CONVENIO DEL CONSEJO DE EUROPA SOBRE INTELIGENCIA ARTIFICIAL, DERECHOS HUMANOS, DEMOCRACIA Y ESTADO DE DERECHO - DICTAMEN DEL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS

  Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Universidad de Montpellier I Francia.

cferreyros@hotmail.com   

Resumen  

El 18 de agosto de 2022, la Comisión Europea publicó una Recomendación de Decisión del Consejo por la que se autoriza la apertura de negociaciones en nombre de la Unión Europea con vistas a un Convenio del Consejo de Europa sobre inteligencia artificial (IA), derechos humanos, democracia y Estado de Derecho, de conformidad con el artículo 218 del TFUE.

 El SEPD formula cuatro recomendaciones principales sobre las directrices de negociación:

—    los objetivos generales de la negociación del Convenio deberán atribuir más importancia a las garantías y los derechos que han de ofrecerse a las personas - y a los grupos de personas - sujetas a los sistemas de IA, en consonancia con el enfoque principal y los objetivos del Consejo de Europa;

—  deberá mencionarse explícitamente que el Convenio es conforme con el marco jurídico vigente de la UE en materia de protección de datos;

—    en consonancia con el enfoque basado en el riesgo, deberá incluirse el objetivo de prohibir los sistemas de IA que planteen riesgos inaceptables;

—    el Convenio deberá promover la adopción de un enfoque de protección de datos desde el 

diseño y por defecto en cada fase del ciclo de vida de los sistemas de IA.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados ayudados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico  : cferreyros@hotmail.com 

___________________________________________________________

Resumen del Dictamen del Supervisor Europeo de Protección de Datos sobre la Recomendación de Decisión del Consejo por la que se autoriza la apertura de negociaciones en nombre de la Unión Europea con vistas a un Convenio del Consejo de Europa sobre inteligencia artificial, derechos humanos, democracia y Estado de Derecho

 

(2022/C 458/04)

 

[El texto completo del presente Dictamen está disponible en inglés, francés y alemán en el sitio web del SEPD: https:// edps.europa.eu]

 El 18 de agosto de 2022, la Comisión Europea publicó una Recomendación de Decisión del Consejo por la que se autoriza la apertura de negociaciones en nombre de la Unión Europea con vistas a un Convenio del Consejo de Europa sobre inteligencia artificial (IA), derechos humanos, democracia y Estado de Derecho (el «Convenio»), de conformidad con el artículo 218 del TFUE.

Habida cuenta del carácter transfronterizo de la inteligencia artificial, el SEPD acoge con satisfacción el objetivo general, perseguido por el Consejo de Europa, de elaborar el primer instrumento internacional jurídicamente vinculante sobre inteligencia artificial, basado en las normas del Consejo de Europa en materia de derechos humanos, democracia y Estado de Derecho. En consecuencia, el SEPD apoya la apertura de negociaciones para el Convenio en nombre de la Unión, y acoge con satisfacción el papel de la Unión en la promoción de una IA fiable que sea coherente con los valores de la Unión.

 

El SEPD toma nota de que el objeto del Convenio estaría regulado en la UE por la Ley de IA propuesta, y reconoce el objetivo de la Comisión de garantizar que el Convenio sea compatible con dicha Ley, teniendo en cuenta la evolución futura del proceso legislativo. No obstante, el SEPD considera que el Convenio representa una importante oportunidad para complementar la Ley de IA propuesta reforzando la protección de los derechos fundamentales de todas las personas afectadas por los sistemas de IA y, por lo tanto, aboga por que el Convenio establezca garantías claras y sólidas para estas personas.

