Como todos sabemos, en 2018 salió un nuevo Reglamento de Protección de Datos mucho más estricto por lo que hace al tratamiento de los datos recogidos por las empresas de sus usuarios, sobre todo a nivel online.
Debido a la aparición de nuevas herramientas tecnológicas que utilizan la Inteligencia Artificial, el Deep Learning y el Machine Learning y el incremento de negocios digitales, en 2022 se estuvo trabajando en nuevas normativas legislativas desde la Unión Europea (UE) para garantizar una mayor protección de los datos, así como un mejor tratamiento. Unas normativas actualizadas que entraron en vigor el año pasado.
Estas normativas entran dentro de la estrategia de ciberseguridad de la Unión Europea.
¿Qué novedades legislativas encontramos este 2024 para la protección de datos?
Ley Europea sobre el uso y desarrollo de la Inteligencia Artificial
Una de las primeras leyes a aprobarse fue una normativa para el uso de la Inteligencia Artificial (IA).
El desarrollo de herramientas y nueva tecnología basada en la IA debe cumplir unos estándares democráticos: que esta sirva solo para completar el trabajo humano.
Una ley aplicable a todos los usos de la IA que afecten a los ciudadanos de la UE, independientemente si la sede, el desarrollo del sistema o los proveedores se encuentran en países fuera de la Unión Europea.
En la ley se habla de 4 niveles diferentes de riesgos que puede conllevar el uso de la IA en su desarrollo: riesgo inaceptable, riesgo alto, riesgo limitado y riesgo mínimo. De esta manera, determinar si se puede o no llevar a cabo el proyecto planteado.
Para el cumplimiento de dicha ley, la Unión Europea ha creado la Agencia Española de Inteligencia Artificial, la primera institución de la UE con sede en A Coruña. Esta tiene como objetivo inspeccionar y sancionar a empresas que no cumplan con dicha ley, fomentar el uso responsable de la IA y asesorar empresas que quieran desarrollar proyectos basados en esta tecnología.
El incumplimiento de esta nueva ley, supondrá enormes sanciones para las empresas.
Acuerdo de protección de datos entre Europa y Estados Unidos
En 2020 el Tribunal de Justicia de la Unión Europea anuló el tratado que había entre Europa y Estados Unidos sobre el tratamiento del flujo de datos transatlánticos después de que cuestionara la privacidad de los datos por parte de Estados Unidos.
Ahora, dos años después, se ha llegado a un nuevo acuerdo que explica específicamente cómo se debe llevar a cabo el flujo de datos entre la Unión Europea y Estados Unidos para garantizar la privacidad y la protección de los datos. Este nuevo acuerdo denominado "Privacy Shield 2.0" entró en vigor el 17 de enero del presente año.
A nivel legislativo, Estados Unidos es mucho más flexible, por eso, es importante encontrar el equilibrio entre ambas comunidades.
Nuevo criterio de la AEPD sobre el uso de cookies
A inicios de este año, concretamente el 11 de enero, entró en vigor la actualización da la Guía sobre el uso de cookies. Los cambios establecidos en esta nueva actualización son los siguientes:
- Muros de cookies. Con esta nueva actualización, la AEPD establece que la aceptación de la política de cookies no debe ser un requisito obligatorio para la navegación en el sitio web. No obstante, la alternativa a navegar sin aceptar la política de cookies no tiene por qué ser gratuita.
- Cookies de personalización. En relación a las cookies de personalización, ha habido un cambio en la categoría que tienen este tipo de cookies. Las cookies de personalización son aquellas que seleccionamos en un sitio web como el idioma o la moneda con la que queremos realizar una compra. Ahora, para este tipo de cookies no hará falta la aceptación expresa por parte del usuario.
- Claridad en la aceptación o rechazo. Los botones para aceptar o rechazar las cookies de un sitio web deben ser visibles y estar a la misma altura, para que así sea igual de fácil aceptar o rechazar las cookies de dicho sitio web por parte del usuario.
Nuevo criterio de la AEPD para el control de presencia biométrico
La AEPD (Agencia Española de Protección de Datos), recientemente ha hecho una modificación en su criterio respecto a la legalidad del tratamiento de datos biométricos para el control de acceso a empresas u otras organizaciones. Los datos biométricos que se usan normalmente para el control de acceso son la huella dactilar o un mecanismo de reconocimiento facial.
En la nueva directriz, se prohíbe el uso de este tipo de datos ya que son de carácter especial. El tratamiento de datos biométricos queda prohibido salvo que se concurran las circunstancias previstas en el artículo 9 del RGPD.
Una de las circunstancias previamente mencionadas es la que recoge el artículo 9.2 del RGPD, que establece que el tratamiento de datos biométricos será lícito si existe una obligación legal para el responsable de tratamiento. Este artículo es aplicable en todos los países de la UE en los que exista una ley que establezca como necesario el registro de presencia mediante datos biométricos. No obstante, en España no existe una ley que contemple dicho registro como necesario para el empleador, por lo que el tratamiento de datos biométricos para el control de acceso sigue estando prohibido.
Nueva Ley de Servicios Digitales
Esta ley busca crear un entorno online más seguro y responsable, con la implementación de nuevas medidas de protección para los usuarios (ya sea con estrategias de ciberseguridad o soluciones de seguridad informática). Además también aporta seguridad jurídica a las empresas.
Una ley aplicable a todos los servicios digitales que conectan los consumidores con bienes, servicios o contenidos.
Para velar por su cumplimiento, la Comisión Europea está creando un Centro Europeo para la transparencia algorítmica (CETA).
.png?width=262&height=150&name=accio-10-negre%20(1).png)
