El pasado mes de septiembre, la Comisión Europea envió a la plataforma X, anteriormente conocida como Twitter, una solicitud formal de información en aplicación del Reglamento (UE) 2022/2065, del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (en adelante, “DSA”). El motivo fue la difusión en X de imágenes y vídeos explícitos sobre el conflicto de Israel y Palestina, así como posibles fake news y mensajes de odio y violencia procedentes de cuentas vinculadas al grupo terrorista Hamás. Tras las respuestas e informes aportados por la plataforma, la Comisión Europea ha decidido incoar un procedimiento formal de investigación contra X. De este modo, se convierte en el primer procedimiento iniciado por la Comisión para hacer cumplir la DSA.
El organismo europeo recuerda que X fue designada como plataforma en línea de muy gran tamaño, de modo que está obligada a cumplir todas las disposiciones de la DSA. En concreto, el procedimiento se centrará en averiguar si X cumple con las obligaciones relacionadas con la lucha contra la difusión de contenidos ilícitos. También analizará la eficacia de las medidas adoptadas para luchar contra la manipulación de la información en la plataforma, así como las medidas adoptadas por X para aumentar la transparencia. Además, pondrá el foco en un presunto diseño engañoso de la interfaz de usuario, sobre todo en relación con las llamadas marcas azules o de verificación.
En caso de demostrarse todos estos incumplimientos, señala la Comisión que constituirían infracciones del artículo 34, apartados 1 y 2, del artículo 35, apartado 1, del artículo 16, apartados 5 y 6, del artículo 25, apartado 1, del artículo 39 y del artículo 40, apartado 12, de la DSA. La cuantía de la sanción podría ascender hasta el 6% de los ingresos anuales de la compañía.
Puede consultar la nota de prensa de la Comisión Europea en el siguiente enlace [1].
Tras un ciberataque sufrido por la Agencia nacional de recaudación húngara, que provocó que la publicación en Internet de datos personales de más de seis millones de personas físicas, el Tribunal de Justicia de la Unión Europea (en adelante, “TJUE”), en su sentencia de 14 de diciembre de 2023, asunto C-340/21, ha resuelto cinco cuestiones prejudiciales relativas a la existencia de daño moral indemnizable y a la adopción de medidas de seguridad en caso de violaciones de seguridad de datos personales.
Las principales cuestiones de la sentencia del TJUE son las siguientes:
En primer lugar, el TJUE declara que un acceso no autorizado a datos personales no es suficiente para concluir que las medidas adoptadas por el responsable del tratamiento no eran adecuadas. Esto es debido a que hay que analizar en cada caso concreto si el responsable ha adoptado de manera adecuada las medidas técnicas y organizativas que exigen los artículos 24 y 32 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”). Dicha labor de análisis caso a caso debe ser realizada por los órganos jurisdiccionales nacionales.
En relación con el principio de responsabilidad proactiva del responsable del tratamiento (artículo 5.2 RGPD), el TJUE señala que es el responsable quien deberá probar que se han adoptado las medidas de seguridad adecuadas. Destaca que un informe pericial ordenado por el juez no es un medio necesario ni suficiente para probarlo.
Otro punto clave de la sentencia es el relativo a la obligación del responsable de indemnizar los daños y perjuicios sufridos por las violaciones de seguridad. El TJUE declara que, en principio, el responsable deberá indemnizar los daños y perjuicios sufridos por una persona en caso de que resulten de una vulneración de seguridad de sus datos personales. Sin embargo, el responsable “puede quedar exonerado de responsabilidad, al amparo del artículo 82, apartado 3, del RGPD, si demuestra que no existe relación de causalidad entre su eventual incumplimiento de la obligación de protección de datos y los daños y perjuicios sufridos por la persona física”.
Finalmente, señala que el temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros, puede constituir un daño o perjuicio inmaterial.
Puede acceder al texto completo de la Sentencia del TJUE en este enlace [2].
En la Decisión n°SAN-2023-023, de 29 de diciembre de 2023, la Comisión Nacional de Informática y de las Libertades (en adelante, “CNIL”) detecta tres infracciones del RGPD y una infracción de la Ley de Protección de Datos francesa por parte de la entidad NS CARDS FRANCE.
En primer lugar, aprecia una infracción del artículo 5.1 del RGPD porque la empresa conservaba los datos indefinidamente. Pese a que la entidad había establecido un período de conservación de 10 años, una vez transcurrido este tiempo las cuentas se desactivaban, pero no se eliminaban, de modo que se seguían conservando los datos.
