Jurídico

Tras duras negociaciones, el Parlamento europeo ha aprobado finalmente este pasado día 13 de marzo con abrumadora mayoría un Reglamento europeo sobre inteligencia artificial (IA), el cual pretende ser un marco de regulación referente con vocación internacional. Pendiente aún de varios trámites, se prevé que entre en aplicación a los dos años a partir de su próxima publicación.

Entre otras cuestiones, el Reglamento prohíbe y regula una serie de conductas que podrían llevarse a cabo mediante una IA, contempla un régimen sancionador específico y contiene también la previsión de la creación de una agencia de supervisión en cada uno de los Estados miembros. Sin embargo, en el caso del Estado español ya se ha creado la Agencia Española de Supervisión de la IA.

A partir de la entrada en aplicación de este Reglamento, muchos dispositivos de vigilancia biométrica sólo podrán utilizarse de forma temporal y en casos específicos bajo autorización judicial y supervisión de la autoridad de protección de datos.

Algunas de las conductas que el nuevo Reglamento prohíbe de forma general y que podría llevar a cabo una IA son las siguientes:

• Categorización biométrica de personas.
• Captura indiscriminada de imágenes faciales de internet.
• Grabación con cámaras de videovigilancia que permita crear bases de datos de reconocimiento facial.
• Reconocimiento de emociones en el puesto de trabajo o en las escuelas.
• Establecer sistemas de puntuación ciudadana.
• Actuación policial prospectiva.
• IA que manipule el comportamiento humano o explote vulnerabilidades de personas.

Todas estas conductas que se plantean prohibir no son evidentemente supuestos de ciencia ficción en una sociedad futura y distópica, sino que son posibilidades reales que la tecnología de la IA ya permite actualmente. En cualquier caso, tal y como comentábamos anteriormente, todavía tendremos que esperar al menos dos años a que el Reglamento entre en aplicación. Como siempre la tecnología corre más que el legislador, y en dos años todavía pueden ocurrir muchas cosas; en cualquier caso, el Reglamento sobre la IA es una buena noticia de alcance internacional.

En la sesión plenaria de 16 de enero el Comité Europeo de Protección de Datos (CEPD) adoptó el informe con las conclusiones de la segunda acción coordinada a nivel europeo centrada en la designación y la posición de delegados y delegadas de protección de datos (DPO).

Este informe es fruto del trabajo efectuado durante el 2023 por las 25 autoridades de control de protección de datos del Espacio Económico Europeo, incluyendo el Supervisor Europeo de Protección de Datos (SEPD). En este informe se ilustra cuáles son hoy en día los principales obstáculos de la figura del DPO, y también se citan algunas recomendaciones para reforzar su estatus. El informe ha sido publicado juntamente con los 2 apéndices: uno estadístico, y el otro, con el análisis y observaciones hechas a nivel nacional por parte de cada autoridad participante.

Los puntos de atención que se destacan en el informe son:

• Ausencia de designación de DPO, incluso en aquellos casos en los cuales es obligatorio.
• Insuficiencia de recursos del DPO.
• Falta de conocimientos y experiencia del DPO.
• No tener confiadas en el DPO total o explícitamente las funciones definidas en el RGPD.
• Situaciones de conflicto de interés o de falta de independencia del DPO.
• Ausencia de reporting del DPO al más alto nivel de la entidad.
• Solicitud de orientación adicional por parte de las autoridades de control para tener mayor seguridad y eficiencia en sus actuaciones.

A pesar de que se han encontrado grandes coincidencias en aspectos generales, son de gran interés las apreciaciones particulares que describen las autoridades de control en cada país. Destacamos las 3 siguientes a modo de ejemplo:

• La Agencia Española de Protección de Datos alerta sobre la externalización de DPO. En concreto, se informa que en muchos casos esa práctica puede mostrar debilidad desde el punto de vista de que sea un mismo DPO el que pueda desarrollar plenamente su actuación en varias organizaciones. Asimismo, ello puede también incrementar el riesgo de que la figura del DPO sea considerada una mera formalidad en vez de que el DPO tenga una implicación real y proactiva en los tratamientos de datos efectuados por las organizaciones.
• La autoridad francesa advierte que a menudo los DPOs no tienen suficiente información sobre ciertos tratamientos de datos de la entidad porque no se los hace participar desde momentos iniciales en la toma de decisiones estratégicas.
• La autoridad portuguesa describe funciones que de forma equivocada se asocian al DPO cuando en realidad son obligaciones propias del responsable del tratamiento o encargado del tratamiento. En la misma línea, también se identifican tareas que de forma equivocada se atribuyen al DPO cuando no son su función, por ejemplo, en el caso de las evaluaciones de impacto que lleva a cabo directamente a pesar de que su función sea de asesoramiento.

