PROYECTO DE RECOMENDACION DE PORTAL DE FILTRADO WEB - CNIL

  Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

Resumen

La CNIL lanza una consulta pública sobre su proyecto de recomendación de portales de filtrado web para garantizar su conformidad con el Reglamento General de Protección de Datos, RGPD, promover una seguridad informática respetuosa de la vida privada desde el diseño de los proyectos y fomenta la responsabilidad compartida entre los empleados y proveedores de soluciones.

Esta iniciativa se dirige principalmente a los responsables del despliegue de estas herramientas para proteger el acceso a Internet en un entorno profesional y está dirigida a todos los actores interesados, entre ellos el Delegado de Protección de Datos, DPO, y el Responsable de la Seguridad de los Sistemas de Información, RRSSI y proveedores de soluciones de filtrado.

El objetivo del proyecto es acompañar a las organizaciones en el despliegue de portales web filtrantes (proxy web), a fin de: Prevenir el acceso a sitios ilícitos o no conformes con la política de la empresa; Impedir ciberataque (phishing, ransomware) susceptibles de comprometer la seguridad de los sistemas; Responder a la obligación de seguridad de los datos.

El período de recomendación cubre exclusivamente el marco profesional, es decir, la navegación de los empleados, agentes o prestatarios en la red del empleador, pero excluye el acceso público a Wifi (punto de acceso).

La CNIL insiste en la necesidad de limitar la recopilación de datos sino a lo estrictamente necesario (principio de minimización) y asegurar que la identificación de los usuarios esté controlada por la organización, particularmente vía des técnicas de cortes o de anonimización en modo Software como Servicio, SaaS.

Esta gestión de la CNIL es saludable como un avance necesario para el apoyo de un cuadro jurídico transparente a las organizaciones que utilizan portales filtrantes respetando la protección de datos personales.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com

____________________________________________

Portal de filtrado web: la CNIL lanza una consulta pública sobre su proyecto de recomendación

28 de julio de 2025

---

La CNIL tiene como objetivo promover soluciones de ciberseguridad que cumplan con el RGPD, tanto en su aplicación como desde la fase de diseño. Para ello, somete a consulta pública su proyecto de recomendación para apoyar a los responsables del tratamiento de datos que implementan pasarelas de filtrado web y a sus proveedores.

·       

¿Qué es una portal de enlace web de filtrado?

Un portal de enlace de filtrado web, a menudo denominada proxy de filtrado web, es un dispositivo o servicio que se utiliza para controlar y supervisar el acceso a Internet mediante el filtrado de contenido web según políticas predefinidas. Su función principal es bloquear el acceso a ciertos sitios web o categorías de contenido por motivos de seguridad y cumplimiento normativo.

¿Por qué esta recomendación?

La digitalización de la actividad económica, incluída la del sector público, ha venido acompañada de un marcado aumento de las ciberamenazas, que suelen ser más efectivas y complejas. Las soluciones para abordarlas también han evolucionado. Para reforzar la seguridad, se utilizan tecnologías que combinan inteligencia artificial, mutualización y uso de información diversa, la toma de decisiones automatizada y el análisis del comportamiento del usuario.

Estas soluciones, como el filtrado de portales web, pueden contribuir al cumplimiento de los requisitos de seguridad de datos (artículo 32 del RGPD). Sin embargo, ellas se basan en tratamientos de datos que también debe cumplir con el RGPD.

A fin de acompañar a los profesionales, la CNIL está elaborando un proyecto de recomendación sobre el filtrado de los portales de enlace web, comúnmente conocidas como proxies web, que se someterá a consulta pública. El objetivo es brindar protección jurídica a los responsables del tratamiento de datos (usuarios de estas soluciones) y animar a los proveedores a adoptar un enfoque de privacidad desde el diseño.

¿Cuál es el alcance del proyecto de recomendación?

Este proyecto de recomendación se dirige a los responsables del tratamiento de datos que, como empleadores, implementan un portal web de filtrado (filtrado de URL y detección y bloqueo de cargas maliciosas) para proteger la navegación en internet en sus sistemas de información. Esto aplica a la navegación de empleados, agentes, proveedores de servicios o visitantes externos.

El alcance se limita al ámbito profesional. No aborda el uso de portales de enlace web de filtrado por parte de responsables del tratamiento de datos que proporcionan acceso a internet a través de redes Wi-Fi públicas abiertas a todos (puntos de acceso Wi-Fi), como es el caso de comercios minoristas, mediatecas u otras organizaciones, tanto públicas como privadas.

