Tras tres días de negociaciones, el Consejo y el Parlamento Europeo han alcanzado un acuerdo provisional sobre el Reglamento (UE) del Parlamento Europeo y del Consejo, por el que se establecen normas armonizadas en materia de Inteligencia Artificial y se modifican determinados actos legislativos de la Unión (en adelante, “Reglamento de IA”).
El Reglamento de IA tiene por objeto garantizar que los sistemas de IA introducidos y utilizados en el mercado europeo sean seguros y respeten los derechos fundamentales y los valores de la Unión. Además, pretende estimular la inversión y la innovación en materia de IA en Europa. El Reglamento tiene un planteamiento basado en el riesgo, en el que se establecen cuatro niveles:
El texto aprobado introduce algunas modificaciones respecto de la propuesta de 2021. En primer lugar, se amplía el listado de los sistemas de IA de riesgo inadmisible. Así, quedarán prohibidos, entre otros, los sistemas de categorización biométrica que usan datos sensibles, los que sirven para el reconocimiento de emociones en el trabajo o en la escuela y los que manipulan el comportamiento o explotan vulnerabilidades. Se permitirá el uso de sistemas de identificación biométrica a distancia por parte de las autoridades policiales en espacios públicos, con sujeción a salvaguardias. Asimismo, será obligatorio realizar una evaluación de impacto en los derechos fundamentales para los sistemas de IA de alto riesgo y existe un derecho a obtener explicaciones sobre las decisiones que tomen estos sistemas. Para los sistemas de uso general será necesaria la elaboración de documentación técnica, el cumplimiento de la legislación de propiedad intelectual y la difusión de resúmenes detallados sobre el contenido utilizado para el entrenamiento de los sistemas.
Tras el acuerdo alcanzado, en las próximas semanas se seguirá trabajando a nivel técnico para ultimar los detalles del Reglamento de IA. El texto completo deberá ser confirmado por el Parlamento Europeo y el Consejo para su adopción formal definitiva.
Puede consultar la nota de prensa publicada sobre el acuerdo alcanzado aquí (disponible en inglés) [1].
El Consejo de la Unión Europea ha aprobado el Reglamento (UE) del Parlamento Europeo y del Consejo sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (en adelante, “Data Act”).
La Data Act tiene los siguientes objetivos: i) garantizar la equidad en la asignación de valor de los datos entre los agentes del entorno digital; ii) estimular un mercado de datos competitivo; iii) abrir oportunidades para la innovación basada en los datos, y iv) hacer que los datos sean más accesibles para todos.
El nuevo Reglamento facilita el acceso por parte de los usuarios de dispositivos conectados (p.ej: electrodomésticos inteligentes, máquinas industriales inteligentes, etc.) a los datos generados por su uso. Así, establece la obligación de permitir el acceso de los datos a los usuarios.
Adicionalmente, la Data Act garantiza un nivel adecuado de protección de los secretos empresariales y los derechos de propiedad intelectual frente a posibles comportamientos abusivos. Por otro lado, contiene medidas para evitar el abuso de los desequilibrios contractuales en los contratos de intercambio de datos, donde hay una parte fuerte y otra parte débil. También se introducen salvaguardias contra las transferencias ilícitas de datos, así como normas de interoperabilidad para el intercambio y el tratamiento de datos.
Tras la adopción formal por el Consejo, la Data Act se publicará en el Diario Oficial de la Unión Europea en las próximas semanas y entrará en vigor a los veinte días de dicha publicación. Será aplicable a partir de los veinte meses siguientes a la fecha de su entrada en vigor.
Puede consultar el texto completo de la Data Act en este enlace [2].
La Agencia Española de Protección de Datos (en adelante, la “AEPD”), en el PS 00317/2023, impone una sanción a DIGI SPAIN TELECOM, S.L. (en adelante, “DIGI”), debido a su gestión en el tratamiento de datos personales de una cliente. Un tercero, que se identificó como cliente de DIGI, solicitó a la entidad a través de WhatsApp un duplicado de la tarjeta SIM de la cliente y DIGI se lo facilitó.
En primer lugar, la AEPD declara que tanto la tarjeta SIM como los datos que se tratan para emitir un duplicado de tarjeta SIM, son datos de carácter personal de conformidad con el artículo 4.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”).
A continuación, señala que DIGI incurre en una infracción del artículo 6.1 del RGPD. En este caso se produce un SIM Swapping, esto es, un fraude que permite suplantar la identidad mediante el secuestro del número de teléfono al obtener un duplicado de la tarjeta SIM. La AEPD destaca que, en estas situaciones, la operadora en cuestión debe ser capaz de acreditar que ha seguido los protocolos de verificación cuando se les solicita el duplicado de una tarjeta SIM. En consecuencia, la AEPD considera que DIGI no efectuó correctamente la verificación, debido a que no comprobó ningún documento acreditativo de la persona que estaba solicitando el duplicado.
No obstante, la AEPD destaca que DIGI solventó la incidencia de manera efectiva. Es por este motivo que aprecia la circunstancia atenuante contemplada en el artículo 83.2c del RGPD.
