Compliance y protección de datos en el ámbito de las nuevas tecnologías

La inclusión de la legislación de protección de datos dentro de los programas de compliance es una realidad indiscutible en la vida de las organizaciones, especialmente por el alto grado de exposición de las empresas al mundo de las nuevas tecnologías. Esta exposición puede estar motivada por diferentes causas, como la mejora de la gestión, la calidad o la mayor seguridad de los datos personales que trata la entidad en su condición de responsable del tratamiento. Por ello, las regulaciones europeas han incorporado la transformación digital dentro de la Estrategia Europea de Datos.

Son consideradas nuevas tecnologías el metaverso, el machine learning o el Big Data, haciendo especial mención a la Inteligencia Artificial (IA) por el impacto mediático que ha supuesto. Consecuencia de todo ello, y enfocándonos en la privacidad y seguridad de la información, podemos destacar, entre otras, las siguientes regulaciones de la UE:

• European Law on Artificial Intelligence (AI)
• Law on Digital Markets and Digital Services
• NISS Directive 2- (Common cybersecurity in EU)
• Proposal for a Regulation on Cybersecurity in products with digital elements

Es importante tener en cuenta que en ningún supuesto debe considerarse el uso de las nuevas tecnologías como una barrera infranqueable por los riesgos que puede suponer para la seguridad de los datos o los derechos de los interesados. Si será necesario, para evitar estos riesgos, en base al principio de by design, valorar los riesgos inherentes y reales que conlleve su utilización, e implementar los controles necesarios para mitigarlos, asegurando así un riesgo aceptable para los titulares de los datos y para la entidad. En esta línea de uso legal y ético de la IA, el Parlamento Europeo señala como prácticas prohibidas aquellas que supongan actuaciones subliminales o discriminatorias, cuando aplique a sujetos vulnerables, conlleve reconocimiento biométrico o monitorización y, por último, su uso por la Autoridad Pública.

A título de ejemplo, y en el ámbito de recursos humanos, el uso de IA que genere información del rendimiento laboral podría tener como consecuencia prácticas discriminatorias. Estas prohibiciones responden a la necesidad de implementar los controles necesarios, y evitar cualquier efecto individual o social que pueda suponer un riesgo para la libertad o los derechos de las personas. Igualmente, aplicaría a aquellos tratamientos de vigilancia masiva, automatizados sin intervención humana, o que pongan en riesgo la autonomía del interesado.

* Si no ves correctamente el módulo de suscripción, haz clic aquí

La regulación actual de las nuevas tecnologías debe cumplir, entre otras legislaciones, con el Reglamento Europeo de Protección de Datos Personales (GDPR), y alinearse con las actuales propuestas regulatorias en el ámbito de los servicios y mercados digitales o certificaciones. Las Certificaciones constituyen una buena práctica y, por ello, en apoyo y para difusión de las mismas, el EDPBha adoptado, con fecha 14 de febrero de 2023, la “Guidelines 07/2022, en su versión 2.0, de la certificación como herramienta de transferencia de datos personales”.

Otras buenas prácticas a tener en cuenta son el análisis de riesgo y evaluaciones de impacto, los procesos de anonimización o seudoanonimización de los datos personales, la formalización de contratos de encargo de tratamiento de datos con los proveedores de servicios y el cumplimiento de las legislaciones sectoriales aplicables.

No podemos olvidar que otra tecnología que puede conllevar un elevado riesgo en su utilización y tratamiento es el de los datos biométricos. La singularidad del mismo se debe a que se tratan datos en relación con las características físicas, psicológicas o de comportamiento de una persona física y, por ello, pueden permitir la identificación única de la misma. Así, por medio de imágenes faciales, dactilares, etc. se puede propiciar la elaboración de perfilados o de monitorización, que son riesgos específicamente identificados en el RGPD.

Por último, es necesario hacer referencia a los nuevos conceptos de Internet de las cosas (IoT) e Internet de los cuerpos (IoB). Esta tecnología tiene gran importancia en el ámbito de la salud, ya que, por ejemplo, mediante el uso de smartphones se recogen datos de salud, así como información relativa a la actividad deportiva o el estilo de vida de los usuarios del móvil (wearables).

