Derecho y NBIC

El Derecho de NBIC es una materia transversal, relacionada con tecnologías convergentes (Nanotecnologías, Biotecnologías, Tecnologías de la Información y ciencias Cognitivas). Enfatizan la creciente interconexión entre lo infinitamente pequeño (N), la creación de seres vivos (B), las máquinas pensantes (I) y el estudio del cerebro humano (C). Inciden en la ciencia y el derecho, tornando complejo establecer sus límites, desafíos y consecuencias económicas, político- sociales y éticas.

jueves, 17 de junio de 2021

CREACION DEL CONSEJO EUROPEO DE INVESTIGACIÓN PARA EL PROGRAMA MARCO DE INVESTIGACIÓN E INNOVACIÓN HORIZONTE EUROPA

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Université de Montpellier I Francia.
M. Sc. Institut Agronomique Méditerranéen

cferreyros@hotmail.com

RESUMEN

La Decisión 2013/743/UE crea el Consejo Europeo de Investigación («CEI») para ejecutar las acciones en el marco del pilar I «Ciencia excelente» de Horizonte Europa, ésta es derogada por la Decisión (UE) 2021/76 que sustituye al CEI creado mediante la Decisión de la Comisión, de 12 de diciembre de 2013, por la que se crea el Consejo Europeo de Investigación.

Conforme al artículo 9 de la Decisión (UE) 2021/764, el Consejo Científico debe estar integrado por profesionales prominentes de la ciencia, la ingeniería y la docencia con conocimientos especializados adecuados, tanto hombres como mujeres de diferentes grupos de edad, que garanticen diversidad de ámbitos de investigación y variedad de orígenes geográficos, y que ejerzan sus funciones a título personal, independientemente de cualquier interés ajeno.

La Comisión debe nombrar a los miembros del Consejo Científico tras llevar a cabo un procedimiento de preselección independiente y transparente, acordado con el Consejo Científico, que incluya la consulta a la comunidad científica y la presentación de un informe al Parlamento Europeo y al Consejo.

INDICE

________________________________________________________________

DECISIÓN DE LA COMISIÓN

de 12 de mayo de 2021

por la que se crea el Consejo Europeo de Investigación para el Programa Marco de Investigación e Innovación Horizonte Europa y por la que se deroga la Decisión C(2013) 8915

(2021/C 234 I/03)

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Vista la Decisión (UE) 2021/764 del Consejo, que establece el Programa Específico por el que se ejecuta el Programa Marco de Investigación e Innovación Horizonte Europa (2021-2027), y en particular su artículo 8, apartados 1 y 2,

Considerando lo siguiente:

(1)

A fin de garantizar la continuidad con las acciones y actividades llevadas a cabo en virtud de la Decisión 2013/743/UE del Consejo (1), el Consejo Europeo de Investigación («CEI»), creado mediante la presente Decisión para ejecutar las acciones en el marco del pilar I «Ciencia excelente» de Horizonte Europa, debe sustituir al CEI creado mediante la Decisión de la Comisión, de 12 de diciembre de 2013, por la que se crea el Consejo Europeo de Investigación (2).

(2)

El artículo 8, apartado 2, de la Decisión (UE) 2021/764 establece que el CEI debe estar constituido por el Consejo Científico independiente previsto en el artículo 9 de dicha Decisión y por la estructura de ejecución especializada prevista en el artículo 10 de dicha Decisión. La estructura de ejecución especializada se creó como agencia ejecutiva mediante la Decisión de Ejecución C(2021) 953 de la Comisión, de 12 de febrero de 2021, de conformidad con el artículo 3, apartado 3, del Reglamento (CE) n.o 58/2003 del Consejo (3).

(3)

De conformidad con el artículo 9 de la Decisión (UE) 2021/764, el Consejo Científico debe estar integrado por profesionales prominentes de la ciencia, la ingeniería y la docencia con conocimientos especializados adecuados, tanto hombres como mujeres de diferentes grupos de edad, que garanticen diversidad de ámbitos de investigación y variedad de orígenes geográficos, y que ejerzan sus funciones a título personal, independientemente de cualquier interés ajeno. La Comisión debe nombrar a los miembros del Consejo Científico tras llevar a cabo un procedimiento de preselección independiente y transparente, acordado con el Consejo Científico, que incluya la consulta a la comunidad científica y la presentación de un informe al Parlamento Europeo y al Consejo.

(4)

Con el fin de garantizar el éxito de la transición a Horizonte Europa, el Consejo Científico del CEI creado mediante la Decisión C(2013) 8915 ha sido prorrogado mediante la Decisión C(2020) 9154 de la Comisión, de 16 de diciembre de 2020, hasta la fecha de entrada en vigor de la Decisión (UE) 2021/764.