Consultar el borrador de recomendación

¿A quién va dirigida esta consulta?

Esta consulta está dirigida a:

·        a los responsables del tratamiento de datos y a los subcontratistas, en particular a sus delegados de protección de datos (OPD), a sus responsables de seguridad de los sistemas de información (OSSI) y a sus equipos;
 

·        y proveedores de soluciones de filtrado de portales de enlace web.

La CNIL desea ofrecer al mayor número posible de partes interesadas, sean o no especialistas en seguridad de los sistemas de información, la posibilidad de expresar su opinión sobre las cuestiones de protección de los derechos y libertades vinculadas al uso de pasarelas web de filtrado en el entorno profesional.

¿Cuál es el calendario de la consulta?

Esta consulta pública finalizará el 30 de septiembre de 2025.

Las respuestas a la consulta pública pueden ser colectivas y realizarse a través de federaciones, asociaciones, etc.

No es necesario formular observaciones sobre el conjunto de los formularios para responder a la consulta pública.

Participar en la consulta

¿Cuales son los próximos pasos?

Las contribuciones serán analizadas al final de la consulta pública para permitir la publicación de la recomendación final, tras su adopción por el Colegiado de la CNIL.

Esta publicación forma parte del plan de acción cibernética de la CNIL. Le seguirán otros trabajos sobre nuevas técnicas o soluciones en el sector de la seguridad de los sistemas de información.

 

Referencia del documento

El proyecto de recomendación

Proyecto de recomendación sobre el despliegue de una solución de filtrado web

[ PDF-326.65 KB ]

Texto de referencia

Para profundizar

·     Todo los contenidos de la CNIL sobre ciberseguridad

·     La Guía de Seguridad de los Datos Personales

 

·        #Ciberseguridad #Apoderado #Filtrado de portal de enlace web #Consulta

ENTRA EN VIGOR EL CODIGO DE PRACTICAS VOLUNTARIO PARA IA DE PROPOSITO GENERAL, GPAI - UNION EUROPEA.

 Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

Resumen

La Comisión Europea ha publicado el Código de Prácticas voluntario para IA de Propósito General (GPAI), el mismo que es recogido en el Boletin n° 82 del Future of Life Institute como instrumento preliminar para facilitar el cumplimiento de la Ley de IA de la UE (AI Act). El Código consta de tres capítulos escritos por separado: Transparencia, Derechos de Autor y Seguridad.

Las obligaciones previstas en el Código entraron en vigor el 2 de agosto de 2025.

Adhieren al Código múltiples actores (Comisión Europea, Oficina de IA, expertos independientes, sociedad civil, industria y ONGs). El mecanismo de aplicación previsto es la firma voluntaria del Código, la misma que supone “presunción de conformidad”, asumiendo los entes reguladores que, de suscribirse el Código, el proveedor cumple con la Ley.

El Código busca equilibrar innovación, seguridad y derechos al tiempo que reduce la carga burocrática para proveedores. El Código es un instrumento puente entre la innovación tecnológica y la regulación estricta que impondrá el AI Act. Para los firmantes, representa una ventaja regulatoria al reducir la carga administrativa. Para la Comisión, es una forma de guiar la implementación temprana y poner a prueba estándares industriales. Para la industria, es un campo de fricción: mientras unos lo ven como protección y confianza, otros lo perciben como freno a su competitividad.

En definitiva, este Código anticipa un nuevo nivel de gobernanza de IA en Europa, cuyo impacto potencial global tendrá un efecto sobre el desarrollo seguro y responsable de los modelos de propósito general. 

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com

____________________________________________

Boletín informativo n.º 82 de la Ley de IA de la UE: El Código de prácticas de GPAI entra en vigor

La Comisión Europea ha publicado un Código de prácticas voluntario para ayudar a la industria a cumplir con las obligaciones de la Ley de IA en materia de seguridad, transparencia y derechos de autor para modelos de IA de propósito general.

Risto Uuk

21 de julio de 2025

Bienvenido al boletín informativo de la Ley de IA de la UE , un breve boletín quincenal del Future of Life Institute que le ofrece novedades y análisis actualizados sobre la legislación de inteligencia artificial de la UE.

