La Ley Europea de Inteligencia Artificial será aplicable a todos los usos de la IA que afecten a los ciudadanos de la UE
La Agencia Española de Inteligencia Artificial será la primera institución de estas características en la Unión Europea y tendrá su sede en A Coruña
El nuevo acuerdo de protección de datos entre Europa y Estados Unidos restaurará una base legal importante para los flujos de datos transatlánticos
El 2022 ha sido un año marcado, en todos los sentidos, por la actividad legislativa, que ha afectado a diversos ámbitos del sector empresarial. Entre ellos, el de la protección de datos y la tecnología han visto cómo a nivel europeo se han actualizado las reglas del juego.
Desde la tecnológica española Paradigma Digital han analizado las principales novedades legislativas que este año las empresas deberían tener en cuenta en materia de protección de datos. Así, según Carmen Troncoso, delegada de Protección de Datos en Paradigma Digital, estas serán las principales novedades y tendencias que pueden afectar a la protección de datos en 2023 que forman parte de la estrategia de ciberseguridad de la Unión Europea:
La Ley Europea de Inteligencia Artificial
El pasado abril se aprobaba una Propuesta de Reglamento en el que se establecían las normas armonizadas sobre inteligencia artificial en la Unión Europea. Esta norma insta al uso de la Inteligencia Artificial y el desarrollo de su industria bajo “estándares democráticos” con el fin de que la “tecnología complete al trabajo humano”.
Así, esta normativa será aplicable a todos los usos de la IA que afecten a los ciudadanos de la UE, independientemente de la sede del proveedor de servicios o del lugar donde se esté desarrollando o ejecutando el sistema, ya sea dentro o fuera de las fronteras de la Unión Europea, tal y como ocurre con el Reglamento Europeo de Protección de Datos.
La Ley Europea de IA aborda los riesgos de usos específicos de la Inteligencia Artificial, clasificándolos en cuatro niveles diferentes: riesgo inaceptable, riesgo alto, riesgo limitado y riesgo mínimo, para así poder garantizar que los europeos puedan confiar en la tecnología que están utilizando. Este reglamento también es clave para poder construir un ecosistema de excelencia e IA y posicionar a Europa como un país capaz de desempeñar un papel de liderazgo a nivel mundial, ya que sería la primera potencia mundial en disponer de este tipo de normativa.
De este modo, para el correcto desarrollo de muchas de sus previsiones, la Unión Europea ha constituido la Agencia Española de Inteligencia Artificial, siendo esta la primera institución de estas características en la Unión Europea, que tendrá su sede en A Coruña. Entre sus funciones se pueden encontrar tanto la creación de un marco de certificación voluntaria para empresas sobre el diseño responsable de soluciones digitales, el asesoramiento a empresas y entes públicos y la potestad inspectora y sancionadora, una vez entre en vigor la regulación europea sobre el uso de la inteligencia artificial, así como la realización de actividades de divulgación.
Ley de Mercados Digitales y Ley de Servicios Digitales
En otro orden, el 1 de noviembre de 2022 entraron en vigor dos normas determinantes en la Unión Europea para las plataformas en línea, aunque comenzarán a ser aplicables a partir del 2 de mayo de 2023.
En primer lugar, hablamos de la Ley de Mercados Digitales (Digital Markets Act, o DMA). Con esta norma lo que se busca es poner fin a las prácticas desleales de determinadas empresas que actúan como “guardianes” de la economía de las plataformas en línea.
Esta normativa define cuándo una gran plataforma en línea califica como “guardián”. Es decir, aquellas plataformas digitales que brindan una puerta de entrada importante entre los usuarios comerciales y los consumidores, cuya posición puede otorgarles el poder de actuar como un “creador de reglas privado” y, por lo tanto, crear un cuello de botella en la economía digital.
Por ello, para poder abordar este tipo de problemas, la DMA definirá una serie de obligaciones que deberán respetar, incluida, por ejemplo, la prohibición de que los guardianes participen en determinados comportamientos.
En lo relativo a la ley de Servicios Digitales (Digital Services Act, o DSA), esta normativa busca crear un entorno en línea que sea más seguro y responsable, a través del ofrecimiento de nuevas protecciones a los usuarios y seguridad jurídica a las empresas en todo el mercado único al regular los intermediarios en línea. De este modo, esta normativa se convierte en una de las principales referencias internacionales al ser pionera en establecer una regulación de este tipo.
En cuanto a su aplicación, se puede aplicar a todos los servicios digitales que conectan a los consumidores con bienes, servicios o contenidos. Además, crea nuevas obligaciones para que las plataformas en línea reduzcan los daños y contrarresten los riesgos en línea, introduce una robusta protección de los derechos de los usuarios en línea y coloca a las plataformas digitales en un nuevo marco único de transparencia y responsabilidad. Para su correcta aplicación, la Comisión Europea está creando un Centro europeo para la transparencia algorítmica (CETA), con el fin de apoyar su función supervisora.
Acuerdo de protección de datos entre Europa y Estados Unidos
Después de que se anulara el anterior acuerdo en 2020 y cuya vigencia se remonta a 2016, tras dos años de negociaciones, se ha aprobado un nuevo acuerdo cuyo objetivo es restaurar una base legal importante para los flujos de datos transatlánticos, en el que se pretenden abordar las cuestiones que planteó el Tribunal de Justicia de la Unión Europea, tratando así de evitar que lo vuelva a anular al considerar que Estados Unidos no daba garantías suficientes para proteger la privacidad de los datos
Este acuerdo, tal y como señala Carmen Troncoso, explica cómo se permitirá el flujo de datos entre la Unión Europea y Estados Unidos de forma predecible, equilibrando la seguridad, el derecho a la privacidad y la protección de datos.
Directiva NIS 2
El pasado diciembre entró en vigor la Directiva NIS 2, Directiva (UE) 20222/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea, por las que se modifican tanto el Reglamento (UE) 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2).
Esta Directiva establece obligaciones de ciberseguridad para los Estados miembros, medidas para la gestión, de riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación, obligaciones relativas al intercambio de información sobre ciberseguridad, así como obligaciones de supervisión y ejecución para los Estados miembros.
Propuesta de Reglamento de ciberseguridad en productos con elementos digitales
Por último, en septiembre de 2022 se aprobó por la Comisión Europea la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre requisitos de ciberseguridad horizontal para productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020. Este Reglamento tiene como objetivo establecer requisitos de ciberseguridad en toda la UE para una amplia gama de productos de hardware y software y sus soluciones de procesamiento de datos remotos. Estos incluyen, por ejemplo, navegadores, sistemas operativos, firewalls, sistemas de administración de redes, medidores inteligentes o enrutadores.
Sobre este Reglamento se pronunció el Supervisor Europeo de Protección de Datos (SEPD), subrayando la importancia que tiene la ciberseguridad de los productos con elementos digitales para proteger de manera efectiva los derechos fundamentales de las personas en la era digital, incluidos, entre otros, sus derechos a la privacidad y la protección de datos, mostrando su acuerdo con dicha propuesta y recomendando la inclusión de los principios de protección de datos.