(5)

Con el fin de garantizar la ejecución en tiempo oportuno del Programa Específico de Horizonte Europa, el Consejo Científico del CEI creado mediante la Decisión C(2013) 8915 ha establecido ya las posiciones preliminares en relación con las medidas que deben adoptarse de conformidad con el artículo 9 de la Decisión (UE) 2021/764. Estas posiciones preliminares deben ser refrendadas o rechazadas por el Consejo Científico creado por la presente Decisión.

(6)	Procede establecer las disposiciones necesarias para el funcionamiento del Consejo Científico.

(7)	Conviene establecer disposiciones que garanticen la cooperación entre el Consejo Científico y la estructura de ejecución especializada del CEI.

(8)	El Consejo Científico debe tener acceso a los documentos y datos necesarios para su trabajo de conformidad con el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (4).

(9)	La Decisión (UE) 2021/764 establece que se remunere a los miembros del Consejo Científico por las funciones que desempeñan. Deben establecerse las normas a tal efecto.

(10)	Procede derogar la Decisión C(2013) 8915,

DECIDE:

Artículo 1

Creación del Consejo Europeo de Investigación

Se crea el Consejo Europeo de Investigación («CEI») para el período comprendido entre el 12 de mayo de 2021 y el 31 de diciembre de 2027.

Artículo 2

Miembros del Consejo Científico

1. El Consejo Científico estará constituido por el presidente del CEI («el presidente del CEI») y otros veintiún miembros. Se designa a las veintiuna personas cuyos nombres figuran la lista del anexo I como los demás miembros del Consejo Científico para el mandato que en ella se indica.

2. Los miembros cumplirán sus funciones con independencia de cualquier influencia externa. Informarán inmediatamente a la Comisión de cualquier conflicto de intereses que pueda mermar su objetividad.

3. Los miembros serán nombrados por un periodo máximo de cuatro años, renovable una sola vez. Podrá nombrarse a un miembro por un período inferior al máximo a fin de permitir la rotación gradual del conjunto de los miembros.

4. En circunstancias debidamente justificadas, a fin de mantener la integridad o la continuidad del Consejo Científico, la Comisión, por propia iniciativa, podrá poner fin al mandato de un miembro.

5. Cuando un miembro dimita o la Comisión ponga fin a su mandato, se nombrará a un nuevo miembro. En caso de dimisión o terminación del mandato del presidente del CEI, la Comisión podrá nombrar a otro miembro del Consejo Científico o a un antiguo presidente del CEI como presidente interino del CEI, por el período limitado de tiempo que sea necesario para el nombramiento de un nuevo presidente del CEI.

Artículo 3

Funcionamiento del Consejo Científico

1. El Consejo Científico aprobará su reglamento interno, así como un código de conducta sobre confidencialidad, conflictos de intereses y tratamiento de los datos personales de conformidad con el Reglamento (UE) 2018/1725.

2. El Consejo Científico se reunirá en sesión plenaria según lo exijan sus trabajos. Se publicará en el sitio web del CEI un acta resumida de las reuniones plenarias.

3. La presidencia podrá decidir celebrar reuniones a puerta cerrada con arreglo al reglamento interno del Consejo Científico.

4. El Consejo Científico podrá establecer, de entre sus miembros, comités permanentes, grupos de trabajo y otras estructuras para abordar las tareas específicas del Consejo Científico.

5. Las posiciones preliminares del Consejo Científico mediante la Decisión C(2013) 8915 sobre las medidas que deben adoptarse de conformidad con el artículo 9 de la Decisión (UE) 2021/764 serán refrendadas o rechazadas por el Consejo Científico creado mediante la presente Decisión.

Artículo 4

Cooperación en el marco del Consejo Europeo de Investigación

El Consejo Científico y la estructura de ejecución especializada garantizarán la coherencia entre los aspectos estratégicos y operativos de todas las actividades del CEI. El presidente del CEI, los vicepresidentes del Consejo Científico y el director de la estructura de ejecución especializada mantendrán reuniones periódicas de coordinación para garantizar una cooperación eficaz.

Artículo 5

Suministro de documentos y datos

1. La Comisión y la estructura de ejecución especializada facilitarán al Consejo Científico los documentos, datos y asistencia necesarios para su trabajo, de manera que sus actividades puedan desarrollarse en condiciones de autonomía e independencia, de conformidad con el Reglamento (UE) 2018/1725.

2. En caso de que no se puedan facilitar documentos y datos o un acceso a datos personales por motivos de protección de los datos personales, confidencialidad, seguridad o interés público, la Comisión o la estructura de ejecución especializada facilitarán al Consejo Científico una explicación por escrito de los mencionados motivos, así como cualquier información sobre el asunto de que se trate que consideren posible facilitar con arreglo a lo dispuesto en la normativa.

Artículo 6

Remuneración de los miembros del Consejo Científico distintos del presidente del CEI

La normativa sobre los honorarios de las tareas realizadas por los miembros del Consejo Científico distintos del presidente del CEI y el reembolso de sus gastos de viaje y estancia figura en el anexo II.

