phone 915 752 750 email aec@aec.es

    Consentimiento

    VI Congreso de Privacidad «Diálogos de DPDs»

    6 febrero, 2024 |by Blog AEC GOVERTIS | 0 Comments | Sin categoría | , , , , , , , ,

    El pasado mes de diciembre tuvo lugar en Madrid el VI Congreso de Privacidad «Diálogos de DPDs» organizado por la Asociación Española para la Calidad, con la colaboración de GOVERTIS, parte de Telefónica Tech.

    En la ponencia inaugural, Ofelia Tejerino, presidenta de la Asociación de Internautas, destacó la necesidad de abordar la ciberseguridad de manera integral, mediante el establecimiento de estándares técnicos, legales y éticos en los procesos que implementen sistemas de IA para mitigar riesgos inherentes. Además, subrayó la importancia de asumir una responsabilidad proactiva, así como la necesidad de inversión en I+D en talento y formación, generando así un impacto positivo en el capital reputacional de las empresas.

    La primera mesa redonda, moderada por María Loza, responsable del Centro de Competencia de Tecnologías Emergentes de Govertis, en la que participaron Antonio Muñoz, Director de la oficina global del DPD de Telefónica; Estrella Gutiérrez, Profesora en la Universidad Complutense y Doctora en Derecho; Santiago Ferrís, Jefe del Servicio de Telecomunicaciones de la Generalitat Valenciana y Manuel González, Jefe del Gabinete de Cumplimiento, Consejo de Transparencia y Protección de Datos de Andalucía, versó sobre los retos ante la propuesta de regulación de la IA en el nuevo Reglamento Europeo. Las ponencias abordaron las siguientes cuestiones:

    1. La propuesta de reglamento de IA no es la primera, ni la única norma.
    Antonio Muñoz indicó que existe un cierto consenso en los principios, riesgos y la forma de mitigarlos, a pesar de que las aproximaciones sean diferentes. También describió diferentes modelos normativos que existen a nivel mundial (Brasil, China, EE.UU.) y sus principales rasgos, pero, sobre todo, destacó la importancia de generar preocupación y, a partir de ahí, convergencia en las soluciones.

    2. Concepto de IA. Explicabilidad y Transparencia. Desafíos en la implementación de sistemas prohibidos en el ámbito del Sector Público.
    Es importante delimitar el concepto de IA y, de hecho, la definición se ha ido modificando en las diferentes versiones de la propuesta de Reglamento, incluyendo, por ejemplo, sistemas estadísticos.

    Estrella Gutiérrez destacaba que Interpretabilidad, transparencia y explicabilidad son términos diferentes, interrelacionados, pero distintos.
    Actualmente, las licitaciones pocas veces incluyen requisitos de transparencia o métricas de error y se han licitado sistemas de IA definidos como sistemas prohibidos.
    Surge la cuestión de cómo se determina el impacto o cuáles son los criterios para determinar dicho impacto, en la seguridad, derechos fundamentales y la salud.
    Para la Administración Pública será un desafío ya que, como apuntaba Santiago Ferrís, deberán realizarse evaluaciones de riesgo de todos los casos de uso aplicables a los procedimientos administrativos y servicios públicos, indicando con certeza, que se acabarán utilizando precisamente sistemas de IA.
    Previamente, también deberán establecerse procedimientos mediante los que se decida y apruebe la implementación de un sistema de IA en la Administración Pública.

    3. Cuestiones técnicas del Reglamento de IA
    Santiago Ferrís enfatizó la necesidad de supervisión humana en sistemas de IA basados en correlaciones y también la dificultad de garantizar el anonimato. También aboga por un enfoque integral que aborde conjuntamente protección de datos e Inteligencia artificial y no diferentes sistemas de gobernanza.
    Respecto a los riesgos técnicos, no hay un criterio único para todas las situaciones, por lo que debe analizarse cada caso.
    En relación con la normalización, Santiago Ferrís entiende que es una solución a medio plazo y que deben desarrollarse estándares, métricas de error, etc. Manuel González puntualizó que serán organismos de naturaleza técnica, los que confeccionen los estándares técnicos normalizados que se deban implementar, lo cual tiene relevancia en lo que a derechos fundamentales se refiere.

    4. Comparación entre el concepto de transparencia en el Reglamento de IA y el RGPD. Diferencias en las evaluaciones de impacto en protección de datos y derechos fundamentales.
    Manuel González indicó que mientras que en el RGPD la transparencia, como se indica en el Considerando 39, radica en el conocimiento que el interesado tiene de qué, para qué y cuándo se tratan sus datos personales en la propuesta de reglamento de IA se habla de una definición explícita que apunta a que el usuario pueda comprender las capacidad, límites y riesgos y sea capaz de entender la información de salida.