Después de más de 5 años de plena aplicación del RGPD y con éste, de la figura del DPO, se constata que se han hecho avances pero que queda mucho camino pendiente de recorrer. Es por ello por lo que es necesario tener presentes las irregularidades detectadas y adecuarlas a las indicaciones dadas, más aún cuando en estos momentos hay numerosa normativa del sector digital que está siendo desarrollada o recién aprobada y ante la cual el DPO tendrá un rol significativo. Estos nuevos roles pueden reforzar algunas de las preocupaciones detectadas en el informe, en especial, aquellas relativas al conflicto de interés o la insuficiencia de recursos del DPO.

Para más información:

https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en

https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/resultados-de-la-accion-europea-que-ha-analizado-la

Hoy en día, las cookies son una herramienta esencial de la sociedad de la información, ya que permiten a los prestadores de servicios obtener datos de los usuarios y utilizarlos con diferentes finalidades, como puede ser, por ejemplo, para prestarle un servicio en concreto o facilitarle publicidad ajustada a sus gustos y costumbres de navegación.

Dada la afectación de las cookies en la privacidad de las personas, resulta ineludible la implementación de un sistema de información que permita a los usuarios ser plenamente conocedores de los usos que se dará a sus datos y decidir sobre los mismos. otorgamiento de su consentimiento.

A fin de garantizar estos parámetros, el pasado mes de febrero de 2023, el Comité Europeo de Protección de Datos (CEPD), emitió las Directrices 03/2023 sobre patrones engañosos en las redes sociales. Y, a fin de ayudar a los prestadores de servicios a seguir las indicaciones de las citadas directrices, la Agencia Española de Protección de Datos actualizó su Guía sobre el uso de las cookies. Estos nuevos criterios deben implementarse antes del 11 de enero de 2024.

La guía incluye un conjunto de recomendaciones que resultarán de aplicación en aquellos casos en los que la utilización de las cookies implique el tratamiento de datos personales. Y, por tanto, los responsables del tratamiento tendrán que asegurarse de cumplir tanto con las exigencias propias que regula la LSSI, así como también la normativa vigente en materia de protección de datos.

Uno de los primeros aspectos a los que hace referencia la guía, es la necesidad de identificar cuáles son las cookies utilizadas en el sitio web y cuál es su finalidad. Se trata de un paso esencial para poder cumplir con las principales obligaciones de cookies, que son la obligación de transparencia y la obligación de obtención del consentimiento.

También será necesario tener presente que estas obligaciones no aplicarán a todas las cookies, sino que algunas quedan exceptuadas. Por ejemplo, en el caso de las cookies de personalización, cuando el propio usuario toma decisiones sobre ellas como puede ser la opción del idioma, son cookies técnicas que no precisan de consentimiento, sin que puedan ser utilizadas para otros fines.

Cuando hablamos de la obligación de transparencia, estamos haciendo referencia a la necesidad de informar a los usuarios de forma clara y completa sobre el uso de sus datos. Es por ello que habrá que informar sobre cuál es la función genérica de las cookies, qué tipo de cookies se recogen y cuál es su finalidad, quién las utiliza, cómo aceptar, denegar o revocar el consentimiento por el uso de las cookies, cómo se transferirán a terceros países, si implica la elaboración de perfiles, el período de conservación y el resto de información relativa al tratamiento de datos que nos determina el artículo 13 del RGPD, como por ejemplo el ejercicio de derechos de los interesados.

No sólo es importante la información que debe trasladarse al usuario, sino que hay que prestar especial atención también a cómo se facilita. Por eso es necesario asegurarse de que la información sea concisa, transparente e inteligible, mediante el uso de un lenguaje claro y sencillo que pueda ser entendido por el usuario.

Otro aspecto a tener en cuenta es la forma de acceso a la información, puesto que debe ser claramente visible por el usuario sin que implique un esfuerzo por él. Con el objetivo de evitar la fatiga informativa, puede ofrecerse la información mediante capas. De modo que, desde la primera capa informativa se pueda acceder a un enlace o acceder a la información completa de las cookies.

Toda esta información debe ser facilitada para que el usuario otorgue su consentimiento siendo plenamente conocedor sobre cómo se utilizarán sus datos personales.

Para la obtención del consentimiento será necesario tener presente que se lleve a cabo mediante fórmulas que impliquen una inequívoca acción afirmativa por parte del usuario. De modo que habrá que presentarle las acciones de aceptar o rechazar las cookies en lugar y formato destacados, fácilmente visibles.