Queda derogada la Decisión C(2013) 8915.

Hecho en Bruselas, el 12 de mayo de 2021.

Por la Comisión

Mariya GABRIEL

Miembro de la Comisión

(1) Decisión del Consejo, de 3 de diciembre de 2013, por la que se establece el Programa Específico por el que se ejecuta Horizonte 2020 – Programa Marco de Investigación e Innovación (2014-2020) y se derogan las Decisiones 2006/971/CE, 2006/972/CE, 2006/973/CE, 2006/974/CE y 2006/975/CE (DO L 347 de 20.12.2013, p. 965).

(2) C(2013) 8915 (DO C 373 de 20.12.2013, p. 23).

(3) Reglamento (CE) n.o 58/2003 del Consejo, de 19 de diciembre de 2002, por el que se establece el estatuto de las agencias ejecutivas encargadas de determinadas tareas de gestión de los programas comunitarios (DO L 11 de 16.1.2003, p. 1).

(4) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

ANEXO I

Miembros del Consejo Científico del CEI a partir del 12 de mayo de 2021

Nombre e institución	Fin del mandato
Geneviève ALMOUZNI, CNRS / Centro de Investigación Institut Curie, París	30 de junio de 2023
Manuel ARELLANO, Centro de Estudios Monetarios y Financieros, Madrid	31 de diciembre de 2022
Paola BOVOLENTA, Universidad Autónoma de Madrid	31 de diciembre de 2022
Margaret BUCKINGHAM, Institut Pasteur, París	31 de diciembre de 2021
Eveline CRONE, Universidad de Leiden	31 de diciembre de 2023
Ben FERINGA, Universidad de Groninga	31 de diciembre de 2022
Mercedes GARCÍA-ARENAL, Centro de Ciencias Humanas y Sociales, Madrid	30 de junio de 2023
Gerd GIGERENZER, Max-Planck-Institut für Bildungsforschung, Berlín	31 de diciembre de 2023
Liselotte HOJGAARD, Universidad de Copenhague	31 de diciembre de 2024
Dirk INZÉ, Universidad de Gante	31 de diciembre de 2024
Andrzej JAJSZCZYK, Universidad de Ciencia y Tecnología AGH, Cracovia	31 de diciembre de 2022
Eystein JANSEN, Universidad de Bergen	30 de junio de 2023
Michael KRAMER, Instituto Max Planck de Radioastronomía, Bonn	31 de diciembre de 2021
Rodrigo MARTINS, Academia Europea de Ciencias	31 de diciembre de 2024
Kurt MEHLHORN, Instituto Max Planck de Informática, Saarbrücken	31 de diciembre de 2022
Nicola SPALDIN, ETH Zurich	31 de diciembre de 2024
Jesper QUALMANN SVEJSTRUP, Instituto Francis Crick, Londres	31 de diciembre de 2022
Barbara ROMANOWICZ, Laboratorio Sismológico de Berkeley	31 de diciembre de 2021
Nektarios TAVERNARAKIS, Instituto de Biología Molecular y Biotecnología, Fundación de Investigación y Tecnología, Grecia	31 de diciembre de 2022
Milena ŽIC FUCHS, Universidad de Zagreb	31 de diciembre de 2023
Alice VALKÁROVÁ, Fundación Checa para la Ciencia	31 de diciembre de 2024

ANEXO II

Normativa sobre la remuneración de los miembros del Consejo Científico distintos del presidente del CEI, a la que se hace referencia en el artículo 6

Los honorarios de los miembros del Consejo Científico distintos del presidente del CEI, así como sus gastos de viaje y estancia en el desempeño de sus funciones, serán abonados por la estructura de ejecución especializada, de conformidad con un contrato que incluya las condiciones establecidas en los puntos 2 a 7.

Los honorarios de los vicepresidentes del Consejo Científico ascenderán a 3 500 euros por una asistencia completa a una reunión plenaria y a 1 750 euros por una asistencia parcial.

Los honorarios de los demás miembros a que se refiere el punto 1 ascenderán a 2 000 euros por una asistencia completa a una reunión plenaria y a 1 000 euros por una asistencia parcial.

Los complementos de los miembros del Consejo Científico y de los vicepresidentes que ocupen un puesto de responsabilidad, definido como coordinador de ámbito, presidente de comité permanente, miembro de comité director o presidente de grupo de trabajo, ascenderán a 2 250 euros al año (con el prorrateo correspondiente en caso de que el período sea inferior a un año) por cada una de esas funciones. Los miembros del Consejo Científico y los vicepresidentes podrán ejercer más de una de esas funciones, y serán remunerados en consecuencia.

Los pagos de los honorarios serán autorizados por el director de la estructura de ejecución especializada, o su adjunto, sobre la base de una lista de asistencia validada por el presidente del CEI y el director de la estructura de ejecución especializada, o sus adjuntos. La lista de asistencia indicará si cada miembro asistió a la totalidad de la reunión (asistencia completa) o solo a una parte (asistencia parcial).