    La transparencia en la propuesta de reglamento de IA, aplica en tres niveles: sistemas de alto riesgo, sistemas de propósito general y a determinados sistemas de IA, frente al RGPD que aplica a todos los responsables de tratamiento en todos los casos.
    Los sistemas de alto riesgo deberán cumplir con obligaciones de transparencia y registro de cierta información en bases de datos de acceso público, incluyendo el derecho a una explicación para las personas afectadas por decisiones automatizadas.

    En lo relativo a la evaluación de impacto de derechos fundamentales que deberán realizar los usuarios, esta deberá coordinarse con la evaluación de protección de datos correspondiente.

    5. Rol del DPD sobre la gobernanza de IA y coordinación con las diferentes autoridades de control en protección de datos y la Agencia Estatal de Inteligencia Artificial (AESIA).
    Se coincidió por varios ponentes en que el rol del DPD es fundamental en el modelo de gobierno de la IA. El rol del DPD y todas las funciones de coordinación interna no deben replicarse, sino deben incorporar los mecanismos de aseguramiento de IA.
    La AESIA y las autoridades de protección de datos deberán coordinarse, dada la interrelación de competencias, y deberán coordinarse, no solo con la AEPD, sino también con las autoridades de control autonómicas.

    La segunda mesa redonda, moderada por Patrick Monreal, responsable del Centro de Privacidad de Govertis, contó con los expertos Pablo Garrote, abogado, profesor y DPD del Grupo IMQ; Eusebio Moya, Jefe de Protección de Datos y Seguridad de la Información de la Diputación de Valencia y DPD de la Institución y Francesc Xavier Urios, profesor y Jefe de la Asesoría Jurídica de la Autoridad Catalana de Protección de Datos. En ella se abordaron los nuevos frentes del DPD: AARR, EIPD en tecnologías disruptivas, destacando los problemas y riesgos de la contratación de proveedores relativos a las transferencias internacionales de datos, derivados de la falta de información y transparencia, así como la reticencia de los encargados de tratamiento de cara a la protección de los secretos industriales.

    Por otro lado, se enfatizó en focalizar los esfuerzos de supervisar la tecnología que controla al dato, más que en el propio dato. También se recordó la importancia del consentimiento –que no lo puede todo-, que ha ser libre, aunque dicha condición no suele cumplirse cuando nos encontramos ante relaciones jerárquicas.

    Otra cuestión fundamental que se destaca es el principio de atender al estado de la tecnología, debiendo implementarse medios para constatar la mayor fiabilidad de la misma, pero se resalta la preocupación de la posibilidad de habilitar paraísos tecnológicos, lo que conllevaría una gran inseguridad jurídica, al no haber, hasta la fecha, garantías para el control del fraude derivado de su uso.

    Por último, David Rubio compartió su perspectiva sobre la situación actual de las transferencias internacionales de datos y el nuevo marco de privacidad de datos entre la UE y EE.UU., abordando cuestiones relativas al sistemático cuestionamiento ante el TJUE de los mecanismos establecidos en la UE para facilitar las exportaciones de datos personales de europeos, resultando cada vez más habitual que las jurisdicciones establezcan limitaciones a las exportaciones de datos personales desde sus territorios. Además, destaca la importancia del principio de responsabilidad proactiva en lo relativo a la necesidad de documentar todas las evaluaciones y decisiones relacionadas con las TID, manteniendo así una transparencia y trazabilidad constantes.

    Cristina Zato. Equipo Govertis- Telefónica Tech.

     

    KEEP READING

    Publicación de calificaciones universitarias y la nueva LOPD

    31 mayo, 2019 |by Beatriz Martin | 0 Comments | GDPR Legal | , , , , , , , , ,

    Una problemática recurrente en el ámbito universitario es la relativa publicación de las notas de los alumnos. Tradicionalmente, las calificaciones se “colgaban” en el tablón de anuncios de la Universidad, y todo aquel que pasara por allí, ya fuera alumno, progenitor “curioso” o ciudadano anónimo, tenía acceso a las mismas.

    Traducido a la normativa de protección de datos, esta publicación supone una comunicación de datos de carácter personal, que debe basarse en una causa de licitud, esto es, uno de los motivos que contempla la Ley para que dicho tratamiento de datos sea válido.

    Calificaciones universitarias con la antigua LOPD

    Con la antigua LOPD (Ley Orgánica 15/99, de Protección de Datos), la regla general de licitud era el consentimiento del afectado, salvo excepciones, como que una norma con rango de ley contemplara ese tratamiento concreto. Antes de la entrada en vigor de la Ley Orgánica 4/2007, de 12 de abril de Universidades, esa publicación de notas en los tablones era ilegal, salvo que se hubiera recabado previamente el consentimiento de los estudiantes.

