El 12 de julio se publicó en el Diario Oficial de la Unión Europea el REGLAMENTO (UE) 2024/1689 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 13 de junio de 2024 por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) nº 300/2008, (UE) nº 167/2013, (UE) nº 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial o RIA).
El RIA forma parte de la estrategia digital de la UE, y tiene como objetivo que la inteligencia artificial (IA) pueda garantizar mejores condiciones de desarrollo y uso de esta tecnología innovadora. Es innegable que la IA puede aportar muchos beneficios, como lo son una mejor asistencia sanitaria, un transporte más seguro y limpio, una fabricación más eficiente y una energía más barata y sostenible. Sin embargo, los recientes avances en la materia se han traducido en una inteligencia artificial generativa cada vez más potente y los llamados «modelos de inteligencia artificial de uso general», que se están integrando en numerosos sistemas de inteligencia artificial, se están volviendo demasiado importantes para la economía y la sociedad como para no ser objeto de regulación. A la luz de sus posibles riesgos sistémicos, la UE establece normas y mecanismos de supervisión eficaces. (más…)
El 24 de mayo tuvo lugar en la Unió Catalana d’Hospitals la jornada de la 2ª edición de los Premios Código Tipo, que pretenden ser un modesto reconocimiento a las buenas prácticas y a las iniciativas que llevan a cabo las entidades del sector para promover esencialmente la cultura y el cumplimiento de la protección de datos. El equipo de Servicios Jurídicos de Faura-Casas ha participado como parte del jurado que ha reconocido:
Felicitamos a los premiados, a los finalistas, y a todos los participantes, por las iniciativas que reflejan el esfuerzo, ¡el compromiso y el liderazgo de las personas delegadas de protección de datos!
La Agencia Española de Protección de Datos (AEPD) ha publicado la memoria del año 2023. En el documento se detallan las diferentes campañas de concienciación, difusión, colaboración e inspección que se han realizado por parte de la AEPD, también hay un extracto de los informes, dictámenes, recomendaciones, decisiones vinculantes , declaraciones y procedimientos más relevantes del año 2023. Asimismo, se ha publicado la Memoria de Responsabilidad Social 2023.
Según las cifras de la AEPD, este año 2023 se han registrado un 43% más de reclamaciones que el año anterior. Ha habido un incremento de un 114% respecto al año 2022 de las reclamaciones relacionadas a la recepción de publicidad no deseada. De ellas, la mayoría hace referencia a las llamadas telefónicas comerciales no deseadas. También se dan casos de recepción de publicidad a través de SMS, la obtención de datos personales sin consentimiento o la contratación fraudulenta.
En cuanto a los procedimientos sancionadores, el área de videovigilancia ha sido el grupo de actividad con un mayor número de procedimientos resueltos durante este año 2023. Entre otros, ha habido el caso del procedimiento de instalación de una videocámara dentro de la vivienda alquilada a diferentes inquilinos o la colocación de una cámara de videovigilancia en el hall de un piso de alquiler por habitaciones individuales de estudiantes.
[1]A continuación, en la imagen se puede observar cuál ha sido el TOP 10 de procedimientos sancionadores más habituales según los grupos de actividades:
[1] Tabla 13: Procedimientos sancionadores más frecuentes de la Memoria 2013 AEPD memoria-aepd-2023.pdf
De los procedimientos sancionadores no todos han acabado en sanción. Un 11% se han resuelto con el archivo de actuaciones por parte de la AEPD.
La sanción más cuantiosa del año 2023 corresponde a un procedimiento del sector de las entidades financieras, en el que se impone a Caixabank, S.A. una sanción de 5 millones de euros, por la infracción de los artículos 5.1f), 25 y 32 del RGPD.
Para más información o consultar la Memoria de 2023 de la AEPD completa, aquí.