Los pagos de los complementos serán autorizados por el director de la estructura de ejecución especializada, o su adjunto, sobre la base del nombramiento del miembro para cada función que haya sido validado por el presidente del CEI.

En lo que se refiere a las reuniones distintas de las plenarias, la estructura de ejecución especializada reembolsará, cuando proceda, los gastos de viaje y de estancia de los miembros del Consejo Científico que resulten necesarios para el desempeño de sus actividades, de conformidad con su contrato y con la normativa de la Comisión relativa a la remuneración de los expertos externos (1).

Los honorarios y los gastos de viaje y estancia se imputarán al presupuesto operativo del Programa Específico establecido por la Decisión (UE) 2021/764.

(1) Decisión C(2021) 3402 de la Comisión.

miércoles, 16 de junio de 2021

INFORME SOBRE PROGRAMAS DE MAESTRÍA EN INTELIGENCIA ARTIFICIAL EN EUROPA

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Université de Montpellier I Francia.
M. Sc. Institut Agronomique Méditerranéen

cferreyros@hotmail.com

RESUMEN EJECUTIVO

Programas de maestría en inteligencia artificial

Un análisis de los componentes básicos del currículo

Metadatos de publicación

El informe identifica los componentes básicos de los programas de maestría en Inteligencia Artificial (IA), sobre la base de los programas existentes disponibles en la Unión Europea. Estos bloques de construcción proporcionan un primer análisis que requiere la aceptación y el intercambio por parte de la comunidad de IA.

La propuesta analiza, en primer lugar, los contenidos de conocimiento y, en segundo lugar, las competencias educativas declaradas como resultados de aprendizaje, de 45 Programas de maestría académica de posgrado relacionados con la IA de universidades en 13 países europeos (Bélgica, Dinamarca, Finlandia, Francia, Alemania, Italia, Irlanda, Países Bajos, Portugal, España y Suecia en la UE; más Suiza y el Reino Unido).

Como parte relevante y estrechamente relacionada de la informática y las ciencias de la computación, también se han tenido en cuenta para el análisis los principales planes de estudio relacionados con la inteligencia artificial sobre ciencia de datos. La definición de un plan de estudios de IA específico además de los planes de estudio de ciencia de datos está motivada por la necesidad de una comprensión más profunda de los temas y habilidades del primero que construyen las bases de una IA fuerte frente a una IA estrecha, que es el enfoque general de la segunda.

El cuerpo de conocimiento con los bloques de construcción propuestos para la IA consta de una serie de áreas de conocimiento, que se clasifican como Esencial, Núcleo, General y Aplicado. Primero, AI Essentials cubre temas y competencias de disciplinas fundamentales que son esenciales para AI. En segundo lugar, los temas y competencias que muestran una estrecha interrelación y son específicos de la IA se clasifican en un conjunto de áreas específicas de dominio de IA Core, más un área general de IA para conocimientos no específicos de dominio. En tercer lugar, las áreas de IA aplicada se basan en los temas y las competencias necesarias para desarrollar aplicaciones y servicios de IA bajo una perspectiva más filosófica y ética. Todas las áreas de conocimiento se refinan en unidades de conocimiento y temas para el análisis.

Como resultado del estudio de los temas de conocimiento básicos de IA de la muestra de programas maestros, se observa que prevalece el aprendizaje automático, seguido en orden por: visión por computadora; la interacción persona-ordenador; representación y razonamiento del conocimiento; procesamiento natural del lenguaje; planificación, búsqueda y optimización; y robótica y automatización inteligente.

Una cantidad significativa de programas de maestría analizados se enfocan significativamente en temas de aprendizaje automático, a pesar de estar inicialmente clasificados en otro dominio. Cabe señalar que los temas de aprendizaje automático, junto con temas seleccionados sobre representación del conocimiento, representan un alto grado de similitud en los programas de ciencia de datos y IA.

Finalmente, el análisis basado en competencias de los resultados de aprendizaje de los programas maestros de muestra, basados en los niveles cognitivos de Bloom, arroja que la comprensión y la creación de niveles cognitivos son dominantes. Además, analizar y evaluar son los niveles cognitivos más escasos. Otro resultado relevante es que los programas de maestría en IA bajo la óptica disciplinaria de los estudios de ingeniería muestran una notable escasez de competencias relacionadas con la informática o la informática.