Proceso legislativo

Código de prácticas de IA de propósito general publicado: La Comisión Europea ha publicado un Código de prácticas voluntario para ayudar a la industria a cumplir con las obligaciones de la Ley de IA en materia de seguridad, transparencia y derechos de autor para los modelos de IA de propósito general (GPAI). Publicado el 10 de julio de 2025, el Código fue desarrollado por expertos independientes a través de un proceso de múltiples partes interesadas. Los Estados miembros y la Comisión evaluarán su adecuación en las próximas semanas. Una vez aprobado, los proveedores de modelos de IA que adopten voluntariamente el Código pueden demostrar el cumplimiento de la Ley de IA al tiempo que reducen la carga administrativa y obtienen una mayor seguridad jurídica en comparación con los métodos de cumplimiento alternativos. El Código consta de tres capítulos creados por separado: 1) Transparencia y 2) Derechos de autor (aplicable a todos los proveedores de modelos GPAI según el Artículo 53), y 3) Seguridad y protección (relevante solo para proveedores de modelos avanzados con riesgo sistémico según el Artículo 55). Puede encontrar preguntas y respuestas sobre el Código aquí .

La Oficina de IA invita a los proveedores de modelos de IA de propósito general a firmar el Código de Prácticas: La Oficina de IA de la UE invita a los proveedores de modelos de IA de propósito general a firmar el Código de Prácticas de IA de propósito general. Los firmantes se harán públicos el 1 de agosto de 2025, un día antes de que las obligaciones de la Ley de IA para los proveedores de IA de propósito general entren en vigor el 2 de agosto de 2025. Al firmar, los proveedores manifiestan su intención de adherirse al Código de Prácticas y se beneficiarán de un cumplimiento simplificado de las obligaciones de la Ley de IA. La Comisión centrará su labor de control en supervisar el cumplimiento del código por parte de los firmantes, lo que ofrecerá mayor previsibilidad y reducirá la carga administrativa.

La Comisión publica directrices para proveedores de modelos de IA de propósito general: La Comisión Europea ha publicado directrices para ayudar a los proveedores de modelos de IA de propósito general a cumplir con las obligaciones de la Ley de IA que entran en vigor el 2 de agosto de 2025. Las directrices proporcionan seguridad jurídica en toda la cadena de valor de la IA y complementan el Código de prácticas de la IA de propósito general. La vicepresidenta ejecutiva Henna Virkkunen afirmó que las directrices respaldan una aplicación fluida y eficaz de la Ley de IA, ayudando a los actores de la IA, desde las empresas emergentes hasta los grandes desarrolladores, a innovar con confianza, al tiempo que garantizan que los modelos sigan siendo seguros, transparentes y alineados con los valores europeos. Las directrices definen los modelos GPAI como aquellos entrenados con recursos computacionales que superan las 10^23 operaciones de punto flotante y capaces de generar contenido de lenguaje, texto a imagen o texto a vídeo. Aclaran qué constituye un "proveedor" y una "comercialización", describen exenciones para los modelos publicados bajo licencias gratuitas y de código abierto que cumplen las condiciones de transparencia, y explican las implicaciones de adherirse al Código de prácticas de GPAI. Además, especifican obligaciones para los proveedores de modelos avanzados que plantean riesgos sistémicos para los derechos fundamentales, la seguridad y la posible pérdida de control, lo que requiere evaluación de riesgos y medidas de mitigación.

La Comisión Europea ha abierto la convocatoria de solicitudes para unirse al Foro Consultivo de la Ley de IA: La Comisión Europea ha abierto la convocatoria de solicitudes para el Foro Consultivo en el marco de la Ley de IA, invitando a las partes interesadas de la sociedad civil, el mundo académico, la industria, las pymes y las empresas emergentes a contribuir a la aplicación responsable del reglamento de IA. El Foro Consultivo actuará como órgano consultivo general de la Comisión, complementando al Panel Científico que asesorará a la Oficina de IA y a las autoridades nacionales de vigilancia del mercado, específicamente sobre IA de propósito general. El foro proporcionará conocimientos técnicos independientes sobre una amplia gama de cuestiones relacionadas con la Ley de IA, incluidos los retos de normalización e implementación. El foro mantendrá una representación equilibrada de los intereses comerciales y no comerciales, la diversidad regional y la igualdad de género. Los miembros permanentes incluyen agencias clave de la UE como la Agencia de Derechos Fundamentales (FRA) y la agencia de ciberseguridad ENISA, junto con los organismos de normalización CEN, CENELEC y ETSI. Los miembros desempeñan mandatos renovables de dos años y deben participar activamente en reuniones, subgrupos y contribuciones escritas sin remuneración. El plazo de solicitud cierra el 14 de septiembre de 2025 para expertos de organizaciones con una trayectoria probada en IA.