Tras duras negociaciones, el Parlamento europeo ha aprobado finalmente este pasado día 13 de marzo con abrumadora mayoría un Reglamento europeo sobre inteligencia artificial (IA), el cual pretende ser un marco de regulación referente con vocación internacional. Pendiente aún de varios trámites, se prevé que entre en aplicación a los dos años a partir de su próxima publicación.
Entre otras cuestiones, el Reglamento prohíbe y regula una serie de conductas que podrían llevarse a cabo mediante una IA, contempla un régimen sancionador específico y contiene también la previsión de la creación de una agencia de supervisión en cada uno de los Estados miembros. Sin embargo, en el caso del Estado español ya se ha creado la Agencia Española de Supervisión de la IA.
A partir de la entrada en aplicación de este Reglamento, muchos dispositivos de vigilancia biométrica sólo podrán utilizarse de forma temporal y en casos específicos bajo autorización judicial y supervisión de la autoridad de protección de datos.
Algunas de las conductas que el nuevo Reglamento prohíbe de forma general y que podría llevar a cabo una IA son las siguientes:
Todas estas conductas que se plantean prohibir no son evidentemente supuestos de ciencia ficción en una sociedad futura y distópica, sino que son posibilidades reales que la tecnología de la IA ya permite actualmente. En cualquier caso, tal y como comentábamos anteriormente, todavía tendremos que esperar al menos dos años a que el Reglamento entre en aplicación. Como siempre la tecnología corre más que el legislador, y en dos años todavía pueden ocurrir muchas cosas; en cualquier caso, el Reglamento sobre la IA es una buena noticia de alcance internacional.
En la sesión plenaria de 16 de enero el Comité Europeo de Protección de Datos (CEPD) adoptó el informe con las conclusiones de la segunda acción coordinada a nivel europeo centrada en la designación y la posición de delegados y delegadas de protección de datos (DPO).
Este informe es fruto del trabajo efectuado durante el 2023 por las 25 autoridades de control de protección de datos del Espacio Económico Europeo, incluyendo el Supervisor Europeo de Protección de Datos (SEPD). En este informe se ilustra cuáles son hoy en día los principales obstáculos de la figura del DPO, y también se citan algunas recomendaciones para reforzar su estatus. El informe ha sido publicado juntamente con los 2 apéndices: uno estadístico, y el otro, con el análisis y observaciones hechas a nivel nacional por parte de cada autoridad participante.
Los puntos de atención que se destacan en el informe son:
A pesar de que se han encontrado grandes coincidencias en aspectos generales, son de gran interés las apreciaciones particulares que describen las autoridades de control en cada país. Destacamos las 3 siguientes a modo de ejemplo:
Después de más de 5 años de plena aplicación del RGPD y con éste, de la figura del DPO, se constata que se han hecho avances pero que queda mucho camino pendiente de recorrer. Es por ello por lo que es necesario tener presentes las irregularidades detectadas y adecuarlas a las indicaciones dadas, más aún cuando en estos momentos hay numerosa normativa del sector digital que está siendo desarrollada o recién aprobada y ante la cual el DPO tendrá un rol significativo. Estos nuevos roles pueden reforzar algunas de las preocupaciones detectadas en el informe, en especial, aquellas relativas al conflicto de interés o la insuficiencia de recursos del DPO.
Para más información:
Hoy en día, las cookies son una herramienta esencial de la sociedad de la información, ya que permiten a los prestadores de servicios obtener datos de los usuarios y utilizarlos con diferentes finalidades, como puede ser, por ejemplo, para prestarle un servicio en concreto o facilitarle publicidad ajustada a sus gustos y costumbres de navegación.
Dada la afectación de las cookies en la privacidad de las personas, resulta ineludible la implementación de un sistema de información que permita a los usuarios ser plenamente conocedores de los usos que se dará a sus datos y decidir sobre los mismos. otorgamiento de su consentimiento.