El texto integral del Informe en inglés se encuentra disponible en el enlace siguiente: https://op.europa.eu/es/publication-detail/-/publication/10b32294-be92-11eb-a925-01aa75ed71a1/language-en

martes, 15 de junio de 2021

RESILIENCIA OPERATIVA DIGITAL DEL SECTOR FINANCIERO - RESUMEN DE LA PROPUESTA DEL SUPERVISOR EUROPEO DE DATOS PERSONALES.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Université de Montpellier I Francia.
M. Sc. Institut Agronomique Méditerranéen

cferreyros@hotmail.com

SINTESIS

El 24 de septiembre de 2020, la Comisión Europea adoptó una Propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n° 1060/2009, (UE) n.° 648/2012, (UE) n.° 600/2014 y (UE) n.° 909/2014 (la «Propuesta»). La Propuesta establece un marco exhaustivo de resiliencia operativa digital para las entidades financieras de la UE basado en cinco áreas clave, a saber: la gestión de riesgos de TIC (capítulo II), la gestión, clasificación e información de los incidentes relacionados con las TIC (capítulo III), las pruebas de resiliencia operativa digital (capítulo IV), la gestión del riesgo de terceros relacionado con las TIC y la regulación de los proveedores esenciales de servicios de TIC (capítulo V) y el intercambio de información (capítulo VI).

En relación con las transferencias internacionales a proveedores terceros de servicios de TIC establecidos en un tercer país, el SEPD recuerda que toda transferencia internacional de datos personales debe cumplir con los requisitos del capítulo V del RGPD con arreglo a su interpretación en la jurisprudencia del TJUE, incluida la sentencia en Schrems II

El SEPD concluye: destacando la importancia de garantizar que cualquier operación de tratamiento de datos realizada en el ámbito de las actividades de las entidades financieras se fundamenta en una de las bases jurídicas del artículo 6 del RGPD; que las entidades financieras de incorporar a su marco de resiliencia operativa digital un sólido mecanismo de gobernanza de protección de datos; considera que en el sector financiero también deberían adoptarse códigos de conducta de conformidad con el artículo 40 del RGPD; que en la publicación de sanciones administrativas se incluya los riesgos para la protección de los datos de las personas físicas.

______________________________________________________________

Resumen del Dictamen del Supervisor Europeo de Protección de Datos relativo a la Propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014

(El texto completo del presente Dictamen está disponible en inglés, francés y alemán en el sitio web del SEPD www.edps.europa.eu)

(2021/C 229/05)

El 24 de septiembre de 2020, la Comisión Europea adoptó una Propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014 (la «Propuesta»). La Propuesta establece un marco exhaustivo de resiliencia operativa digital para las entidades financieras de la UE basado en cinco áreas clave, a saber: la gestión de riesgos de TIC (capítulo II), la gestión, clasificación e información de los incidentes relacionados con las TIC (capítulo III), las pruebas de resiliencia operativa digital (capítulo IV), la gestión del riesgo de terceros relacionado con las TIC y la regulación de los proveedores esenciales de servicios de TIC (capítulo V) y el intercambio de información (capítulo VI).

El SEPD acoge con satisfacción los objetivos de la Propuesta y considera esencial para la estabilidad del mercado financiero de la Unión Europea que las entidades financieras cuenten con un marco de gestión de los riesgos de TIC sólido, exhaustivo y bien documentado.

El SEPD destaca la importancia de garantizar que cualquier operación de tratamiento de datos, en el contexto de las actividades de las entidades financieras, tenga como referente uno de los fundamentos jurídicas establecidos en el artículo 6 del RGPD (1). El SEPD subraya, asimismo, la importancia para las entidades financieras de incorporar a su marco de resiliencia operativa digital un sólido mecanismo de gobernanza de protección de datos, que determine claramente las funciones y las responsabilidades del responsable y del encargado del tratamiento de datos, así como las actividades de tratamiento que tendrán lugar.

Con respecto a los acuerdos de intercambio de inteligencia e información sobre ciberamenazas entre entidades financieras, el SEPD destaca que la protección de datos personales no constituye un obstáculo para el intercambio de inteligencia en el sector financiero. Los requisitos de protección de datos deben considerarse, en cambio, una condición básica que debe cumplirse para asegurar la salvaguardia de los derechos individuales. En este contexto, el SEPD considera que en el sector financiero también deberían adoptarse códigos de conducta, de conformidad con el artículo 40 del RGPD, especialmente para establecer claramente las funciones de las principales partes interesadas en el tratamiento de datos personales, así como para garantizar un tratamiento justo y transparente.

En cuanto a la publicación de multas administrativas, el SEPD recomienda incluir, entre los criterios sometidos al escrutinio de la autoridad competente, los riesgos para la protección de los datos personales de las personas físicas. El SEPD recuerda, asimismo, que el principio de limitación del almacenamiento requiere que los datos personales se conserven solo durante el tiempo necesario para los fines para los que se hayan recogido.

Respecto de la notificación de violaciones de la seguridad de los datos, el SEPD señala que la redacción del considerando 42 de la Propuesta es incompatible con el artículo 33 del RGPD. El SEPD recomienda, por lo tanto, eliminar la referencia a las autoridades de protección de datos del considerando 42 de la Propuesta, así como modificar ligeramente su artículo 17, de conformidad con las recomendaciones del presente dictamen.