 A la luz de lo anterior, el SEPD formula cuatro recomendaciones principales sobre las directrices de negociación:

—    los objetivos generales de la negociación del Convenio deberán atribuir más importancia a las garantías y los derechos que han de ofrecerse a las personas —y a los grupos de personas— sujetas a los sistemas de IA, en consonancia con el enfoque principal y los objetivos del Consejo de Europa;

 

—    deberá mencionarse explícitamente, en una directriz específica, que el Convenio es conforme con el marco jurídico vigente de la UE en materia de protección de datos;

 

—    en consonancia con el enfoque basado en el riesgo, deberá incluirse el objetivo de prohibir los sistemas de IA que planteen riesgos inaceptables;

 

—    el Convenio deberá promover la adopción de un enfoque de protección de datos desde el diseño y por defecto en cada fase del ciclo de vida de los sistemas de IA.

 

Además, el Dictamen ofrece recomendaciones adicionales sobre la inclusión en el Convenio de unas garantías procedimentales mínimas, así como de unos requisitos mínimos en materia de transparencia, explicabilidad y auditabilidad, cumplimiento y mecanismos de control, en el marco de la cooperación transfronteriza entre las autoridades competentes designadas por las partes del Convenio para la supervisión de las garantías y derechos que deben establecerse de conformidad con el Convenio.

1.     INTRODUCCIÓN

 

1.        El 18 de agosto de 2022, la Comisión Europea publicó una Recomendación de Decisión del Consejo por la que se autoriza la apertura de negociaciones en nombre de la Unión Europea con vistas a un Convenio del Consejo de Europa sobre inteligencia artificial (IA), derechos humanos, democracia y Estado de Derecho (1), de conformidad con el artículo 218 del TFUE («la Recomendación»).

 

2.        El objetivo de la Recomendación es autorizar la apertura de negociaciones en nombre de la Unión para un futuro Convenio del Consejo de Europa sobre IA, derechos humanos, democracia y Estado de Derecho («el Convenio»), y serviría para adoptar directrices de negociación y designar a la Comisión como negociadora de la Unión (2).

 

3.        En la exposición de motivos (3), la Comisión subraya que las negociaciones del Convenio están relacionadas con materias de competencia exclusiva de la Unión, debido también al solapamiento significativo entre el «borrador preliminar» del Convenio distribuido por el Comité sobre Inteligencia Artificial (CAI) del Consejo de Europa, por una parte, y la propuesta de la Comisión de un reglamento sobre de la IA («la Ley de IA propuesta») (4), por otra, en cuanto a su ámbito de aplicación y contenido (5).

 

4.        La exposición de motivos (6) de la Recomendación destaca que el «borrador preliminar» se propone incluir las siguientes disposiciones:

—    el objeto y el ámbito de aplicación del Convenio (marco);

—    definiciones de sistema de IA, ciclo de vida, proveedor, usuario y «sujeto de IA»;

—    determinados principios fundamentales, incluidas las garantías procedimentales y los derechos de los sujetos de IA que se aplicarían a todos los sistemas de IA, independientemente de su nivel de riesgo;

—    medidas adicionales para el sector público, así como los sistemas de IA que planteen niveles de riesgo

«inaceptables» y «significativos», determinados sobre la base de una metodología de evaluación de riesgos e impacto (que se establecerá más adelante en un anexo del Convenio);

—    un mecanismo de seguimiento y cooperación entre las partes;

—    disposiciones finales, que incluyan la posibilidad de que los Estados miembros de la UE apliquen el Derecho de la UE en sus relaciones mutuas en las materias cubiertas por el Convenio y la posibilidad de que la Unión se adhiera al Convenio.

 

5.        La Recomendación, en los considerandos 6 y 7, destaca que la celebración del Convenio puede afectar a las normas de la Unión vigentes y futuras. A fin de proteger la integridad del Derecho de la Unión y garantizar la coherencia entre las normas del Derecho internacional y el Derecho de la Unión, es necesario autorizar a la Comisión a negociar el Convenio en nombre de la Unión.