También considera vulnerados los artículos 12 y 13 del RGPD por haber informado a los interesados a través una política de privacidad incompleta y obsoleta. Además, la información se proporcionó en inglés, cuando la gran mayoría de los interesados son franceses.
De acuerdo con la CNIL, NS CARDS FRANCE tampoco garantizó de manera adecuada la seguridad de los datos personales, vulnerando así el artículo 32 del RGPD. Principalmente, esto es debido a que las reglas de complejidad de las contraseñas para las cuentas de usuario no eran lo suficientemente sólidas.
Por último, la CNIL aprecia una infracción del artículo 82 de la Ley de Protección de Datos francesa al señalar que las cookies de Google Analytics se depositaban en los terminales de los usuarios sin su consentimiento. Tampoco informó a los usuarios ni obtuvo su consentimiento para el uso de reCAPTCHA, un mecanismo proporcionado por Google que la empresa utilizaba cuando el usuario creaba una cuenta o se conectaba al sitio web y a la aplicación móvil.
Por todo lo anterior, la CNIL impone a NS CARDS FRANCE una multa de 90.000€ por la infracción de los artículos 5.1, 12, 13 y 32 del RGPD y una multa de 15.000€ por la infracción del artículo 82 de la Ley de Protección de Datos francesa.
Puede acceder a la Decisión de la CNIL haciendo clic en este enlace (disponible en francés) [3].
El 14 de diciembre del 2023, la Agencia Española de Protección de Datos (en adelante, “AEPD”) publicó un decálogo de principios sobre la verificación de edad y sistemas de protección de personas menores de edad ante contenidos inadecuados.
Este decálogo tiene como propósito la protección del menor en internet, resguardándolo del acceso incontrolado a contenidos inadecuados. Es decir, la AEPD no pretende un control de edad o un sometimiento a vigilancia y seguimiento.
Los contenidos inadecuados para menores de edad han de ser libremente accesibles para aquellos usuarios que, queriendo consultarlos, demuestren que cumplen las condiciones de edad establecidas. Es este punto en el que es necesaria la verificación de edad, que estará basada en los siguientes elementos:
Con todo lo anterior, el Decálogo publicado por la AEPD establece diez principios que ha de cumplir un sistema de protección de personas menores de edad ante contenidos inadecuados para garantizar el interés superior del menor y los derechos fundamentales de todos aquellos usuarios de internet. No deben entenderse de forma independiente o individual, debiendo asumirse estos diez principios de manera conjunta.
Todo lo relatado con anterioridad requiere la cooperación de múltiples intervinientes con un fuerte compromiso real de proteger los intereses fundamentales del menor.
Puede consultar el Decálogo en el siguiente enlace [4].
Para complementar lo anterior, y queriendo demostrar la posibilidad de lo relatado, la AEPD, en colaboración con el Consejo General de Colegios Profesionales de Ingeniería Informática, ha desarrollado esta nota técnica, que pone en práctica en escenarios reales los principios recogidos en el Decálogo.
Las pruebas de concepto se basan en la utilización de dos aplicaciones. La primera, relativa al acceso a contenidos. La segunda, una aplicación de verificación de edad. Ambas, probadas en tres pruebas de concepto diferentes: ordenador o consolas de videojuegos, móviles Android y, finalmente, móviles iOS.
La protección del menor ante contenidos inadecuados debe realizarse sin la vulneración de los derechos fundamentales. Esto es, no puede ser una excusa para no desarrollar las medidas adecuadas protectoras de los menores de edad. Por ello, y a pesar de existir una urgente necesidad de solución para la protección de los menores ante contenidos inadecuados, los tratamientos de datos deberán siempre cumplir con los principios, derechos y obligaciones del Reglamento General de Protección de Datos.
Por todo lo anterior, la AEPD, para concluir con este trabajo de verificación de edad y protección de personas menores ante contenidos inadecuados, ha publicado un documento de preguntas frecuentes en el que se incluyen explicaciones más extensas.
Los enlaces para la consulta de ambos documentos se encuentran disponibles accediendo aquí [5] y aquí [6], respectivamente.