Por todo lo anterior, la AEPD impone a DIGI una multa de 200.000 euros por una infracción del artículo 6.1 del RGPD.
Puede consultar el texto completo de la Resolución en este enlace [3].
La Agencia Española de Protección de Datos (en adelante, la “AEPD”), en el PS 00584/2022, resuelve un supuesto en el que un menor de edad utiliza la fotografía de otro menor de edad (en concreto, de 13 años) sin su consentimiento, para crear una cuenta falsa en Instagram. El procedimiento se abre al padre del menor, debido a que es titular de las direcciones IP desde donde se realizan la creación del perfil y el posterior inicio de sesión. En las alegaciones presentadas, el padre reconoce los hechos e indica que fue su hijo quien creó la cuenta.
Sin embargo, la AEPD considera que los hechos revisten gravedad al haberse llevado a cabo un tratamiento de datos de un menor sin base de legitimación, por lo que incurre en una infracción del artículo 6.1 del RGPD. De hecho, aplica las siguientes agravantes al fijar el importe de la sanción:
Por todo lo anterior, la AEPD impone al padre del menor una multa de 10.000 euros.
Puede acceder al texto completo de la Resolución haciendo clic aquí [4].
En la guía publicada, la AEPD considera el tratamiento de datos biométricos un tratamiento de datos especialmente protegidos, tanto para la identificación como para la autenticación. Por tanto, solo se podrá efectuar cuando concurra alguna de las excepciones del artículo 9.2 del RGPD.
La Guía solamente analiza en detalle dos excepciones. La excepción del artículo 9.2.b) del RGPD no solo exige que exista habilitación legal para efectuar el tratamiento, sino que además el tratamiento debe ser necesario. Según la AEPD, esta excepción resulta difícilmente aplicable a los tratamientos que tienen como finalidad el mantenimiento del registro horario y control de acceso con fines laborales. Esto se debe a que ni el artículo 34 del Estatuto de los Trabajadores ni el artículo 20 del mismo texto legal mencionan específicamente que deban usarse medios biométricos.
Por lo que respecta a la excepción del artículo 9.2.a) del RGPD, para acreditar que el consentimiento es libre, y, por tanto, puede no prestarse, resulta conveniente ofrecer un mecanismo alternativo (por ejemplo, el sistema de tarjeta). Sin embargo, la AEPD realiza las mismas consideraciones que, en relación con otros tratamientos, se producen en el ámbito laboral: es difícil demostrar que el consentimiento del trabajador se presta libremente porque no se encuentra en una posición de igualdad frente al empresario.
Puede consultar la Guía de la AEPD accediendo al siguiente enlace [5].
La AEPD considera que la Ley 20/2022, de 19 de octubre, de Memoria Democrática (en adelante, “LMD”) es la aplicable para poder acceder a datos personales contenidos en los archivos del Ministerio del Interior. El artículo 27 de la citada Ley permite que se acceda a datos y documentos de manera íntegra, incluyendo datos personales de terceros que puedan aparecer en dichos documentos. Lo anterior, siempre y cuando el acceso tenga por finalidad acreditar la condición de víctimas e incorporarlos al procedimiento de declaración que materializa el derecho previsto en el artículo 6 de la LMD.
Finalmente, la AEPD concluye que corresponde al responsable del archivo y no a la Agencia, determinar caso por caso la conveniencia o no de una posible anonimización de los datos contenidos en el archivo. El principal motivo es que, en ocasiones, la anonimización puede mermar el reconocimiento del derecho de declaración de víctima.
Puede consultar el Informe de la AEPD pulsando aquí [6].
El Instituto Nacional de Ciberseguridad (en adelante, “INCIBE”) destaca en la guía la importancia de la identidad digital para las empresas, pues es la percepción que tienen los demás de estas en el entorno digital. El INCIBE considera que los riesgos asociados a la identidad digital incluyen la suplantación de identidad, el fraude y los ataques dirigidos específicamente a una organización o persona concreta.
Para combatir estos riesgos, el INCIBE proporciona una serie de recomendaciones a las empresas, entre las cuales destacan: i) usar contraseñas seguras y únicas para cada cuenta; ii) activar la autenticación de dos factores (2FA) siempre que sea posible; iii) evitar hacer clic en enlaces o abrir archivos adjuntos de remitentes desconocidos; iv) ser cauteloso con la información que se comparte en línea; y v) tener un plan de respuesta a incidentes de seguridad.
Puede consultar la Guía del INCIBE aquí [7].
De acuerdo con el Comisario de Protección de Datos y Libertad de Información de Hamburgo, las organizaciones deben tener en cuenta lo siguiente si desean implantar un Chatbot:
Puede consultar el listado elaborado por la autoridad de protección de datos de Hamburgo pulsando aquí (versión disponible en inglés) [8].