 

6.        El presente Dictamen del SEPD se emite en respuesta a una consulta realizada por la Comisión el 18 de agosto de 2022 en virtud de lo dispuesto en el artículo 42, apartado 1, del RPDUE (7). EL SEPD acoge con agrado la referencia a esta consulta en el considerando 8 de la Recomendación.

 

8. CONCLUSIONES

 49.     En vista de lo anterior, el SEPD formula las recomendaciones siguientes:

(1)   atribuir más importancia al objetivo de «asegurar un elevado nivel de protección de los derechos humanos y la preservación de los valores europeos», en consonancia con la naturaleza y el mandato del Consejo de Europa.

________________________________________________________________

(1)      COM(2022) 414 final.

(2)      COM(2022) 414 final, p. 3.

(3)      COM(2022) 414 final, p. 5.

(4)      Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (Ley de Inteligencia Artificial) y se modifican determinados actos legislativos de la Unión, COM(2021)206 final.

(5)      Véase también el considerando 5 de la Recomendación.

(6)      COM(2022) 414 final, pp. 2 y 3.

(7)      Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(2)              suprimir la palabra «incluidos» después de «el Derecho del mercado único de la UE y otros ámbitos del Derecho» en las directrices 5 y 11, a fin de reflejar mejor la interacción entre los principios generales y los derechos fundamentales, por una parte, y el Derecho derivado (Derecho del mercado único de la UE y otros ámbitos del Derecho), por otra.

(3)              añadir una directriz específica que recuerde la necesidad de lograr el equilibrio adecuado entre el interés público y los intereses de las personas sujetas a los sistemas de IA, a fin de garantizar el pleno respeto de los derechos a la intimidad y a la protección de los datos personales, así como de otros derechos fundamentales en juego, en particular el derecho a la presunción de inocencia y a un juicio justo, el derecho a una buena administración y el principio de no discriminación.

(4)              especificar en una directriz que el Convenio debe establecer determinadas garantías procedimentales y derechos mínimos para las personas afectadas por el uso de los sistemas de IA.

(5)              especificar en una directriz que el Convenio debe establecer requisitos mínimos en materia de transparencia, explicabilidad y auditabilidad de los sistemas de IA.

(6)              especificar en la directriz 14 que los riesgos sociales o de grupo que plantean los sistemas de IA también deben evaluarse y mitigarse.

(7)              especificar en las directrices de negociación que deben prohibirse aquellos sistemas de IA que planteen riesgos inaceptables, y proporcionar una lista indicativa de dichos sistemas de IA.

(8)              incluir una directriz de negociación con arreglo a la cual el Convenio debe promover la adopción de un enfoque de protección de datos desde el diseño y por defecto en cada fase del ciclo de vida de los sistemas de IA.

(9)              precisar el contenido de la directriz 17 del siguiente modo:

—    debe llevarse a cabo una evaluación de la conformidad ex ante por parte de terceros para los sistemas de IA de alto riesgo;

—    los sistemas de IA de alto riesgo deben volver a someterse a un procedimiento de evaluación de la conformidad siempre que se produzca un cambio significativo;

—    especificar el objeto y los efectos jurídicos de las certificaciones;

—    especificar que las normas técnicas, por una parte, pueden tener un impacto positivo en la armonización de productos y servicios;. y por otra, que su función es proporcionar especificaciones técnicas de las normas ya establecidas por la ley.

(10)        incluir una directriz en virtud de la cual el Convenio establezca que deben otorgarse a las autoridades de control competentes las facultades de investigación y ejecución adecuadas.

(11)        añadir una directriz de negociación destinada a garantizar que el Convenio facilite y fomente la cooperación transfronteriza entre las autoridades competentes.

 

Bruselas, 13 el octubre de 2022.

 Wojciech Rafał WIEWIÓROWSKI

APLICACIONES MOVILES: PLAN DE ACCION DE LA CNIL PARA PROTEGER LA PRIVACIDAD.

 Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Universidad de Montpellier I Francia.

cferreyros@hotmail.com   

Resumen  

La Comisión Nacional de Informática y Libertades, CNIL, en su Lettre d'information N°11 - del 24 de Noviembre de 2022, publicó el presente artículo .La nota fue publicada en francés y ha sido traducida al castellano por el suscrito con el auxilio de Google Traduction. Contiene el enlace al artículo original https://www.cnil.fr/fr/applications-mobiles-la-cnil-presente-son-plan-daction-pour-proteger-votre-vie-privee además de enlaces a otros recursos, incluyendo algunos textos para profundizar el tema y algunas palabras claves.

El Pan de Acción se articula en tres Etapas:  Etapa 1: Vigilia y diálogo para entender mejor el sector; Etapa 2: Acompañamiento y comunicación dedicados y Etapa 3: Controles y sanciones acordes con los desafíos 

La Autoridad Nacional de Protección de Datos Personales de Perú, entidad que debe cumplir y hacer cumplir la normatividad vigente en materia de protección de datos personales en el Perú, debiera interesarse y reflexionar sobre la validez de este Plan de Acción, así como, eventualmente, al establecimiento de cooperación que permita el acceso a los trabajos e investigaciones desarrolladas por la CNIL, tanto como sus homólogos en América Latina. 

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados ayudados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico  : cferreyros@hotmail.com 

___________________________________________________________

Aplicaciones móviles: la CNIL presenta su plan de acción para proteger su privacidad

24 de noviembre de 2022

---

Las aplicaciones móviles son uno de los principales medios de acceso a los contenidos y servicios digitales. La CNIL ha establecido un plan de acción para los próximos años con el fin de acompañar su cumplimiento y de proteger la privacidad de los usuarios.

El contexto

En el cuarto trimestre de 2021, los franceses utilizaron aplicaciones móviles durante 170 millones de horas, casi el doble del tiempo empleado en el primer trimestre de 2018 (fuente: "State of Mobile 2022", App Annie). Este fuerte aumento revela una rápida evolución de los usos, el smartphone se convierte cada día un poco más en el primer vector de acceso a lo digital.

La oferta de aplicaciones móviles también está creciendo e involucra a muchos actores: desarrolladores de aplicaciones, proveedores de sistemas operativos, administradores de tiendas de aplicaciones, editores de kits de desarrollo de software ( software development kits o SDK) relacionados con redes sociales o de funcionalidades técnicas, etc. En la práctica, las transferencias de datos a menudo tienen lugar entre estos diferentes actores, a veces con responsabilidades compartidas mal definidas. Si los principios y obligaciones en materia de protección de datos son bien conocidos de los operadores de sitios web y son objeto de recomendaciones de la CNIL, su implementación en el contexto de las aplicaciones móviles puede aún ser aclarada.

Por el lado del usuario, el smartphone, terminal personal por definición, se inscribe en el ámbito privado e íntimo. Es esencial para cada cual de poder controlar los datos a los que tienen acceso las aplicaciones móviles. Sin embargo, en la actualidad, los tratamientos de datos pueden resultar opacos. En particular, las informaciones sobre la existencia de colecta de datos y las razones por las cuales estos son colectados suele ser poco claras. Asimismo, el usuario puede tener dificultades para comprender la naturaleza de las autorizaciones que se le solicitan, lo que complica la expresión de sus elecciones. Finalmente, los teléfonos inteligentes incorporan muchos sensores más o menos conocidos por los usuarios (cámara, GPS, base de datos de contactos, acelerómetro, etc.) y que pueden permitir que las aplicaciones accedan a datos cuya recopilación puede ser muy intrusiva.

Dadas las importantes cuestiones de protección de la privacidad relacionadas con el uso de teléfonos inteligentes, la CNIL ha decidido actuar de manera prioritaria en estos temas.