El objeto de este anteproyecto es adaptar la normativa autonómica vasca en materia de protección de datos al RGPD, a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, “LOPDGDD”) y a la Ley Orgánica 7/2021 de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
Entre los aspectos más relevantes, destaca la creación de la Autoridad Vasca de Protección de Datos, que sustituye a la actual Agencia Vasca de Protección de Datos. También regula el régimen sancionador al que quedan sometidos los responsables y encargados, así como los procedimientos en caso de infracción de normas de protección de datos.
El pasado 19 de octubre, la Organización Mundial de la Salud (en adelante, “OMS”) publicó una Guía sobre los principios claves a tener en cuenta para la regulación de la Inteligencia Artificial (en adelante, “IA”) en el sector de la salud.
En este sentido, en palabras de la OMS, la transformación digital de la atención sanitaria y el desarrollo terapéutico, que incluye la exploración de los usos de la IA, tiene el potencial de mejorar los resultados sanitarios mediante la mejora del diagnóstico médico, la terapéutica digital, los ensayos clínicos, el autocuidado y el conocimiento basado en evidencia. No obstante lo anterior, la OMS destaca igualmente los retos y el potencial riesgo que supone el uso de esta tecnología.
Ante esta situación, la OMS pretende proporcionar una serie de consideraciones regulatorias que los países deberían considerar para la utilización de IA en el sector de la salud. Son seis las áreas en las que la OMS pone el foco, detalladas a continuación.
La OMS destaca la necesidad de una documentación que permita una evaluación transparente de la IA, generando así, una mayor confianza en ella. En este sentido, la documentación permitiría demostrar la toma de decisiones con base en criterios científicos a lo largo de todas las fases de vida del producto de IA. El registro de esta documentación debe seguir un criterio basado en el riesgo generado por cada uno de los sistemas de IA.
Debe considerarse un “enfoque holístico” de gestión de riesgos para la IA que incluya abordar los riesgos asociados con las amenazas de ciberseguridad del sistema y las vulnerabilidades del mismo durante todo el ciclo de vida del producto. Es decir, los eventuales riesgos deberán gestionarse a lo largo de su ciclo de vida, incluyendo las fases previas y posteriores a la puesta en el mercado. Lo anterior facilitaría el proceso de aprendizaje acerca de su funcionamiento, mejorando así, si fuera necesario, el sistema de forma continua.
La OMS resalta la importancia de asegurar que, aquellos mecanismos regulatorios que vayan a aprobarse sobre esta materia, contemplen mecanismos de verificación que aseguren que los sistemas de IA utilizados en situaciones clínicas sean seguros y eficientes.
Así, la Guía de la OMS recomienda que los sistemas IA se sometan a validación externa, asegurando por tanto su calidad y seguridad, así como un seguimiento posterior a la puesta en funcionamiento de la tecnología, pudiendo notificar cualquier evento adverso. Todo ello, con el fin de garantizar la seguridad de los productos de IA.
La OMS destaca la importancia de contar con datos de calidad, pues de esta forma la tecnología podrá alcanzar su uso previsto, sin encontrar obstáculos que aminoren su efectividad y/o beneficios.
En este punto, se remarca la importancia de la selección de los datos, puesto que pueden generarse sesgos informativos. De ser así, el sistema de IA no reflejaría la realidad al tratarse de datos no representativos del entorno en el que funcionará dicho sistema.
Para todo lo anterior, y en palabras de la OMS, los desarrolladores deberían considerar implementar pruebas rigurosas previas al lanzamiento de los sistemas de IA para garantizar que no se amplifique ninguno de los problemas (sesgos, errores, algoritmo u otros del diseño), pudiendo así identificar los problemas de manera temprana y evitando posibles daños resultantes.
Es importante para los desarrolladores comprender los diversos contextos legales en materia de privacidad y protección de datos de carácter personal. Esto es, los desarrolladores deberán conocer las implicaciones y requisitos de las regulaciones de las diferentes jurisdicciones, así como sus matices para, así, documentar sus prácticas en consecuencia.
La OMS invita al compromiso y la colaboración entre desarrolladores, fabricantes, profesionales de la salud, pacientes, defensores de los pacientes, organismos reguladores y cualesquiera otras partes interesadas para, así, mejorar la seguridad y la calidad de los sistemas IA.
Para concluir, como ha podido observarse, la OMS pretende con esta Guía reconocer los beneficios de la IA en el sector sanitario sin dejar a un lado la complejidad y necesidad de colaboración internacional para que estos sistemas sean seguros y apropiados, lo que, sin duda, será un trabajo continuo por parte de las instituciones.
Puede consultarse la Guía completa en el siguiente enlace [7].
