Guía AEPD sobre auditorías de tratamientos con inteligencia artificial

La Agencia Española de Protección de Datos (AEPD) ha publicado una guía sobre los requisitos para auditorías de tratamientos de datos personales que incluyan inteligencia artificial (IA), un documento que ofrece orientaciones y un listado de posibles objetivos de verificación y controles específicos que podrían incorporarse en estas auditorías desde una perspectiva de protección de datos. Se trata, por tanto, de un documento que complementa la Guía de Adecuación al Reglamento (UE) 2016/679, general de protección de datos personales (RGPD) de tratamientos que incorporan IA, aprobada previamente por la AEPD. Las medidas incluidas en esta guía no tienen un carácter limitativo, dado que, en la práctica, tal y como reconoce la propia AEPD, las actuaciones dependerán de los distintos factores concurrentes en cada caso, tales como (a) el tipo de componente IA utilizado, (b) el ámbito, contexto y finalidades del tratamiento, o (c) el riesgo que represente el tratamiento para los derechos y libertades de las personas, etc. Se trata, por tanto, de un documento de obligada consulta para implementar las medidas técnicas y organizativas apropiadas que garanticen y permitan demostrar que el tratamiento realizado es conforme a la normativa de protección de datos (artículo 24 RGPD), así como un documento que evidencia el esfuerzo de la AEPD por sujetar a la normativa de privacidad, este tipo de tecnologías; empeño, que, por razones como la opacidad con que funcionan o la enorme cantidad de datos (entre ellos personales) que llegan a consumir, no resulta nada fácil. 

Bélgica eliminará dominios que conculquen la normativa de privacidad

El pasado 26 de noviembre, la autoridad belga de protección de datos (APD) firmó un acuerdo de cooperación con la plataforma DNS Belgium (DNS), reguladora del dominio belga “.be”, por medio del cual, DNS se compromete a (a) colaborar en el marco de los procedimientos de investigación en materia de protección de datos iniciados por la APD, y (b) suspender aquellas webs con dominio “.be” que infrinjan el RGPD (siempre y cuando se trate de una infracción grave, se haya realizado con mala fe o se trate de un sujeto reincidente). En concreto, el procedimiento acordado es el siguiente: (a) la APD notificará a DNS el dominio y la infracción realizada; (b) DNS redirigirá a los dominios infractores a una página de advertencia de la APD, dando un plazo total de 6 meses para solventar la infracción; y (c) si el incumplimiento persiste tras el transcurso de dicho plazo, la web podrá ser cancelada (y después de un periodo de “cuarentena”, el dominio estará de nuevo disponible para su registro). Con ello, las autoridades belgas tercian de algún modo, en la controversia acerca de si un registrador de nombres de dominio puede cancelar éstos por propia iniciativa sin previa intervención judicial, extremo defendido en ocasiones por la jurisprudencia de países como Francia, a la vista de que los dominios pueden considerarse objeto de propiedad industrial. Es claro que la naturaleza meramente administrativa de la APD impide subsanar esta objeción.

Identificación de usuarios en línea que infringen la propiedad intelectual

El Tribunal de Justicia de la Unión Europea (TJUE) en su Sentencia de 9 de julio de 2020 (asunto C-264/19, Constantin Fil Verleih v. YouTube LLC y Google Inc.), ha declarado que, en el contexto en el que una película se sube de manera ilegal a una plataforma en línea como YouTube, es decir, sin el consentimiento del titular de los derechos de autor, su titular únicamente puede solicitar al operador correspondiente la dirección postal del usuario de que se trate. Ello dado que el TJUE concluye que el concepto de “direcciones” que figura en la Directiva 2004/48 del Parlamento Europeo y del Consejo, de 29 de abril de 2004, relativa al respeto de los derechos de propiedad intelectual no comprende, en relación con un usuario que ha puesto archivos en línea infringiendo un derecho de propiedad intelectual, ni su dirección de correo electrónico ni su número de teléfono, ni la dirección IP utilizada para subir estos archivos o en el último acceso a su cuenta de usuario. Sin embargo, el TJUE precisa que los Estados miembros tienen la facultad de conceder a los titulares de derechos de propiedad intelectual, el derecho a recibir una información más amplia, con la condición, no obstante, de que se garantice un justo equilibrio entre los distintos derechos fundamentales de que se trate y el respeto a otros principios generales del Derecho de la Unión, como el principio de proporcionalidad. Es esta una muestra más del clásico conflicto entre derechos de autor y protección de datos, que el TJUE vuelve a saldar con un fallo eminentemente tuitivo de esta última, lo que, sin duda, dificultará el rastreo de infractores en este tipo de circunstancias.