Otro aspecto relevante es que el acceso al servicio web y sus funcionalidades, no podrán condicionarse a que el usuario consienta el uso de cookies. Pudiéndose presentar situaciones en las que la no aceptación de la utilización de cookies puede impedir el acceso al sitio web oa la utilización total o parcial del servicio, siempre que se informe al usuario y se ofrezca por parte del editor una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies, la cual no debe ser necesariamente gratuita.

Se trata de un conjunto de directrices que permiten ayudar a trasladar la información sobre el uso de cookies a los usuarios, pero huyan de la estandarización de textos, ya que debe ser plenamente adecuado a las características particulares de cada página web. Y, de acuerdo con todo lo anterior, tendrán que ser revistas los textos web.

Se puede consultar el texto completo del informe del Guía sobre el uso de las cookies de la Agencia Española de Protección de Datos en el siguiente enlace: https://www.aepd.es/guias/guia-cookies.pdf

Y, las Directrices 03/2023 sobre patrones engañosos en las redes sociales, del Comité Europeo de Protección de datos (CEPD):

https://edpb.europa.eu/system/files/2023-02/edpb_03-2022_guidelines_on_deceptive_design_patterns_in_social_media_platform_interfaces_v2_en_0.pdf

Recientemente la Agencia Española de Protección de Datos (AEPD) ha publicado la Guía sobre tratamiento de control de presencia mediante sistemas biométricos. Esta nueva guía viene en parte motivada por el hecho de que los sistemas biométricos y el tratamiento de datos obtenidos a partir de ellos están evolucionando muy rápidamente y en parte, como consecuencia de cambios que se han producido en el contexto normativo, social y tecnológico. Además, se subraya que, en ocasiones, mediante el análisis biométrico, se pueden inferir y recoger más  categorías especiales de datos, en particular, datos relativos a la salud, o datos que revelen el origen racial o étnico, entre otros.

En un tratamiento de control de presencia que emplee sistemas biométricos, ya sea para el registro de jornada como para el control de acceso, podrían existir diferentes alternativas en la implementación: que esté basada en dos operaciones de identificación, en una de autenticación y otra de identificación, o en una única operación de autenticación. Sea como sea, en esta guía se reafirma que el dato biométrico constituye en todo caso una categoría especial de dato, según interpretación de las Directrices 05/2022 del Comité Europeo de Protección de Datos (CEPD), de 26 de abril de 2023, lo cual modifica el criterio sostenido hasta la fecha por la AEPD en varios informes jurídicos y en la guía La Protección de Datos en las Relaciones Laborales de 2021. (más…)

Las principales novedades de la Ley 2/2023, de 20 de febrero, reguladora de la protección de personas que informen sobre infracciones normativas y de lucha contra la corrupción ya fueron resumidas en un artículo de Alba Torres publicado en la newsletter del pasado mes de febrero. Ahora volvemos a pronunciarnos sobre esta ley por un doble motivo: el primero, debido a que desde este mes de diciembre cualquier entidad que tenga 50 trabajadores o más, así como todo municipio con menos de 10.000 habitantes, ya tiene obligación de tener implementado un sistema interno de información (SII). (más…)

La Autoridad Catalana de Protección de Datos (APDCAT) ya constató en su Memoria de 2022 que la gran mayoría de delegados de protección de datos (DPD) nombrados en el sector público son externos, lo que implica que, en muchos casos, han sido contratados a través de procesos de contratación pública. Ahora, a través de la Recomendación 2/2023, publicada recientemente, la APDCAT recuerda que el DPD es una figura de obligatorio nombramiento en la administración pública y que dicho nombramiento debe tener en cuenta ciertos aspectos cualitativos, como la necesidad de tener conocimientos jurídicos, especialmente en relación con la protección de datos, o la capacidad para llevar a cabo determinadas funciones de información, asesoramiento, supervisión y cooperación.

Esta recomendación surge debido a la constatación de que en muchos procesos de licitación pública de un contrato de servicios de DPD externo, solo se ha tenido en cuenta el factor precio o se ha estimado un valor de precio muy bajo, sin considerar la dedicación real y los aspectos cualitativos que debe tener necesariamente la figura del DPD y su trabajo. (más…)

El pasado 9 de mayo de 2023 se publicó en el BOE la Ley 11/2023, de 8 de mayo, de transposición de Directivas de la Unión Europea que regula, entre otras materias, la digitalización de actuaciones notariales y registrales.