A fin de garantizar estos parámetros, el pasado mes de febrero de 2023, el Comité Europeo de Protección de Datos (CEPD), emitió las Directrices 03/2023 sobre patrones engañosos en las redes sociales. Y, a fin de ayudar a los prestadores de servicios a seguir las indicaciones de las citadas directrices, la Agencia Española de Protección de Datos actualizó su Guía sobre el uso de las cookies. Estos nuevos criterios deben implementarse antes del 11 de enero de 2024.
La guía incluye un conjunto de recomendaciones que resultarán de aplicación en aquellos casos en los que la utilización de las cookies implique el tratamiento de datos personales. Y, por tanto, los responsables del tratamiento tendrán que asegurarse de cumplir tanto con las exigencias propias que regula la LSSI, así como también la normativa vigente en materia de protección de datos.
Uno de los primeros aspectos a los que hace referencia la guía, es la necesidad de identificar cuáles son las cookies utilizadas en el sitio web y cuál es su finalidad. Se trata de un paso esencial para poder cumplir con las principales obligaciones de cookies, que son la obligación de transparencia y la obligación de obtención del consentimiento.
También será necesario tener presente que estas obligaciones no aplicarán a todas las cookies, sino que algunas quedan exceptuadas. Por ejemplo, en el caso de las cookies de personalización, cuando el propio usuario toma decisiones sobre ellas como puede ser la opción del idioma, son cookies técnicas que no precisan de consentimiento, sin que puedan ser utilizadas para otros fines.
Cuando hablamos de la obligación de transparencia, estamos haciendo referencia a la necesidad de informar a los usuarios de forma clara y completa sobre el uso de sus datos. Es por ello que habrá que informar sobre cuál es la función genérica de las cookies, qué tipo de cookies se recogen y cuál es su finalidad, quién las utiliza, cómo aceptar, denegar o revocar el consentimiento por el uso de las cookies, cómo se transferirán a terceros países, si implica la elaboración de perfiles, el período de conservación y el resto de información relativa al tratamiento de datos que nos determina el artículo 13 del RGPD, como por ejemplo el ejercicio de derechos de los interesados.
No sólo es importante la información que debe trasladarse al usuario, sino que hay que prestar especial atención también a cómo se facilita. Por eso es necesario asegurarse de que la información sea concisa, transparente e inteligible, mediante el uso de un lenguaje claro y sencillo que pueda ser entendido por el usuario.
Otro aspecto a tener en cuenta es la forma de acceso a la información, puesto que debe ser claramente visible por el usuario sin que implique un esfuerzo por él. Con el objetivo de evitar la fatiga informativa, puede ofrecerse la información mediante capas. De modo que, desde la primera capa informativa se pueda acceder a un enlace o acceder a la información completa de las cookies.
Toda esta información debe ser facilitada para que el usuario otorgue su consentimiento siendo plenamente conocedor sobre cómo se utilizarán sus datos personales.
Para la obtención del consentimiento será necesario tener presente que se lleve a cabo mediante fórmulas que impliquen una inequívoca acción afirmativa por parte del usuario. De modo que habrá que presentarle las acciones de aceptar o rechazar las cookies en lugar y formato destacados, fácilmente visibles.
Otro aspecto relevante es que el acceso al servicio web y sus funcionalidades, no podrán condicionarse a que el usuario consienta el uso de cookies. Pudiéndose presentar situaciones en las que la no aceptación de la utilización de cookies puede impedir el acceso al sitio web oa la utilización total o parcial del servicio, siempre que se informe al usuario y se ofrezca por parte del editor una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies, la cual no debe ser necesariamente gratuita.
Se trata de un conjunto de directrices que permiten ayudar a trasladar la información sobre el uso de cookies a los usuarios, pero huyan de la estandarización de textos, ya que debe ser plenamente adecuado a las características particulares de cada página web. Y, de acuerdo con todo lo anterior, tendrán que ser revistas los textos web.