    La DA 2ª  de la citada Ley Orgánica 4/2007 sí contempló la excepción, y amparó la publicación de las calificaciones de los alumnos sin consentimiento del interesado.

    Calificaciones universitarias con el nuevo RGPD

    Esta situación no ha cambiado con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y la nueva Ley Orgánica 3/2018, de Protección de Datos Personales y Garantías de Derechos Digitales (LOPD-GDD), que incluye entre sus bases de legitimación para tratar los datos el interés público basado en una norma con rango de ley, como es este caso.

    Pero no basta, de acuerdo con el RGPD y la LOPD-GDD, que la publicación sea lícita (PRINCIPIO DE LICITUD DEL TRATAMIENTO), sino que también debe cumplir con el resto de principios generales de la norma, como el de TRANSPARENCIA, MINIMIZACIÓN DE DATOS o LIMITACIÓN DEL PLAZO DE CONSERVACIÓN, entre otros. Esto implica que la publicación debe hacerse de modo que suponga la menor injerencia en los derechos y libertades de los interesados, lo que excluye la posibilidad de un conocimiento generalizado de las calificaciones, como en el caso de que se publicara, por ejemplo, en Internet. Por todo esto se recomienda:

    • Publicación calificaciones en Intranet o aula virtual en la que estuviera limitado el acceso a los profesores y compañeros del grupo, habiendo informado previamente a los alumnos en la matriculación.
    • Si de esta forma no fue posible, publicación en tablones de anuncios del centro, siempre que no se encuentren en las zonas comunes de los centros, se garantice que el acceso a los mismos queda restringido a dichas personas y se adopten las medidas necesarias para evitar su público conocimiento por quienes carecen de interés en el mismo.
    • En cuanto a los datos a publicar:
    • Plazo de conservación de la publicación: calificaciones provisionales mientras transcurre el plazo para presentar reclamaciones, y las calificaciones definitivas durante el tiempo imprescindible que garantice su conocimiento por todos los interesados. 

     

    Documentación relacionada:

    Informe AEPD 2019-0030

    https://www.aepd.es/es/documento/2019-0030.pdf

    Orientación para la aplicación provisional de la DA 7ª de la LOPDGDD

    https://www.aepd.es/media/docs/orientaciones-da7.pdf

     

    El Equipo Govertis 

    Logotipo de Govertis

    KEEP READING

    Uso de fotografías en RRSS

    24 mayo, 2019 |by Beatriz Martin | 0 Comments | GDPR Legal | , , , , ,

    El uso y compartición de fotografías en las redes sociales es uno de los aspectos que caracterizan dichas comunidades, bien sea para un uso profesional (Linkedin, Xing) o más personal (Facebook, Twitter, Instagram).

    Desde el punto de vista jurídico, el hecho de compartir fotografías en redes sociales tiene diversas implicaciones y puede estar sujeto a diferentes normas que regulan desde la propiedad de la fotografía hasta los aspectos relativos a su contenido, con especial atención al contenido cuando en la fotografía aparecen personas físicas.

    Propiedad de la imagen en Redes Sociales

    Respecto a la propiedad de la imagen, hay que tener en cuenta las disposiciones del Real Decreto legislativo 1/1996 por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual (en adelante LPI). Esta ley reconoce una serie de derechos morales y de explotación a los autores de las fotografías, diferenciando en caso de que se consideren obras artísticas, literarias o científicas; o meras fotografías.

    Para utilizar en RRSS fotografías de terceros, será necesario ser titular de los derechos necesarios para el uso que se quiere realizar (como por ejemplo un uso comercial o publicitario) y en su caso abonar al titular de los derechos la compensación pactada.

    Contenido de la imagen en Redes Sociales

    En cuando al contenido, además de que los objetos que aparezcan en la fotografía puedan estar protegidos por la LPI, también podrían estar protegidos por otras normas como la Ley 17/2001 de Marcas, o la Ley 20/2003 de Protección del Diseño Industrial.

    Si en el contenido de la fotografía aparecen personas físicas, entran en juego dos marcos normativos de gran relevancia:

    1. Por un lado: el Reglamento (UE) 2016/679 General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los.derechos digitales. (en adelante, LOPDGDD).
    2. Por otro lado, la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (en adelante LO 1/1982).

    La imagen como Dato Personal

    La imagen está considerada como un dato personal de acuerdo a la definición de dato personal proporcionada por el art 4 del RGPD, y como tal, cualquier tratamiento que se realice de imágenes de personas identificadas o identificables ha de cumplir con los requisitos, obligaciones y principios del RGPD y su tratamiento deberá estar legitimado por una de las bases de legitimación del art 6 del RGPD.