1. ANTECEDENTES

1. El 24 de septiembre de 2020, la Comisión Europea adoptó una Propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.^o 1060/2009, (UE) n.^o 648/2012, (UE) n.^o 600/2014 y (UE) n.^o 909/2014 (la «Propuesta»). La Propuesta establece un marco exhaustivo de resiliencia operativa digital para las entidades financieras de la UE basado en cinco áreas fundamentales, a saber: la gestión de riesgos de TIC (capítulo II), la gestión, clasificación e información de los incidentes relacionados con las TIC (capítulo III), las pruebas de resiliencia operativa digital (capítulo IV), la gestión del riesgo de terceros relacionado con las TIC y la regulación de los proveedores esenciales de servicios de TIC (capítulo V) y el intercambio de información (capítulo VI).

2. Esta Propuesta forma parte de un paquete de medidas que incluye también una propuesta de Reglamento relativo a los mercados de criptoactivos (²) (el «Reglamento MiCA»), una propuesta sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado (³), y una propuesta para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros (⁴). El SEPD fue consultado acerca de la propuesta de un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado y emitió su dictamen el 23 de abril de 2021 (⁵). Fue consultado, asimismo, sobre el Reglamento MiCA el 29 de abril de 2021 y emitirá su dictamen en consonancia con el artículo 42, apartado 1, del Reglamento (UE) 2018/725 del Parlamento Europeo y del Consejo (⁶).

3. El 15 de marzo de 2021, la Comisión Europea solicitó un Dictamen sobre la Propuesta al Supervisor Europeo de Protección de Datos (el «SEPD»), con arreglo a lo previsto en el artículo 42, apartado 1, del Reglamento (UE) 2018/1725. Estas observaciones se ciñen a las disposiciones de la Propuesta relevantes desde la perspectiva de la protección de datos.

4. CONCLUSIONES

En vista de lo anteriormente expuesto, el SEPD:

—

Destaca la importancia de garantizar que cualquier operación de tratamiento de datos realizada en el ámbito de las actividades de las entidades financieras se fundamenta en una de las bases jurídicas del artículo 6 del RGPD e indica el artículo 6, apartado 1, letras c), e) y f), del RGPD como posible base jurídica para su consideración por parte de las entidades financieras.

—

El SEPD destaca la importancia para las entidades financieras de incorporar a su marco de resiliencia operativa digital un sólido mecanismo de gobernanza de protección de datos, que determine claramente las funciones y las responsabilidades del responsable y el encargado del tratamiento de datos, así como las actividades de tratamiento que tendrán lugar.

—

El SEPD recuerda que cualquier transferencia internacional de datos personales realizada por las entidades financieras a un proveedor tercero de servicios de TIC establecido en un tercer país debe cumplir con los requisitos del capítulo V del RGPD y someterse a las salvaguardias adecuadas, en consonancia con el marco y la jurisprudencia de protección de datos del TJUE, en especial el caso Schrems II. Dichas entidades financieras pueden hacer uso de las cláusulas contractuales tipo, ya que parecen ser la herramienta más relevante para las transferencias.

—

El SEPD subraya que la protección de los datos personales no supone un obstáculo para el intercambio de inteligencia en el sector financiero. Los requisitos de protección de datos deben considerarse, en cambio, como una condición básica que se ha de cumplir para asegurar la salvaguardia de los derechos de las personas físicas en el marco de la resiliencia operativa digital de las entidades financieras.

—

El SEPD considera que en el sector financiero también deberían adoptarse códigos de conducta de conformidad con el artículo 40 del RGPD, especialmente con vistas a establecer claramente las funciones de las principales partes interesadas en el tratamiento de datos personales, así como garantizar un tratamiento justo y transparente.

—	En cuanto a la publicación de sanciones administrativas, el SEPD recomienda incluir, entre los criterios sometidos al escrutinio de la autoridad competente, los riesgos para la protección de los datos de las personas físicas.

—	De conformidad con el principio de limitación del almacenamiento, el SEPD recomienda a las entidades financieras que adopten medidas para garantizar que la información sobre las multas administrativas se elimine de su sitio web una vez transcurridos cinco años, o antes si ya no es necesaria.

—

El SEPD señala que la redacción del considerando 42 de la Propuesta es incompatible con el artículo 33 del RGPD. El SEPD recomienda, en consecuencia, eliminar la referencia a las autoridades de protección de datos del considerando 42 de la Propuesta, así como modificar ligeramente su artículo 17 para incluir una referencia a la obligación de notificación de vulneraciones de la seguridad de los datos a las autoridades pertinentes en materia de protección de datos.

—	El SEPD recomienda modificar el artículo 23, apartado 2, de la Propuesta para asegurar que no se puedan realizar pruebas, desarrollo de productos o investigaciones de los sistemas de TIC en sistemas de producción activos que contengan datos personales de clientes.

Bruselas, 10 de mayo de 2021.

