Cinco novedades legislativas que impactan en la protección de datos

  • Normativa

El año pasado ha sido intenso en actividad legislativa en la Unión Europea, y gran parte de las normativas aprobadas tienen implicaciones para las estrategias de ciberseguridad y protección de datos de las organizaciones. Repasamos con la Delegada de Protección de Datos de Paradigma Digital las principales novedades de las últimas regulaciones.

  Recomendados....

» Cómo proteger el nuevo perímetro Leer
» La digitalización y sostenibilidad, impulsores de la economía Informe
» Digitalización y seguridad: motor de innovación en el sector financiero Leer 

Con motivo del Día Europeo de la Protección de Datos que se celebró el pasado 28 de enero, Carmen Troncoso, Delegada de Protección de Datos en Paradigma Digital, ha realizado un análisis sobre que las empresas deberían tener en cuenta este año, desde el punto de vista de la seguridad y la privacidad:

Ley Europea de Inteligencia Artificial
En abril de 2022 se aprobó una propuesta de Reglamento por el que se establecen normas armonizadas sobre inteligencia artificial en la Unión Europea, que insta al uso de la IA y el desarrollo de su industria bajo "estándares democráticos" con el fin de que "la tecnología complete al trabajo humano".

Será aplicable a todos los usos de esta tecnología que afecten a los ciudadanos de la UE, independientemente de la sede del proveedor de servicios o del lugar donde se desarrolle o ejecute el sistema, dentro o fuera de las fronteras comunitarias, como ya ocurre con el Reglamento Europeo de Protección de datos.

En ella se abordan los riesgos de usos específicos de la IA, clasificándolos en cuatro niveles diferentes: riesgo inaceptable, riesgo alto, riesgo limitado y riesgo mínimo, para garantizar que los europeos puedan confiar en la tecnología que están utilizando. El Reglamento también es clave para construir un ecosistema de excelencia en IA y posicionar a Europa para desempeñar un papel de liderazgo a nivel mundial, pues sería la primera potencia mundial en disponer de este tipo de regulación.

Para el desarrollo de muchas de sus previsiones, España ha creado la Agencia de Supervisión de la Inteligencia Artificial, primera institución de estas características en la Unión Europea, que tendrá su sede en A Coruña.

Entre sus funciones encontramos la creación de un marco de certificación voluntaria para empresas sobre el diseño responsable de soluciones digitales, el asesoramiento a empresas y entes públicos, y la potestad inspectora y sancionadora, una vez entre en vigor la regulación europea sobre el uso de la inteligencia artificial, así como la realización de actividades de divulgación.

Ley de Mercados Digitales y la Ley de Servicios digitales
Por otro lado, el 1 de noviembre de 2022 han entrado en vigor, aunque comenzarán a ser aplicables a partir del 2 de mayo de 2023, dos normas determinantes en la UE para las plataformas en línea. Por un lado, la Ley de Mercados Digitales (Digital Markets Act, o DMA). Esta norma busca poner fin a las prácticas desleales de las empresas que actúan como guardianes de la economía de las plataformas en línea.

Define cuándo una gran plataforma en línea califica como "guardián". Estas son plataformas digitales que brindan una puerta de entrada importante entre los usuarios comerciales y los consumidores, cuya posición puede otorgarles el poder de actuar como un creador de reglas privado y, por lo tanto, crear un cuello de botella en la economía digital. Para abordar estos problemas, la DMA definirá una serie de obligaciones que deberán respetar, incluida la prohibición de que los guardianes participen de ciertos comportamientos.

Por otro, la Ley de Servicios Digitales (Digital Services Act, o DSA) busca crear un entorno en línea más seguro y responsable, ofreciendo nuevas protecciones a los usuarios y seguridad jurídica a las empresas en todo el mercado único al regular los intermediarios en línea, convirtiéndose así en referencia internacional al ser pionera en establecer una regulación de este tipo.

Se aplica a todos los servicios digitales que conectan a los consumidores con bienes, servicios o contenidos. Crea nuevas obligaciones para que las plataformas en línea reduzcan los daños y contrarresten los riesgos en línea, introduce una robusta protección de los derechos de los usuarios en línea y coloca a las plataformas digitales en un nuevo marco único de transparencia y responsabilidad.

Para ello, la Comisión Europea está creando un Centro europeo para la transparencia algorítmica (CETA) con el fin de apoyar su función supervisora.

Nuevo acuerdo de protección de datos entre Europa y Estados Unidos
Tras la anulación del anterior acuerdo en 2020 y dos años de negociaciones, se ha aprobado un nuevo acuerdo cuyo objetivo es restaurar una base legal importante para los flujos de datos transatlánticos, en el que se pretenden abordar las cuestiones que planteó el Tribunal de Justicia de la Unión Europea, tratando así de evitar que lo vuelva a anular al considerar que Estados Unidos no daba garantías suficientes para proteger la privacidad de los datos.

"Este acuerdo explica cómo se permitirá el flujo de datos entre la UE y EE.UU. de forma predecible, fiable, equilibrando la seguridad, el derecho a la privacidad y la protección de datos", explica la experta.

Directiva NIS 2
En diciembre de 2022 entró en vigor la Directiva NIS 2, Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2).

Esta Directiva establece obligaciones de ciberseguridad para los Estados miembros, medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación, obligaciones relativas al intercambio de información sobre ciberseguridad, así como obligaciones de supervisión y ejecución para los países.

Propuesta de Reglamento de ciberseguridad en productos con elementos digitales
En septiembre de 2023 se aprobó por la Comisión Europea la propuesta de Reglamento del Parlamento Europeo y del Consejo sobre requisitos de ciberseguridad horizontal para productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020. El Reglamento propuesto tiene como objetivo establecer requisitos de ciberseguridad en toda la UE para una amplia gama de productos de hardware y software y sus soluciones de procesamiento de datos remotos. Estos incluyen, por ejemplo, navegadores, sistemas operativos, firewalls, sistemas de administración de redes, medidores inteligentes o enrutadores.

Al respecto se ha pronunciado el Supervisor Europeo de Protección de Datos (SEPD) subrayando la importancia de la ciberseguridad de los productos con elementos digitales para proteger de manera efectiva los derechos fundamentales de las personas en la era digital, incluidos sus derechos a la privacidad y la protección de datos, mostrando su acuerdo con dicha propuesta y recomendando entre otras cuestiones la inclusión también los principios de protección de datos desde el diseño y por defecto como parte esencial de estos requisitos.

Estas normas, junto con otras iniciativas, forman parte de la estrategia de ciberseguridad de la Unión Europea.