La International Organization for Standardization (en adelante, “ISO”) y la International Electrotechnical Commission (en adelante, “IEC”) han publicado la norma ISO/IEC 42001:2023, dedicada a la Inteligencia Artificial.
Tal y como se relata en la introducción de esta norma, la IA se aplica cada vez más en todos los sectores que utilizan tecnologías de la información, esperando que sea uno de los principales motores económicos. Ante lo anterior, y entendiendo los retos sociales que ello puede causar, la norma pretende ayudar a las organizaciones a desempeñar de forma responsable su papel con respecto a los sistemas IA.
En otras palabras, este documento fija los requisitos para establecer, mantener y mejorar, de manera continua, un sistema de gestión de IA en el contexto de una organización. De esta forma, la utilización de los sistemas IA se realizaría de manera responsable, aprovechando y acrecentando sus beneficios y aminorando los riesgos.
Aquellas organizaciones que se adhieran a esta nueva ISO conseguirán establecer sistemas de Inteligencia Artificial confiables, transparentes y responsables, alineados con la normativa vigente y, además, mejorarán su reputación.
Este es el primer estándar internacional de sistemas de gestión para IA, esencial para la gestión de riesgos e implementación segura de estos sistemas en las organizaciones.
La norma se encuentra disponible en el siguiente enlace [8].
La Sala de lo Civil del Tribunal Supremo, en la Sentencia número 1755/2023 (rec.905/2020), de 19 de diciembre de 2023, desestima el recurso planteado por la sociedad Kukuxumusu Ideas S.L frente a la Sentencia de la Audiencia Provincial de Navarra, que estudiaba los límites de la cesión de derechos realizada por el autor de los dibujos a la sociedad. El litigio tiene su origen en el momento en el que el autor de los dibujos se desvinculó de la sociedad y empezó a crear diferentes productos con dibujos cuyos derechos de propiedad intelectual habían sido cedidos a Kukuxumusu.
El Tribunal Supremo distingue entre los dibujos, que fueron objeto de cesión, de los personajes, que no lo fueron. Por lo que respecta al derecho de reproducción, alcanza únicamente a los dibujos objeto de la cesión, por lo que no se extiende a otros posibles dibujos sobre estos personajes.
En relación con el derecho de transformación, el Tribunal Supremo destaca que la cesión de este derecho debe hacerse para un determinado acto transformativo. En este caso, declara que dicho acto es la animación y adaptación a obras audiovisuales de los dibujos objeto de cesión.
Por todo lo anterior, el Tribunal Supremo confirma que el autor puede realizar nuevos dibujos siempre y cuando sean lo suficientemente distintos como para no poder ser considerados un plagio de alguno de los dibujos cedidos.
Puede consultar el texto íntegro de la Sentencia en este enlace [9].
La Asociación Sueca del Juego Online (en adelante, “BOS”, por sus siglas en sueco) ha rechazado la propuesta de aumentar el impuesto sobre el juego. Considera que una subida de impuestos en el mercado del Juego entra en conflicto con los objetivos gubernamentales consistentes en tener un mercado de Juego saludable y seguro bajo control público.
La BOS explica en su comunicado que un aumento de impuestos provocaría que el juego se volviera menos atractivo en comparación con otro sujeto a impuestos más bajos o nulos. Además, aprovecha para resaltar la necesidad de evitar medidas que dañen aún más el sector y advierte sobre el impacto negativo que este tipo de medidas pueden tener en la atracción del mercado legal.
Puede consultar el Comunicado de la BOS en este enlace (disponible en inglés) [10].
El Tribunal Supremo afirmó esta consideración en el seno de un procedimiento de delito de estafa en el que los hechos probados relatan lo siguiente: habiendo acudido dos sujetos a un salón de juegos, uno de ellos trató de mover, sin éxito, la cámara de videovigilancia que apuntaba a una de las ruletas electrónicas. Tras ello, ambos realizaron cuatro apuestas en la citada máquina en pocos minutos, aprovechando, cuando dejaba de girar la misma, para zarandearla y conseguir que la bola se moviese al color apostado por ambos. Todo ello, sin duda, con el propósito conjunto de obtener el importe del premio de forma indebida.
Ambos sujetos consiguieron obtener un importe de 417€.
En este sentido, el Juzgado de lo Penal núm. 5 de San Sebastián condenó a ambos como autores de un delito de estafa del artículo 248.2 en relación con el 249 del Código Penal (en adelante, “CP”).