    Respecto a la LO 1/1982, hay que tener en cuenta que el art 7 de esta Ley considera una intromisión ilegítima en la intimidad de las personas “la captación, reproducción o publicación por fotografía, filme, o cualquier otro procedimiento, de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos”, salvo en los siguientes casos:

    • Que se trate de personas que ejerzan un cargo público o una profesión de notoriedad o proyección pública y la imagen se capte durante un acto público o en lugares abiertos al público.
    • La utilización de la caricatura de dichas personas, de acuerdo con el uso social.
    • La información gráfica sobre un suceso o acaecimiento público cuando la imagen de una persona determinada aparezca como meramente accesoria.

    Por lo que, conforme a esta Ley, para poder captar, reproducir o publicar la fotografía de una persona es necesario que dicho uso esté expresamente autorizado por ley, o que el titular de los derechos hubiera consentido expresamente. (art 2.2 Ley 1/1982).

    En conclusión, para utilizar una fotografía en redes sociales, hay que ostentar los derechos de propiedad intelectual, y si aparecen personas físicas identificadas o identificables obtener la cesión de su imagen y cumplir con las obligaciones en materia de protección de datos.

     

    El Equipo Govertis

    Logotipo de Govertis

    KEEP READING

    Más allá del consentimiento, hay legitimación

    11 mayo, 2018 |by Macarena Rodriguez | 0 Comments | GDPR Legal | , ,

    El Reglamento General de Protección de Datos, en adelante RGPD, establece un sistema de legitimación compuesto por seis bases jurídicas, de modo que el tratamiento de datos ya no se basa en el consentimiento del interesado y excepciones al mismo, sino que ha de basarse en uno de los seis supuestos que el RGPD establece. Dichas bases de legitimación no son intercambiables ni hay ninguna jerarquía entre ellas.

    Además, la base jurídica de legitimación del tratamiento se incorpora al contenido obligatorio del deber de información (artículo 13.1c) RGPD), por lo que el Responsable del tratamiento deberá facilitar dicha información al interesado, en el momento en que se obtengan los datos personales.

    Analizaremos a continuación los diferentes supuestos que conforman el sistema de legitimación diseñado por el RGPD, diferentes al consentimiento del interesado:

    • Legitimación para la ejecución de un contrato: el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales.
    • Legitimación derivada del cumplimiento de una obligación legal: deberá incluirse la referencia a la concreta norma que establece esta obligación al Responsable del tratamiento.
    • Legitimaciónpara el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
    • Legitimación para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero; el interés legítimo podrá constituir la base jurídica para el tratamiento “siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable” (Considerando 47 del RGPD). En cualquier caso, el interés legítimo siempre requerirá de una “evaluación meticulosa” (Considerando 47 del RGPD), que incluya la determinación, necesidad y justificación del interés legítimo, así como todo un análisis de la ponderación de dicho interés y los derechos y libertades del interesado y las medidas adoptadas para garantizar el equilibrio de los intereses en juego.
    • Legitimación para proteger intereses vitales del interesado o de otra persona física; se trata de un supuesto excepcional derivado de las propias circunstancias que harían posible esta causa de legitimación.

    En conclusión, recordar la importancia de la correcta determinación de la base jurídica que legitime el tratamiento de datos, ya que, además de formar parte del contenido del deber de información junto a la finalidad del tratamiento, en aplicación del Principio de responsabilidad proactiva, el Responsable deberá poder demostrar la adecuación de la base jurídica utilizada a las exigencias del RGPD.

    El equipo de profesionales de Govertis

    Logotipo de Govertis

    KEEP READING

    ¿Cómo se concibe el consentimiento para tratar datos personales, según el Reglamento Europeo?

    23 marzo, 2018 |by Macarena Rodriguez | 0 Comments | GDPR Legal | , , , , ,

    En España, el consentimiento en la legislación en protección de datos de carácter personal se ha concebido como la premisa básica para legitimar un tratamiento o cesión de datos.

    Sin embargo, a partir de ahora, con el Reglamento General de Protección de Datos de la Unión Europea, el consentimiento se ha concebido como una causa o fundamento más para legitimar un tratamiento de datos personales y está estrechamente ligado al principio de finalidad, puesto que la norma pone énfasis en que el consentimiento esté asociado para los fines específicos del tratamiento. Esto es, se ha recoger de forma clara, sencilla y concisa las finalidades de los datos, para que el interesado pueda manifestar el consentimiento respecto de cada una de éstas.

    KEEP READING