Wojciech Rafał WIEWIÓROWSKI

(1) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2019, p. 1)

(2) Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los mercados de criptoactivos y por el que se modifica la Directiva (UE) 2019/1937 [COM(2020)593 final]. Disponible en https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A52020PC0593.

(3) Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado.COM/2020/594 final, disponible en https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A52020PC0594.

(4) Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se modifican las Directivas 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 y (UE) 2016/2341 [COM(2020)596 final]. Disponible en https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A52020PC0596

(5) Dictamen 6/2021 sobre la propuesta de un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado 2021-0219_d0912_opinion_6_2021_en_0.pdf (europa.eu)

(6) Reglamento (UE) 2018/1727 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, sobre la Agencia de la Unión Europea para la Coperación Judicial Penal (Eurojust) y por la que se sustituye y deroga la Decisión 2002/187/JAI del Consejo (DO L 295 de 21.11.2018, p. 138).

REGIMEN PILOTO DE LAS INFRAESTRUCTURAS DEL MERCADO BASADAS EN LAS TECNOLOGIAS DE REGISTRO DESCENTRALIZADO - RESUMEN DE LA PROPUESTA DEL SUPERVISOR EUROPEO DE DATOS PERSONALES.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Université de Montpellier I Francia.
M. Sc. Institut Agronomique Méditerranéen

cferreyros@hotmail.com

SINTESIS

El Supervisor Europeo de Protección de Datos, SEPD, observa que, en función de cómo se configure la TRD, los metadatos o los datos de operaciones almacenados en esta pueden considerarse datos personales si están relacionados con una persona física identificada o identificable. En consecuencia, los responsables del tratamiento deben analizar y documentar minuciosamente la configuración de la TRD con el objeto de determinar si en esta se tratan datos personales y, por tanto, si las correspondientes operaciones se encuentran sujetas a las obligaciones en materia de protección de datos.

La propuesta de TRD, se integra en un paquete que incluye una propuesta de Reglamento relativo a los mercados de criptoactivos (el «Reglamento MiCA»), una propuesta relativa a la resiliencia operativa digital (el «Reglamento DORA») y una propuesta para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros. El SEPD espera que también se le consulte en relación con los demás Reglamentos del paquete, en consonancia con lo estipulado en el artículo 42, apartado 1, del Reglamento (UE) 2018/1725.4

El SEPD pone de relieve que la tecnología en que se basan algunos registros descentralizados, en particular los públicos y aquellos que no requieren permisos, plantea una serie de cuestiones conceptuales cruciales relativas a los requisitos en materia de protección de datos; y recomienda, por tanto, que el debate sobre el modo de garantizar la compatibilidad de los sistemas de TRD con el marco de protección de datos tenga lugar antes de la entrada en vigor de la propuesta.

_____________________________________________________

Resumen del Dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado

(El texto completo del presente Dictamen está disponible en inglés, francés y alemán en el sitio web del SEPD: www.edps.europa.eu)

(2021/C 229/04)

El SEPD subraya que la protección de los datos personales no supone un obstáculo a la innovación y, en concreto, al desarrollo de nuevas tecnologías en el sector financiero. Al mismo tiempo, recuerda que las medidas adoptadas a nivel de la UE en relación con las tecnologías innovadoras que impliquen el tratamiento de datos personales deben respetar los principios generales de necesidad y proporcionalidad. Además de ello, dada la falta de una perspectiva completa sobre los efectos de estas nuevas tecnologías en la sociedad, considera necesario actuar conforme al principio de precaución.

El SEPD observa que, en función de cómo se configure la TRD, los metadatos o los datos de operaciones almacenados en esta pueden considerarse datos personales si están relacionados con una persona física identificada o identificable. En consecuencia, los responsables del tratamiento deben analizar y documentar minuciosamente la configuración de la TRD con el objeto de determinar si en esta se tratan datos personales y, por tanto, si las correspondientes operaciones se encuentran sujetas a las obligaciones en materia de protección de datos.

En opinión del SEPD, antes de que entre en vigor la propuesta, debería entablarse un debate sobre la compatibilidad general de los sistemas de TRD con el marco de protección de datos.

En las TRD que contienen datos personales en cadena, el SEPD considera que las operaciones de tratamiento relacionadas con estos probablemente cumplan los criterios para su clasificación como operaciones de alto riesgo. Por tanto, el responsable del tratamiento deberá realizar una evaluación de impacto relativa a la protección de datos con carácter previo a las operaciones de tratamiento de datos personales previstas. Además, es posible que resulte necesaria la autorización previa de la autoridad de protección de datos competente.

El SEPD recomienda que, cuando resulte pertinente y como parte de la solicitud destinada a gestionar información relacionada con infraestructuras del mercado basadas en la TRD, la propuesta exija que se proporcione la información esencial relacionada con las operaciones de tratamiento previstas. Recomienda también que los organismos rectores de infraestructuras del mercado basadas en la TRD deban publicar la declaración de confidencialidad en el mismo lugar que la información sobre su gestión, según lo requiera la propuesta.