La empresa Sattvica solicita en 2021 ante la Oficina de Propiedad Intelectual de la Unión Europea (en adelante, “EUIPO”, por sus siglas en inglés) el registro de la cesión de la marca “Diego Maradona” a su favor. La EUIPO desestima la solicitud por falta de documentación. La empresa argentina recurre la Decisión ante el Tribunal General de la Unión Europea (en adelante, “TGUE”) y solicita que anule dicha Decisión y que ordene a la EUIPO el registro de la cesión de la marca.
En el Auto de 7 de noviembre de 2023 (asunto T-299/22), el TGUE señala que no tiene competencia para ordenar a la EUIPO el registro de la cesión de la marca. Ello se debe a que del artículo 263 del Tratado de Funcionamiento de la Unión Europea (en adelante, “TFUE”) se desprende que el TGUE no tiene competencia para dictar una orden conminatoria vinculante para las instituciones, órganos y los organismos de la Unión.
Respecto de la solicitud de anulación de la Decisión, el TGUE respalda el criterio de la EUIPO, al considerar que “los documentos aportados en apoyo de la solicitud de registro de la cesión no justifican una cesión de la marca en beneficio de dicha empresa”.
Por todo lo anterior, el TGUE desestima el recurso interpuesto por Sattvica y deniega el registro de la cesión de la marca Diego Maradona ante la EUIPO.
Puede acceder al texto completo del Auto del TGUE a través de este enlace [9].
Este Proyecto de Decreto tiene como finalidad el diseño de un marco normativo que otorgue seguridad jurídica a todos aquellos que quieran organizar o participar en este tipo de juegos. Establece los requisitos que deben cumplirse para ser titulares de las autorizaciones administrativas y el régimen al que quedan sometidos, así como el régimen sancionador.
El reglamento entrará en vigor a los veinte días de su publicación en el Boletín Oficial de Castilla y León.
Puede consultar el Proyecto de Decreto en el siguiente enlace [10].
El Consejo de Gobierno ha respaldado el Decreto-Ley de medidas urgentes relacionadas con el régimen sancionador de espectáculos públicos, actividades recreativas ocasionales o excepcionales, y establecimientos públicos sin los permisos adecuados en la Región de Murcia.
A partir de ahora se considera una infracción grave el incumplimiento de los horarios de apertura y cierre de los Salones de Juego y Locales de Apuestas. Anteriormente se clasificaba como una infracción leve. Por lo que respecta al régimen sancionador, el Decreto-Ley unifica en un único documento las sanciones relacionadas con horarios, admisión, aforo y control de acceso, anteriormente regulado en diversas disposiciones normativas. La nueva normativa no contiene modificaciones en la labor de inspección y control, que sigue siendo responsabilidad de los municipios.
Para que el Decreto-Ley entre en vigor, es necesaria la ratificación de la Asamblea Regional en un plazo de treinta días desde su promulgación.
Puede acceder a los Acuerdos del Consejo de Gobierno haciendo clic aquí [11].
La exposición de motivos señala que las técnicas relativas a la recreación de imágenes y voces de personas mediante la IA suponen un esfuerzo para la protección de los derechos al honor, la propia imagen y la intimidad. Uno de los productos más reconocibles en este ámbito es el Deepfake.
Entre las reformas propuestas se encuentran las siguientes:
Puede consultar el texto íntegro de la Proposición de Ley Orgánica aquí [12].
Links
[1] https://media.licdn.com/dms/document/media/D4E1FAQFN2E4WaSFRiQ/feedshare-document-pdf-analyzed/0/1702104034536?e=1703116800&v=beta&t=7csFufh5sjRhWXYQVMijrxi5qvG-2yUNKupK-Zb1wyU
[2] https://data.consilium.europa.eu/doc/document/PE-49-2023-INIT/es/pdf
[3] https://www.aepd.es/documento/ps-00317-2023.pdf
[4] file:///C:/Users/bdelahera/AppData/Local/Microsoft/Windows/INetCache/Content.Outlook/998L7MQU/ps-00584-2022%20(4).pdf
[5] https://www.aepd.es/documento/guia-control-presencia-biometrico-nov-2023.pdf
[6] https://www.aepd.es/documento/2023-0066.pdf
[7] https://www.incibe.es/sites/default/files/contenidos/guias/doc/GU%C3%8DA_CIBERSEGURIDAD_EN_LA_IDENTIDAD_DIGITAL.pdf
[8] https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/20231113_Checklist_LLM_Chatbots_EN.pdf
[9] https://curia.europa.eu/juris/document/document_print.jsf?mode=lst&pageIndex=0&docid=279542&part=1&doclang=ES&text=&dir=&occ=first&cid=1545211
[10] https://www.azarplus.com/wp-content/uploads/2023/11/ProyectoDecretorifas.pdf
[11] https://www.azarplus.com/wp-content/uploads/2023/11/23-11-2023.pdf
[12] https://www.congreso.es/public_oficiales/L15/CONG/BOCG/B/BOCG-15-B-23-1.PDF
[13] https://www.linkedin.com/company/ram-n-y-cajal-abogados
[14] https://twitter.com/RamonyCajalAbog
[15] https://www.ramonycajalabogados.com/es/search