuarios con los modelos comerciales.
La Ley de Datos de Europa entró en vigor en junio, buscando establecer una economía de datos justa dentro de la UE mediante la protección de empresas, la promoción de la competencia y el aseguramiento de la privacidad y seguridad de los datos.
En junio de 2024, la Ley de Datos de Europa entró en vigor, buscando establecer un marco para una economía de datos justa e innovadora dentro de la UE, con aplicabilidad a partir del 12 de septiembre de 2025. La legislación protege a las empresas—particularmente a las más pequeñas—contra términos contractuales injustos, promueve la competencia justa y fomenta el crecimiento económico a través de estándares de interoperabilidad. Mejora la flexibilidad al permitir una transición fluida entre proveedores de servicios en la nube, reduciendo costos y alentando la innovación. La Ley también enfatiza la privacidad y la seguridad de los datos, introduciendo salvaguardias contra solicitudes de datos ilegales por parte de terceros países y asegurando un entorno confiable de tratamiento de datos. Estas medidas apoyan la colaboración, la productividad y la confianza dentro del ecosistema impulsado por los datos, mientras abordan el papel de los datos del sector privado durante emergencias públicas.
Más recientemente, el Consejo de la UE adoptó una nueva Directiva de Responsabilidad por Productos que ahora cubre características de IA y se aplicará a los productos puestos en el mercado a partir de diciembre de 2025.
El Consejo de la UE adoptó recientemente una nueva Directiva de Responsabilidad por Productos, modernizando la legislación de 1985 para abordar tecnologías digitales, IA, prácticas de economía circular y complejidades del comercio global. Efectiva para productos introducidos en el mercado a partir del 9 de diciembre de 2026, la directiva asegura que los fabricantes sean responsables por defectos, incluyendo los derivados de actualizaciones o características de IA, y amplía la responsabilidad a modificaciones de productos y plataformas en línea. Los consumidores se benefician de una carga de pruebas reducida, compensación ampliada por daños (físicos, psicológicos o digitales) y acceso a pruebas en poder de los fabricantes. La responsabilidad ahora incluye a importadores o distribuidores con sede en la UE si los fabricantes están fuera de la UE, garantizando que las víctimas puedan buscar compensación. La directiva aclara plazos, responsabilizando a las empresas durante hasta 10 años—o 25 años para daños relacionados con la salud latentes—mientras fomenta la innovación, la claridad legal y la sostenibilidad.
Aphaia participó activamente en varios eventos dentro de la comunidad tecnológica global, presentando sobre regulación y ética de la IA a lo largo de 2024 en varias ciudades europeas.
Aphaia ha estado interactuando activamente con la comunidad tecnológica global a través de varios eventos, aportando valiosos conocimientos sobre la regulación e implicaciones éticas de las tecnologías emergentes. En junio de 2023, Aphaia abrió una nueva oficina en 42Workspace en Róterdam, donde ofreció una presentación sobre la Ley de IA de la UE y los fundamentos del RGPD, enfocándose en la protección de datos y la ética de la IA. Más tarde, en octubre de 2024, la Socia Directora de Aphaia, Cristina Contero Almagro, presentó sobre la nueva Ley de Infraestructura Gigabit (GIA) en el 12º Taller Internacional sobre Fibra Óptica en Redes de Acceso (FOAN) en Atenas, destacando los cambios regulatorios diseñados para acelerar el despliegue de redes de alta capacidad en Europa. En noviembre de 2024, Cristina también participó en el evento “IA y Sociedad: Desafíos y Oportunidades” en Pamplona, discutiendo el futuro de la regulación de la IA en España, el impacto socioeconómico de la IA y la importancia de integrar una gobernanza responsable en el desarrollo de la IA. En noviembre de 2024, Aphaia organizó un evento sobre RGPD para empresas en la oficina de 42Workspace en Róterdam. Estas actividades reflejan el compromiso de Aphaia de avanzar en la comprensión e implementación responsable de marcos regulatorios tanto para la IA como para la infraestructura digital.
Mantente informado con nuestro blog, donde proporcionamos actualizaciones sobre las leyes que regulan las nuevas tecnologías, ética de la IA y orientación práctica para ayudarte a lograr y mantener el cumplimiento. Explora las últimas ideas y mantente a la vanguardia en un panorama regulatorio en constante evolución.