TE PUEDE INTERESAR

¿Cuántos abogados sobran en España? Así impactará la IA en el trabajo de los bufetes

Pedro del Rosal María Jesús Labarca

En este punto, parece importante destacar los ataques de ciberseguridad a través de hackers, los cuales pueden exponer la seguridad e integridad de los datos de salud custodiados en miles de dispositivos médicos, apps médicas, plataformas de salud, etc. Centrándonos en el ámbito de los IoB, vamos a profundizar en algunos avances tecnológicos del ámbito sanitario, como la implantación de microchips en el cuerpo humano. Es evidente la gran potencialidad de estas nuevas posibilidades de la inteligencia artificial, pero no podemos olvidar la necesidad de establecer límites, especialmente desde el punto de vista ético.

De no ser así, podemos poner en peligro la dignidad humana y los derechos fundamentales que puede llevar al denominado transhumanismo o movimiento cultural e intelectual que tiene como objetivo final transformar la condición humana mediante el mejoramiento tecnológico. Específicamente, el transhumanismo, como movimiento ideológico, defiende la mejora de las capacidades físicas, intelectuales y psíquicas del ser humano mediante el uso de tecnología y métodos científicos, y propugna el uso de la manipulación genética y la nanotecnología como métodos para mejorar a las personas.

Así, podemos clasificar los riesgos de estos microchips en tres niveles:

El primero de ellos, desde el punto de vista de la privacidad, en cuanto supone el uso masivo de datos personales, muchos de ellos considerados sensibles. Por ello, resulta fundamental el cumplimiento de la normativa de protección de datos, especialmente en lo referente a la aplicación de principios fundamentales como el de legitimación, transparencia y minimización. Todo ello acompañado del necesario análisis de riesgo e impacto.

"Reflexión y consciencia de que esta integración tecnológica pondrá a prueba nuestros valores y principios éticos como sociedad"

En segundo lugar, hay que destacar los riesgos que en el campo de la ciberseguridad suponen estos dispositivos. La entidad deberá aplicar desde las fases iniciales de diseño y desarrollo el principio by design, adelantándose y concienciándose de todas las medidas de carácter técnico y de privacidad necesarias ante posibles ataques o hackeo de terceros. El actual entorno inalámbrico, de uso de clouds de almacenamiento o sistemas GMP, supone un gran reto de seguridad tecnológica.

El último reto es el del cumplimiento normativo o compliance. Las entidades deben adquirir un compromiso serio en el cumplimiento de la normativa vigente, tanto de ámbito general como sectorial, adaptándose a los futuros cambios normativos. Todo ello sin olvidar, desde el punto de vista interno, los necesarios códigos o principios éticos de la propia entidad. A este respecto, merece especial mención la anteriormente citada regulación europea, en la que ocupa un lugar fundamental la transformación digital dentro de la Estrategia Europea de datos. Igualmente, la AEPD, en su “Guía de principios a tener en cuenta en las auditorías de IA”, de enero de 2021, destaca la importancia de disponer de un listado de objetivos de control y controles, que deben ir acompañados de códigos de conducta y Certificaciones.

En conclusión:

• Reafirmar la importancia de que las organizaciones adopten, dentro de sus programas de compliance, una buena política de protección de datos y de gobernanza.
• Necesario cumplimiento de las actuales normativas de Protección de Datos Personales, no solo en el ámbito nacional, sino también europeo o internacional, especialmente si se llevan a cabo transferencias internacionales.

• Integración de la figura del CISO, DPO, Compliance Officer y la reciente figura del Ciber Compliance en la entidad.
• Una labor de difusión y formación constante de los profesionales de la entidad.
• Aceptar que, dada la evolución que está sufriendo este entorno tecnológico, cualquier normativa o guía a seguir no podría ser sino con un carácter dinámico y vivo, cuyas futuras versiones tendrán que reflejar la realimentación de la experiencia y la innovación.
• Reflexión y consciencia de que esta integración tecnológica pondrá a prueba nuestros valores y principios éticos como sociedad.
• Las empresas que están rompiendo el molde son aquellas que están viendo más allá de la responsabilidad social y hacia la innovación. Estas empresas son la vanguardia de un nuevo paradigma: ven en las necesidades de la comunidad oportunidades para desarrollar ideas y demostrar tecnologías, para encontrar y servir a nuevos mercados y para resolver problemas de negocio- Rosabeth Moss Kanter, Harvard Business Review.

* Patricia Muleiro, DPO y Compliance Officer en la Clínica Universidad de Navarra y vocal de la Junta Directiva de CUMPLEN.