La Oficina de IA lanza una licitación de seguridad GPAI de 9 millones de euros: La Oficina de IA de la UE ha abierto una convocatoria de licitación por valor de 9 millones de euros para obtener asistencia técnica para la aplicación de la Ley de IA, centrándose en la evaluación y la monitorización de los riesgos sistémicos de los modelos de IA de propósito general a nivel de la UE. Esta iniciativa, financiada por el Programa Europa Digital, tiene como objetivo fortalecer la capacidad de la Oficina de IA para evaluar y supervisar el cumplimiento, en particular en lo que respecta a los sistemas GPAI que plantean riesgos significativos para la seguridad pública, la protección y los derechos fundamentales. La licitación se divide en seis lotes: cinco que abordan riesgos sistémicos distintos y uno que proporciona asistencia transversal. Los lotes 1 a 5 cubren los riesgos QBRN (químicos, biológicos, radiológicos y nucleares), los riesgos de ciberdelito, los riesgos de pérdida de control, los riesgos de manipulación dañina y los riesgos sociotécnicos. Cada uno implica la modelización de riesgos y el desarrollo de escenarios, la adaptación y creación de herramientas de evaluación, la asistencia técnica para las evaluaciones y la monitorización y el análisis continuos de riesgos. El lote 6 proporciona asistencia transversal para realizar evaluaciones de agencia, centrándose en el comportamiento autónomo de los modelos en tareas dinámicas o abiertas. Los interesados ​​podrán presentar propuestas hasta el 25 de agosto de 2025.

Análisis

Reacciones de la industria al Código de Prácticas: Algunas de las principales empresas y asociaciones tecnológicas han respondido al Código de Prácticas de IA de Propósito General. OpenAI anunció su intención de firmar, sujeto a la aprobación formal de la Junta de IA durante la evaluación de adecuación. El presidente de Microsoft, Brad Smith, indicó que la compañía probablemente firmará después de revisar los documentos, dando la bienvenida a la interacción directa de la Oficina de IA con la industria. Domyn también ha anunciado su intención de firmar. Sin embargo, Meta se negó a firmar, y el director de Asuntos Globales, Joel Kaplan, lo calificó de extralimitación reglamentaria que frenará el crecimiento. Las asociaciones de la industria expresaron su preocupación por la implementación. Marco Leto Barone de ITI declaró que las empresas evaluarán si el Código ofrece una base clara y viable para el cumplimiento, advirtiendo que las medidas complejas más allá del alcance de la Ley de IA afectarían la seguridad jurídica y podrían afectar la adopción por parte de la industria. CCIA Europe criticó el Código, argumentando que todavía impone cargas desproporcionadas a los proveedores de IA.

El Código de Prácticas impulsa la seguridad de la IA: Henry Papadatos, director general de SaferAI, argumentó en AI Frontiers que el Código de Prácticas de la UE ofrece fuertes incentivos para que los desarrolladores de IA de vanguardia adopten prácticas significativamente más seguras. Las empresas que siguen el Código obtienen la "presunción de conformidad" con los artículos 53 y 55 de la Ley de IA, lo que significa que los reguladores asumen el cumplimiento si cumplen las normas del Código. Este poderoso incentivo ya había impulsado la adopción generalizada del Código de Prácticas sobre Desinformación de la UE. El Código exige procesos integrales de gestión de riesgos que exigen a las empresas predeterminar niveles de riesgo aceptables y mantener los riesgos por debajo de estos umbrales mediante la evaluación y la mitigación. El cumplimiento debe documentarse en dos instrumentos clave: un Marco (similar a las Políticas de Seguridad de la IA de Frontera existentes) y un Informe Modelo que muestre la aplicación del Marco para cada modelo (como las tarjetas modelo). Las empresas deben considerar categorías de riesgo específicas: QBRN, ciberseguridad, pérdida de control y manipulación, lo que supone una mejora significativa, ya que ningún marco empresarial actual aborda de forma exhaustiva todas estas áreas. El Código representa un avance sustancial hacia un desarrollo de IA más seguro, mejorando significativamente las prácticas actuales de la industria mediante la modelización explícita de riesgos, evaluaciones externas operacionalizadas y transparencia pública obligatoria. Es probable que su influencia se extienda globalmente, proporcionando un marco regulatorio a nivel mundial.