Digitalización de la relación laboral 

El Panel para el Futuro de la Ciencia y la Tecnología del Parlamento Europeo (STOA, por sus siglas en inglés) ha publicado en diciembre de 2020, un estudio en el que analiza el impacto de las nuevas tecnologías en el trabajo. Entre otras cuestiones, el informe evalúa (a) el abanico de tecnologías que se están introduciendo para controlar a los trabajadores; (b) la transformación que se está produciendo en los nuevos espacios de trabajo y, por ende, en la relación laboral (como consecuencia de introducir un tercer actor: máquina y/u ordenador); y (c) los marcos sociales, legales e institucionales en los que se está produciendo el cambio digital en la relación laboral. Todo ello con un enfoque de debate entre la protección de la intimidad y los derechos de los trabajadores (e.g. protección de datos) y el avance en la digitalización que se está produciendo en la relación laboral (el cual está permitiendo, entre otras cuestiones, un aumento del control por parte del empresario como consecuencia del uso de la tecnología). El documento es, pues, clara muestra de que el laboral constituye uno de los frentes de desarrollo más activos de la privacidad, como, por ejemplo, evidencia que sea en ese ámbito donde han visto la luz derechos ya consolidados, como la desconexión digital.

Utilidad y legalidad de la discriminación de precios online

Un estudio de la Organización para la Cooperación y Desarrollo Económicos (OCDE) del pasado diciembre, basado en dos experimentos llevados a cabo entre consumidores online de Irlanda y Chile, analiza el impacto de la fijación de precios personalizados en línea en los consumidores y, entre otras cuestiones, concluye que ese sistema (a) afecta a la capacidad que tienen los consumidores de comprender los precios ofertados; y (b) no tiene un impacto material en la toma de decisiones de los consumidores (de ejecutar la compra). Del mismo modo, el estudio recoge la visión de los consumidores sobre la “legalidad” de estas prácticas, reflejando que la mayoría de ellos, entienden que se trata de una actuación desleal que debería prohibirse. Si bien, y sin perjuicio de que estamos ante una cuestión controvertida, debe señalarse que en España, está permitido este tipo de medidas: variación (que no discriminación) de precios, siempre y cuando se respeten/cumplan determinados requisitos previstos en la normativa de defensa de los consumidores y en el derecho de la competencia (para evitar, por ejemplo, la calificación de dicha actuación como un supuesto de dumping o de abuso de posición de dominio). Es sabido, por otro lado, que este tipo de prácticas está abocado a aumentar de la mano del también creciente uso al efecto de sistemas de IA.

Industria del videojuego y bloqueo geográfico de contenidos

La Comisión Europea ha sancionado (con una multa de €7,8 millones) a seis empresas de videojuegos por ejercer prácticas de bloqueo geográfico (prohibidas por el Reglamento (UE) 2018/302 del Parlamento Europeo y del Consejo, de 28 de febrero de 2018, sobre medidas destinadas a impedir el bloqueo geográfico injustificado y otras formas de discriminación por razón de la nacionalidad, del lugar de residencia o del lugar de establecimiento de los clientes en el mercado interior y por el que se modifican los Reglamentos (CE) n.° 2006/2004 y (UE) 2017/2394 y la Directiva 2009/22/CE), al impedir a los consumidores: (a) el acceso a contenidos de un país distinto al de residencia, y (b) acceder, por tanto, a las ventajas del Mercado Único Digital de la UE (para encontrar la oferta más adecuada, mediante la comparación de precios entre los Estados miembros). Un serio aviso que pone de manifiesto la virtualidad práctica de esta norma, de cuyas posibilidades los consumidores europeos (en especial, las asociaciones que los representan) son cada vez más conscientes y que realza el valor de Internet para potenciar la capacidad de elección del consumidor.

Pacto digital de la AEPD 

La AEPD aprobó el pasado diciembre, el Pacto Digital para la Protección de las Personas, que tiene como objetivo principal, compatibilizar (a) el derecho a la protección de datos, con (b) la innovación, la ética y la competitividad empresarial; promoviendo la privacidad como un “activo” para las organizaciones (entre los principios incluidos en el mismo se encuentra impulsar la transparencia para que los ciudadanos conozcan qué datos se están recabando). El desarrollo del proyecto ha contado con la colaboración de los principales agentes del mercado (organizaciones empresariales, fundaciones, asociaciones de medios de comunicación y grupos audiovisuales), que lo han ratificado y se han adherido al mismo, comprometiéndose con ello, a implantar los principios y recomendaciones recogidas en el pacto. Su aprobación prácticamente coincide en el tiempo, con la llamada Carta de derechos digitales que impulsa el Gobierno y trata de hacer valer el respeto a la privacidad como activo para las empresas, más allá de objeto de procelosa regulación. Más información sobre la Carta de derechos digitales en nuestro video update: “La llamada Carta de derechos digitales. ¿Atañe a la empresa?”.