- Bogota D.C - Calle 67 N° 7-94 Oficina 604
- 3138834959 - 601 7953297 Ext. 120
La inclusión de la legislación de protección de datos dentro de los programas de compliance es una realidad indiscutible en la vida de las organizaciones, especialmente por el alto grado de exposición de las empresas al mundo de las nuevas tecnologías. Esta exposición puede estar motivada por diferentes causas, como la mejora de la gestión, la calidad o la mayor seguridad de los datos personales que trata la entidad en su condición de responsable del tratamiento. Por ello, las regulaciones europeas han incorporado la transformación digital dentro de la Estrategia Europea de Datos.
Son consideradas nuevas tecnologías el metaverso, el machine learning o el Big Data, haciendo especial mención a la Inteligencia Artificial (IA) por el impacto mediático que ha supuesto. Consecuencia de todo ello, y enfocándonos en la privacidad y seguridad de la información, podemos destacar, entre otras, las siguientes regulaciones de la UE:
Es importante tener en cuenta que en ningún supuesto debe considerarse el uso de las nuevas tecnologías como una barrera infranqueable por los riesgos que puede suponer para la seguridad de los datos o los derechos de los interesados. Si será necesario, para evitar estos riesgos, en base al principio de by design, valorar los riesgos inherentes y reales que conlleve su utilización, e implementar los controles necesarios para mitigarlos, asegurando así un riesgo aceptable para los titulares de los datos y para la entidad. En esta línea de uso legal y ético de la IA, el Parlamento Europeo señala como prácticas prohibidas aquellas que supongan actuaciones subliminales o discriminatorias, cuando aplique a sujetos vulnerables, conlleve reconocimiento biométrico o monitorización y, por último, su uso por la Autoridad Pública.
A título de ejemplo, y en el ámbito de recursos humanos, el uso de IA que genere información del rendimiento laboral podría tener como consecuencia prácticas discriminatorias. Estas prohibiciones responden a la necesidad de implementar los controles necesarios, y evitar cualquier efecto individual o social que pueda suponer un riesgo para la libertad o los derechos de las personas. Igualmente, aplicaría a aquellos tratamientos de vigilancia masiva, automatizados sin intervención humana, o que pongan en riesgo la autonomía del interesado.
La regulación actual de las nuevas tecnologías debe cumplir, entre otras legislaciones, con el Reglamento Europeo de Protección de Datos Personales (GDPR), y alinearse con las actuales propuestas regulatorias en el ámbito de los servicios y mercados digitales o certificaciones. Las Certificaciones constituyen una buena práctica y, por ello, en apoyo y para difusión de las mismas, el EDPBha adoptado, con fecha 14 de febrero de 2023, la “Guidelines 07/2022, en su versión 2.0, de la certificación como herramienta de transferencia de datos personales”.
Otras buenas prácticas a tener en cuenta son el análisis de riesgo y evaluaciones de impacto, los procesos de anonimización o seudoanonimización de los datos personales, la formalización de contratos de encargo de tratamiento de datos con los proveedores de servicios y el cumplimiento de las legislaciones sectoriales aplicables.
No podemos olvidar que otra tecnología que puede conllevar un elevado riesgo en su utilización y tratamiento es el de los datos biométricos. La singularidad del mismo se debe a que se tratan datos en relación con las características físicas, psicológicas o de comportamiento de una persona física y, por ello, pueden permitir la identificación única de la misma. Así, por medio de imágenes faciales, dactilares, etc. se puede propiciar la elaboración de perfilados o de monitorización, que son riesgos específicamente identificados en el RGPD.
Por último, es necesario hacer referencia a los nuevos conceptos de Internet de las cosas (IoT) e Internet de los cuerpos (IoB). Esta tecnología tiene gran importancia en el ámbito de la salud, ya que, por ejemplo, mediante el uso de smartphones se recogen datos de salud, así como información relativa a la actividad deportiva o el estilo de vida de los usuarios del móvil (wearables).
En este punto, parece importante destacar los ataques de ciberseguridad a través de hackers, los cuales pueden exponer la seguridad e integridad de los datos de salud custodiados en miles de dispositivos médicos, apps médicas, plataformas de salud, etc. Centrándonos en el ámbito de los IoB, vamos a profundizar en algunos avances tecnológicos del ámbito sanitario, como la implantación de microchips en el cuerpo humano. Es evidente la gran potencialidad de estas nuevas posibilidades de la inteligencia artificial, pero no podemos olvidar la necesidad de establecer límites, especialmente desde el punto de vista ético.
De no ser así, podemos poner en peligro la dignidad humana y los derechos fundamentales que puede llevar al denominado transhumanismo o movimiento cultural e intelectual que tiene como objetivo final transformar la condición humana mediante el mejoramiento tecnológico. Específicamente, el transhumanismo, como movimiento ideológico, defiende la mejora de las capacidades físicas, intelectuales y psíquicas del ser humano mediante el uso de tecnología y métodos científicos, y propugna el uso de la manipulación genética y la nanotecnología como métodos para mejorar a las personas.
El primero de ellos, desde el punto de vista de la privacidad, en cuanto supone el uso masivo de datos personales, muchos de ellos considerados sensibles. Por ello, resulta fundamental el cumplimiento de la normativa de protección de datos, especialmente en lo referente a la aplicación de principios fundamentales como el de legitimación, transparencia y minimización. Todo ello acompañado del necesario análisis de riesgo e impacto.
En segundo lugar, hay que destacar los riesgos que en el campo de la ciberseguridad suponen estos dispositivos. La entidad deberá aplicar desde las fases iniciales de diseño y desarrollo el principio by design, adelantándose y concienciándose de todas las medidas de carácter técnico y de privacidad necesarias ante posibles ataques o hackeo de terceros. El actual entorno inalámbrico, de uso de clouds de almacenamiento o sistemas GMP, supone un gran reto de seguridad tecnológica.
El último reto es el del cumplimiento normativo o compliance. Las entidades deben adquirir un compromiso serio en el cumplimiento de la normativa vigente, tanto de ámbito general como sectorial, adaptándose a los futuros cambios normativos. Todo ello sin olvidar, desde el punto de vista interno, los necesarios códigos o principios éticos de la propia entidad. A este respecto, merece especial mención la anteriormente citada regulación europea, en la que ocupa un lugar fundamental la transformación digital dentro de la Estrategia Europea de datos. Igualmente, la AEPD, en su “Guía de principios a tener en cuenta en las auditorías de IA”, de enero de 2021, destaca la importancia de disponer de un listado de objetivos de control y controles, que deben ir acompañados de códigos de conducta y Certificaciones.