Estos son algunos de los retos que se harán realidad pronto gracias al impulso legislativo en materia de protección de datos en la UE.
Con motivo del Día Europeo de la Protección de Datos que
se celebra el próximo 28 de enero, desde la tecnológica española Paradigma
Digital han querido compartir y analizar las novedades legislativas
que este año las empresas deberían tener en cuenta en materia de protección de
datos tras la gran actividad legislativa que se ha producido en 2022, así como
alguna otra pendiente de aprobación.
Según Carmen Troncoso, Delegada de Protección de
Datos en Paradigma Digital entre las principales novedades y
tendencias que pueden afectar a la protección de datos en 2023 destaca las
siguientes que forman parte de la estrategia de ciberseguridad de la Unión
Europea:
En abril de 2022 se aprobó una Propuesta de Reglamento por
el que se establecen normas armonizadas sobre inteligencia artificial en la
Unión Europea.
Esta normativa insta al uso de la IA y el desarrollo
de su industria bajo “estándares democráticos” con el fin de que “la tecnología
complete al trabajo humano”.
Será aplicable a todos los usos de la IA que afecten a los ciudadanos
de la UE, independientemente de la sede del proveedor de servicios o del lugar
donde se desarrolle o ejecute el sistema, dentro o fuera de las fronteras de la
UE, como ya ocurre con el Reglamento Europeo de Protección de datos.
En ella se abordan los riesgos de usos específicos de la IA,
clasificándolos en 4 niveles diferentes: riesgo inaceptable, riesgo alto,
riesgo limitado y riesgo mínimo, para garantizar que los europeos puedan
confiar en la IA que están utilizando. El Reglamento también es clave para
construir un ecosistema de excelencia en IA y posicionar a Europa para
desempeñar un papel de liderazgo a nivel mundial, pues sería la primera
potencia mundial en disponer de este tipo de regulación.
Para el desarrollo de muchas de sus previsiones, la Unión Europea ha
constituido la Agencia Española de Inteligencia Artificial, primera institución
de estas características en la Unión Europea, que tendrá su sede en A Coruña.
Entre sus funciones encontramos la creación de un marco de
certificación voluntaria para empresas sobre el diseño responsable de
soluciones digitales, el asesoramiento a empresas y entes públicos, y la
potestad inspectora y sancionadora, una vez entre en vigor la regulación
europea sobre el uso de la inteligencia artificial, así como la realización de
actividades de divulgación.
Por otro lado, el 1 de noviembre de 2022 han entrado en vigor, aunque
comenzarán a ser aplicables a partir del 2 de mayo de 2023, dos normas
determinantes en la UE para las plataformas en línea:
Por un lado, la Ley de Mercados Digitales (Digital Markets Act, o DMA).
Esta norma busca poner fin a las prácticas desleales de las empresas que actúan
como guardianes de la economía de las plataformas en línea.
Define cuándo una gran plataforma en línea califica como
"guardián". Estas son plataformas digitales que brindan una puerta de
entrada importante entre los usuarios comerciales y los consumidores, cuya
posición puede otorgarles el poder de actuar como un creador de reglas privado
y, por lo tanto, crear un cuello de botella en la economía digital. Para
abordar estos problemas, la DMA definirá una serie de obligaciones que deberán
respetar, incluida la prohibición de que los guardianes participen de ciertos
comportamientos.
En cuanto a la Ley de Servicios Digitales (Digital
Services Act, o DSA), busca crear un entorno en línea más seguro y responsable,
ofreciendo nuevas protecciones a los usuarios y seguridad jurídica a las
empresas en todo el mercado único al regular los intermediarios en línea,
convirtiéndose así en referencia internacional al ser pionera en establecer una
regulación de este tipo.
Se aplica a todos los servicios digitales que conectan a los
consumidores con bienes, servicios o contenidos. Crea nuevas obligaciones para
que las plataformas en línea reduzcan los daños y contrarresten los riesgos en
línea, introduce una robusta protección de los derechos de los usuarios en
línea y coloca a las plataformas digitales en un nuevo marco único de
transparencia y responsabilidad.
Para ello, la Comisión Europea está creando un Centro europeo para la
transparencia algorítmica (CETA) con el fin de apoyar su función supervisora.
Tras la anulación del anterior acuerdo en 2020 y dos años de
negociaciones, se ha aprobado un nuevo acuerdo cuyo objetivo es restaurar una
base legal importante para los flujos de datos transatlánticos, en el que se
pretenden abordar las cuestiones que planteó el Tribunal de Justicia de la
Unión Europea, tratando así de evitar que lo vuelva a anular al considerar que
Estados Unidos no daba garantías suficientes para proteger la privacidad de los
datos.
“Este acuerdo explica cómo se permitirá el flujo de datos entre la UE y
EE. UU. de forma predecible, fiable, equilibrando la seguridad, el derecho a la
privacidad y la protección de datos" señala Carmen Troncoso de
Paradigma Digital.
En diciembre de 2022 entró en vigor la Directiva NIS 2, Directiva (UE)
2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022
relativa a las medidas destinadas a garantizar un elevado nivel común de
ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o
910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE)
2016/1148 (Directiva SRI 2).
Esta Directiva establece obligaciones de ciberseguridad para
los Estados miembros, medidas para la gestión de riesgos de ciberseguridad y
obligaciones de notificación para las entidades en su ámbito de aplicación,
obligaciones relativas al intercambio de información sobre ciberseguridad, así
como obligaciones de supervisión y ejecución para los Estados miembros.
Por otro lado, en septiembre de 2023 se aprobó por la Comisión Europea
la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre
requisitos de ciberseguridad horizontal para productos con elementos digitales y
por el que se modifica el Reglamento (UE) 2019/1020. El Reglamento propuesto
tiene como objetivo establecer requisitos de ciberseguridad en toda la UE para
una amplia gama de productos de hardware y software y sus soluciones de
procesamiento de datos remotos. Estos incluyen, por ejemplo, navegadores,
sistemas operativos, firewalls, sistemas de administración de redes, medidores
inteligentes o enrutadores.
Al respecto se ha pronunciado el Supervisor Europeo de Protección de
Datos (SEPD) subrayando la importancia de la ciberseguridad de los productos
con elementos digitales para proteger de manera efectiva los derechos
fundamentales de las personas en la era digital, incluidos sus derechos a la
privacidad y la protección de datos, mostrando su acuerdo con dicha propuesta y
recomendando entre otras cuestiones la inclusión también los principios de
protección de datos desde el diseño y por defecto como parte esencial de estos
requisitos.
Estas normas, junto con otras iniciativas, forman parte de la estrategia de ciberseguridad de la Unión Europea.
FUENTE: EL DERECHO