Áreas de trabajo

La CNIL tiene la intención de seguir un plan de acción de tres etapas. En primer lugar, la CNIL continuará sus trabajos para tener un dominio completo del tema, en particular técnico. Luego, utilizará los conocimientos adquiridos para apoyar a los profesionales e informar a los ciudadanos, por ejemplo, en forma de guías y recomendaciones. Por último, realizará controles selectivos y, en su caso, ejercerá acciones represivas contra las organizaciones que no cumplan con sus obligaciones.

Etapa 1: vigilia y diálogo para entender mejor el sector

Con el fin de identificar las palancas de acción más eficaces para mejorar la protección de la privacidad, la CNIL organizó, durante los meses de septiembre y octubre, una serie de reuniones con varios actores que representan el ecosistema (proveedores de sistemas operativos, desarrolladores de aplicaciones, proveedores de SDK, etc. pero también actores de la sociedad civil y de la investigación que estudian las prácticas del ecosistema móvil).

Este enfoque debería permitir a la CNIL de asegurarse de una buena comprensión del sector. Ella completa así los trabajos ya realizado: por ejemplo, la cuestión de las aplicaciones móviles ha sido abordada durante la Jornada de Investigación sobre la Privacidad que la CNIL organizó el 28 de junio. El  Prix CNIL-Inria atribuido en 2021 también se centró en este tema.

El LINC, el Laboratorio de Innovación Digital de la CNIL, también ha comenzado a trabajar en ciertos datos particularmente "sensibles" (aunque no lo sean necesariamente en el sentido del RGPD ), en particular con un estudio sobre los datos de geolocalización obtenidos a través de aplicaciones móviles , que permiten de tener una mejor comprensión de los riesgos asociados a la colecta de este tipo de datos.

Etapa 2: acompañamiento y comunicación dedicados

Sobre la base en estos trabajos, la CNIL publicará recomendaciones sobre el tema de las aplicaciones móviles para que cada actor tenga una buena comprensión de sus obligaciones y para facilitar su cumplimiento.

Herramientas prácticas (ficha o guía práctica, checklist de autoevaluación, etc.) destinados a los usuarios podrán igualmente ser publicados para sensibilizarlos a los riesgos e impactos reales que representa el tratamiento de sus datos a través de las aplicaciones móviles destinadas a los usuarios para concienciarlos sobre los riesgos e impactos reales que representa el tratamiento de sus datos a través de aplicaciones móviles. En particular, serán objeto de trabajo específico las cuestiones relacionadas con las aplicaciones dirigidas a públicos vulnerables o el tratamiento de datos sensibles (aplicaciones médicas o aplicaciones destinadas a niños, mujeres embarazadas, etc.) o la colecta de datos provenientes de los sensores de los smartphones.

Etapa 3: controles y sanciones acordes con los desafíos

En función de las observaciones de campo realizadas durante el trabajo realizado para aclarar el marco legal, la CNIL puede decidir implementar un plan de control a implementar un plan de control a gran escala, como esto había sido llevado a cabo en el contexto de acciones relacionadas con los cookies y otros rastreadores. En particular, podría concentrarse sobre el tratamiento susceptibles de crear riesgos específicos importantes para las personas, por ejemplo,  porque ellos se dirigen a grupos vulnerables o que ellos colectan datos de una manera particularmente intrusiva.

Estas acciones complementarían los controles ya llevados a cabo regularmente sobre la base de denuncias y destinados a garantizar el cumplimiento de los principios fundamentales del RGPD por parte de los editores de aplicaciones móviles.

Al final de estos controles, dependiendo de la naturaleza y del alcance de las infracciones observadas, la CNIL puede tomar medidas correctivas, en particular sanciones pecuniarias.

La implementación de los diversos pasos antes mencionados permite a la CNIL de proceder a una regulación equilibrada que tome en cuenta las realidades operativas, económicas y técnicas de un sector, al mismo tiempo que garantiza una protección efectiva de los derechos y libertades de los usuarios.

Palabras clave asociadas con este artículo

·         #Aplicaciones

·         #teléfono inteligente