Siendo así, se interpuso recurso de apelación por los condenados, dictando la Audiencia Provincial de Guipúzcoa la desestimación del mismo. Ante ello, se preparó recurso de casación ante el Tribunal Supremo.
Entienden los condenados que los hechos probados no pueden tener encaje en el delito de estafa del artículo 248.2 del CP, pues la acción del sujeto no constituye manipulación informática o artificio semejante.
Por el contrario, el Tribunal Supremo relata en la presente sentencia que, cualquier maniobra fraudulenta de carácter informático queda incluida dentro de la primera modalidad del artículo 248.2 del CP. Ello supone la innecesaridad de utilización de la expresión “artificio semejante” que quedaría vacía de contenido. Esta última expresión ha de referirse, por tanto, a cualquier otra conducta realizada sobre el sistema que dé lugar al resultado que el propio delito trata de impedir, esto es, la producción de una transferencia no consentida de activos patrimoniales
En conclusión, la semejanza a que se refiere el precepto en cuestión radica en la manipulación del sistema, no en el carácter informático de la manipulación. La sentencia del Tribunal Supremo establece, sin duda, un precedente respecto a la consideración de estafa informática, pues incluye manipulaciones mecánicas entendidas como artificios semejantes.
Puede consultar la sentencia en el siguiente enlace [11].
La ciberseguridad es uno de los temas de mayor importancia estratégica en nuestra sociedad. Es por ello que España y, en concreto, la Comunidad de Madrid, ha decidido reforzar y aumentar sus capacidades de ciberseguridad para la protección de las instituciones y los ciudadanos en su uso de las herramientas digitales, convirtiendo estas en medios totalmente seguros y fiables.
La Agencia de Ciberseguridad de Madrid (en adelante, la “Agencia”), creada por la Ley 14/2023, de 20 de diciembre, velará por el cumplimiento de las funciones del servicio público de ciberseguridad, implementando medidas de prevención, detección y respuesta sobre la infraestructura pública y sus servicios, así como también coordinando con los proveedores privados de servicios de la sociedad de la información para la consecución de sus objetivos. En otras palabras, la Agencia será el motor de una cultura de ciberseguridad que genere un ambiente de confianza y seguridad que permita beneficiarse en su totalidad de los servicios y herramientas digitales y contribuya al desarrollo de la sociedad digital.
En pleno crecimiento de las ciberamenazas, la Agencia será la encargada de recibir, revisar y replicar a todos los informes y actividades sobre los sucesos que se registren en el territorio, así como colaborar con las entidades atacadas para la recuperación de la normalidad en las operaciones y la preparación para nuevos futuros ataques.
Este proyecto, principal apuesta en la digitalización en la Comunidad de Madrid, aspira a ser el pilar fundamental para la prevención, vigilancia y respuesta ante incidentes de ciberseguridad, cada vez mayor, tanto en el ámbito público como en el privado.
Links
[1] https://ec.europa.eu/commission/presscorner/detail/es/ip_23_4953
[2] https://curia.europa.eu/juris/document/document_print.jsf;jsessionid=3A9073B9EA765BA9A6F55C4EDA69DED4?mode=DOC&pageIndex=0&docid=280623&part=1&doclang=ES&text=&dir=&occ=first&cid=6804189
[3] https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000048907667
[4] https://www.aepd.es/guias/decalogo-principios-verificacion-edad-proteccion-menores.pdf
[5] https://www.aepd.es/guias/nota-pruebas-concepto-verificacion-edad.pdf
[6] https://www.aepd.es/guias/faq-pruebas-concepto-verificacion-edad.pdf
[7] https://iris.who.int/bitstream/handle/10665/373421/9789240078871-eng.pdf?sequence=1&isAllowed=y
[8] https://www.iso.org/obp/ui/es/#iso:std:iso-iec:42001:ed-1:v1:en
[9] https://www.poderjudicial.es/search/AN/openDocument/8f0c5e5a5d01c10aa0a8778d75e36f0d/20240104
[10] https://www.azarplus.com/wp-content/uploads/2023/12/Remissvar-Fidep-spelskatt-ENG.pdf
[11] https://www.azarplus.com/wp-content/uploads/2023/12/STS_4650_2023.pdf
[12] https://www.linkedin.com/company/ram-n-y-cajal-abogados
[13] https://twitter.com/RamonyCajalAbog
[14] https://www.ramonycajalabogados.com/es/search