El SEPD destaca que las disposiciones en materia informática y cibernética previstas en la propuesta para gestionar infraestructuras del mercado basadas en la TRD deben ser acordes también con las obligaciones recogidas en los artículos 22 y 32 del RGPD. (1)

Por último, en el contexto de la comunicación de cuestiones relacionadas con la gestión por los organismos rectores de infraestructuras del mercado basadas en la TRD, el SEPD recomienda recordar en un considerando que, en caso de violación de la seguridad de los datos personales, el organismo rector también deberá notificar este hecho a la autoridad de protección de datos competente, conforme a lo dispuesto en el artículo 33 del RGPD, y, cuando proceda, a los interesados, con arreglo a lo dispuesto en el artículo 34 del RGPD.

3. ANTECEDENTES

El 24 de septiembre de 2020, la Comisión Europea adoptó una propuesta de Reglamento del Parlamento Europeo y del Consejo sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado [COM(2020)594 final] (la «propuesta»). La propuesta establece unos requisitos armonizados para determinados participantes del mercado —empresas de servicios de inversión, organismos rectores del mercado o depositarios centrales de valores— que deseen solicitar y obtener autorizaciones para gestionar infraestructuras del mercado basadas en la tecnología de registro descentralizado («infraestructuras del mercado basadas en la TRD») en un entorno supervisado donde se apliquen ciertas exenciones al cumplimiento de la normativa financiera. En particular, la propuesta tiene cuatro objetivos: ofrecer seguridad jurídica para los criptoactivos, garantizar la estabilidad financiera, proteger a los consumidores y los inversores y permitir la innovación en el uso de la cadena de bloques, la tecnología de registro descentralizado y los criptoactivos.

Esta propuesta se integra en un paquete que incluye una propuesta de Reglamento relativo a los mercados de criptoactivos (2) (el «Reglamento MiCA»), una propuesta relativa a la resiliencia operativa digital (3) (el «Reglamento DORA») y una propuesta para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros (4). El SEPD espera que también se le consulte en relación con los demás Reglamentos del paquete, en consonancia con lo estipulado en el artículo 42, apartado 1, del Reglamento (UE) 2018/1725.

El 26 de febrero de 2021, la Comisión Europea solicitó un Dictamen sobre la propuesta al Supervisor Europeo de Protección de Datos (el «SEPD»), con arreglo a lo previsto en el artículo 42, apartado 1, del Reglamento (UE) 2018/1725. Estas observaciones se ciñen a las disposiciones de la propuesta relevantes desde la perspectiva de la protección de datos.

5. CONCLUSIONES

En vista de lo anteriormente expuesto, el SEPD:

—	recuerda que la protección de los datos personales no supone un obstáculo a la innovación y, en concreto, al desarrollo de nuevas tecnologías, en especial, en el sector financiero.

—

pone de relieve que la tecnología en que se basan algunos registros descentralizados, en particular los públicos y aquellos que no requieren permisos, plantea una serie de cuestiones conceptuales cruciales relativas a los requisitos en materia de protección de datos; y recomienda, por tanto, que el debate sobre el modo de garantizar la compatibilidad de los sistemas de TRD con el marco de protección de datos tenga lugar antes de la entrada en vigor de la propuesta.

—	insiste en que los criptoactivos negociados en las infraestructuras del mercado basadas en la TRD cubiertas por la propuesta sean exclusivamente aquellos que empleen una configuración de TRD que se ajuste al marco de protección de datos.

—

sugiere que, cuando proceda, también se incluyan, como parte de la información exigida al organismo rector en el contexto de su solicitud para gestionar una infraestructura del mercado basada en la TRD, la lista de las operaciones de tratamiento de datos personales previstas, la asignación de las funciones y las responsabilidades de cada organismo rector dentro de la infraestructura del mercado basada en la TRD con arreglo al RGPD, y los principales riesgos previstos y las estrategias de mitigación en relación con la protección de datos.

—	destaca que las disposiciones en materia informática y cibernética previstas en la propuesta con el fin de gestionar infraestructuras del mercado basadas en la TRD deben ser acordes también con las obligaciones estipuladas en los artículos 22 y 32 del RGPD.

—

recomienda recordar en un considerando, en el contexto de la comunicación de cuestiones relacionadas con la gestión por los organismos rectores de infraestructuras del mercado basadas en la TRD, que, en caso de violación de la seguridad de los datos personales, el organismo rector también deberá notificarla a la autoridad de control competente en materia de protección de datos, conforme a lo dispuesto en el artículo 33 del RGPD, y, cuando proceda, a los interesados, con arreglo a lo dispuesto en el artículo 34 del RGPD.

Bruselas, 23 de abril de 2021.

Wojciech Rafał WIEWIÓROWSKI

(3) Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014 [COM(2020)595 final]. Disponible en EUR-Lex - 52020PC0595 - EN - EUR-Lex (europa.eu).