La ley 11/2023, de 8 de mayo, de transposición de Directivas de la Unión Europea en materia de accesibilidad de determinados productos y servicios, migración de personas altamente cualificadas, tributaria y digitalización de actuaciones notariales y registrales, y por la que se modifica la Ley 12/2011, de 27 de mayo, sobre la responsabilidad civil por daños nucleares o producidos por materiales radiactivos, contiene modificaciones de diferentes normativas en el ámbito mercantil: la Ley del Notariado; el Código de Comercio; la Ley de Sociedades de Capital; la Ley Hipotecaria y las Leyes de medidas fiscales, administrativas y del orden social. (más…)

El 16 de febrero de 2023 el Congreso de los Diputados aprobó la denominada “Ley reguladora de la protección de las personas que informan sobre infracciones normativas y la lucha contra la corrupción” publicada en el BOE de 21 de febrero. Con la aprobación de la Ley se incorpora al Derecho español la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019. La normativa entrará en vigor 20 días después de su publicación en el BOE . En la normativa se incorporan los dos claros objetivos de la Directiva europea: proteger a los informantes y establecer las normas mínimas de los canales de información. A continuación, identificamos los principales aspectos de la normativa: (más…)

El pasado mes de diciembre se publicó en el BOE la Ley 31/2022 de presupuestos generales del estado para el año 2023 (LGPE 2023), que incluyó diversas modificaciones en la Ley 9/2017, de Contratos del Sector Público (LCSP).

Una de estas modificaciones está directamente relacionada con la obligación de disponer de un plan de igualdad. Hasta ahora, se establecía la prohibición en el marco de los contratos del sector público de contratar empresas licitadoras de 250 o más trabajadores que no dispusieran de plan de igualdad. Pues bien, con la nueva redacción, en vigor desde el 1 de enero de 2023, se reduce el umbral en cuanto a número de trabajadores, estableciendo que no se podrá contratar con empresas de 50 o más trabajadores que no dispongan de plan de igualdad.

Resultando la redacción final del artículo 71.1 apartado d) de la LCSP, según la Disposición Final 27a de la LPGE 2023:

«d) No hallarse al corriente en el cumplimiento de las obligaciones tributarias o de Seguridad Social impuestas por las disposiciones vigentes, en los términos que reglamentariamente se determinen; o en el caso de empresas de 50 o más trabajadores, no cumplir el requisito de que al menos el 2% de sus empleados sean trabajadores con discapacidad, de conformidad con el artículo 42 del Real decreto legislativo 1/2013, de 29 de noviembre, por el que se aprueba el texto refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión social, en las condiciones que reglamentariamente se determinen; o en el caso de empresas de 50 o más trabajadores, no cumplir con la obligación de contar con un plan de igualdad conforme a lo dispuesto en el artículo 45 de la Ley orgánica 3/2007, de 22 de marzo, para la igualdad de mujeres y hombres.»

Se puede consultar el texto completo de la LPGE 2023 en:

https://www.boe.es/buscar/act.php?id=BOE-A-2022-22128

El pasado 1 de diciembre se publicaba en el Diario Oficial de la Generalidad de Catalunya la Resolución JUS/3741/2022, de 28 de noviembre, por la que se aprueban los criterios que deben regir el Plan de actuación inspectora de fundaciones y asociaciones declaradas de utilidad pública para el año 2023.

De acuerdo con el artículo 336.2.1 del libro tercero del Código Civil de Cataluña, relativo a las personas jurídicas, y el artículo 7 de la Ley 21/2014, de 29 de diciembre, del protectorado de las fundaciones y de verificación de la actividad de las asociaciones declaradas de utilidad pública, el Protectorado debe velar por que se cumplan las finalidades fundacionales, las disposiciones legales y los estatutos de las fundaciones y para que se observe la voluntad fundacional respetando la autonomía de gestión y de funcionamiento de las fundaciones. Esta función básica se desglosa en una serie de funciones específicas, entre las cuales el artículo 10, letra a, de la Ley 21/2014, de 29 de diciembre, incluye la de velar por el cumplimiento efectivo de la voluntad fundacional, de las disposiciones legales y de los estatutos, mediante la verificación de las cuentas anuales y demás instrumentos establecidos por las leyes.

El artículo 23.1 de la Ley 21/2014, de 29 de diciembre, confiere al Protectorado y al Órgano de Supervisión de las asociaciones declaradas de utilidad pública el ejercicio de la potestad inspectora. En concreto, el artículo 23.2 enumera una serie de causas de inspección y el artículo 24.1 dispone que el Protectorado y el Órgano de Supervisión de las asociaciones declaradas de utilidad pública deben aprobar anualmente un plan de actuaciones inspectoras formulado de acuerdo con unos criterios objetivos que deben hacer públicos. (más…)