Se puede consultar el texto completo del informe del Guía sobre el uso de las cookies de la Agencia Española de Protección de Datos en el siguiente enlace: https://www.aepd.es/guias/guia-cookies.pdf
Y, las Directrices 03/2023 sobre patrones engañosos en las redes sociales, del Comité Europeo de Protección de datos (CEPD):
Recientemente la Agencia Española de Protección de Datos (AEPD) ha publicado la Guía sobre tratamiento de control de presencia mediante sistemas biométricos. Esta nueva guía viene en parte motivada por el hecho de que los sistemas biométricos y el tratamiento de datos obtenidos a partir de ellos están evolucionando muy rápidamente y en parte, como consecuencia de cambios que se han producido en el contexto normativo, social y tecnológico. Además, se subraya que, en ocasiones, mediante el análisis biométrico, se pueden inferir y recoger más categorías especiales de datos, en particular, datos relativos a la salud, o datos que revelen el origen racial o étnico, entre otros.
En un tratamiento de control de presencia que emplee sistemas biométricos, ya sea para el registro de jornada como para el control de acceso, podrían existir diferentes alternativas en la implementación: que esté basada en dos operaciones de identificación, en una de autenticación y otra de identificación, o en una única operación de autenticación. Sea como sea, en esta guía se reafirma que el dato biométrico constituye en todo caso una categoría especial de dato, según interpretación de las Directrices 05/2022 del Comité Europeo de Protección de Datos (CEPD), de 26 de abril de 2023, lo cual modifica el criterio sostenido hasta la fecha por la AEPD en varios informes jurídicos y en la guía La Protección de Datos en las Relaciones Laborales de 2021. (más…)
Las principales novedades de la Ley 2/2023, de 20 de febrero, reguladora de la protección de personas que informen sobre infracciones normativas y de lucha contra la corrupción ya fueron resumidas en un artículo de Alba Torres publicado en la newsletter del pasado mes de febrero. Ahora volvemos a pronunciarnos sobre esta ley por un doble motivo: el primero, debido a que desde este mes de diciembre cualquier entidad que tenga 50 trabajadores o más, así como todo municipio con menos de 10.000 habitantes, ya tiene obligación de tener implementado un sistema interno de información (SII). (más…)
La Autoridad Catalana de Protección de Datos (APDCAT) ya constató en su Memoria de 2022 que la gran mayoría de delegados de protección de datos (DPD) nombrados en el sector público son externos, lo que implica que, en muchos casos, han sido contratados a través de procesos de contratación pública. Ahora, a través de la Recomendación 2/2023, publicada recientemente, la APDCAT recuerda que el DPD es una figura de obligatorio nombramiento en la administración pública y que dicho nombramiento debe tener en cuenta ciertos aspectos cualitativos, como la necesidad de tener conocimientos jurídicos, especialmente en relación con la protección de datos, o la capacidad para llevar a cabo determinadas funciones de información, asesoramiento, supervisión y cooperación.
Esta recomendación surge debido a la constatación de que en muchos procesos de licitación pública de un contrato de servicios de DPD externo, solo se ha tenido en cuenta el factor precio o se ha estimado un valor de precio muy bajo, sin considerar la dedicación real y los aspectos cualitativos que debe tener necesariamente la figura del DPD y su trabajo. (más…)
El pasado 9 de mayo de 2023 se publicó en el BOE la Ley 11/2023, de 8 de mayo, de transposición de Directivas de la Unión Europea que regula, entre otras materias, la digitalización de actuaciones notariales y registrales.
La ley 11/2023, de 8 de mayo, de transposición de Directivas de la Unión Europea en materia de accesibilidad de determinados productos y servicios, migración de personas altamente cualificadas, tributaria y digitalización de actuaciones notariales y registrales, y por la que se modifica la Ley 12/2011, de 27 de mayo, sobre la responsabilidad civil por daños nucleares o producidos por materiales radiactivos, contiene modificaciones de diferentes normativas en el ámbito mercantil: la Ley del Notariado; el Código de Comercio; la Ley de Sociedades de Capital; la Ley Hipotecaria y las Leyes de medidas fiscales, administrativas y del orden social. (más…)