1. Protección de datos
a. Noticias destacadas
El Consejo y el Parlamento Europeo llegan a un acuerdo sobre el Reglamento de Inteligencia Artificial
Tras tres días de negociaciones, el Consejo y el Parlamento Europeo han alcanzado un acuerdo provisional sobre el Reglamento (UE) del Parlamento Europeo y del Consejo, por el que se establecen normas armonizadas en materia de Inteligencia Artificial y se modifican determinados actos legislativos de la Unión (en adelante, “Reglamento de IA”).
El Reglamento de IA tiene por objeto garantizar que los sistemas de IA introducidos y utilizados en el mercado europeo sean seguros y respeten los derechos fundamentales y los valores de la Unión. Además, pretende estimular la inversión y la innovación en materia de IA en Europa. El Reglamento tiene un planteamiento basado en el riesgo, en el que se establecen cuatro niveles:
- Riesgo inadmisible: Están prohibidos los sistemas de IA que vulneran derechos fundamentales.
- Alto riesgo: Aquellos sistemas que tienen un impacto negativo en la seguridad de las personas o en sus derechos fundamentales. Entre los criterios de esta clasificación, entre otros, se tiene en cuenta la aplicación y finalidad prevista del sistema, el número de personas potencialmente afectadas y la irreversibilidad de los daños.
- Riesgo limitado: Se incluyen en esta clasificación los sistemas de IA que deban cumplir obligaciones adicionales de transparencia. Por ejemplo, cuando exista un riesgo de manipulación.
- Riesgo mínimo: Todos los demás sistemas de IA que no se incluyen en las anteriores clasificaciones. A diferencia de los otros, pueden desarrollarse y utilizarse con arreglo a la legislación vigente sin tener que hacer frente a obligaciones jurídicas adicionales.
El texto aprobado introduce algunas modificaciones respecto de la propuesta de 2021. En primer lugar, se amplía el listado de los sistemas de IA de riesgo inadmisible. Así, quedarán prohibidos, entre otros, los sistemas de categorización biométrica que usan datos sensibles, los que sirven para el reconocimiento de emociones en el trabajo o en la escuela y los que manipulan el comportamiento o explotan vulnerabilidades. Se permitirá el uso de sistemas de identificación biométrica a distancia por parte de las autoridades policiales en espacios públicos, con sujeción a salvaguardias. Asimismo, será obligatorio realizar una evaluación de impacto en los derechos fundamentales para los sistemas de IA de alto riesgo y existe un derecho a obtener explicaciones sobre las decisiones que tomen estos sistemas. Para los sistemas de uso general será necesaria la elaboración de documentación técnica, el cumplimiento de la legislación de propiedad intelectual y la difusión de resúmenes detallados sobre el contenido utilizado para el entrenamiento de los sistemas.
Tras el acuerdo alcanzado, en las próximas semanas se seguirá trabajando a nivel técnico para ultimar los detalles del Reglamento de IA. El texto completo deberá ser confirmado por el Parlamento Europeo y el Consejo para su adopción formal definitiva.
Puede consultar la nota de prensa publicada sobre el acuerdo alcanzado aquí (disponible en inglés).
El Consejo de la Unión Europea adopta la Data Act
El Consejo de la Unión Europea ha aprobado el Reglamento (UE) del Parlamento Europeo y del Consejo sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (en adelante, “Data Act”).
La Data Act tiene los siguientes objetivos: i) garantizar la equidad en la asignación de valor de los datos entre los agentes del entorno digital; ii) estimular un mercado de datos competitivo; iii) abrir oportunidades para la innovación basada en los datos, y iv) hacer que los datos sean más accesibles para todos.
El nuevo Reglamento facilita el acceso por parte de los usuarios de dispositivos conectados (p.ej: electrodomésticos inteligentes, máquinas industriales inteligentes, etc.) a los datos generados por su uso. Así, establece la obligación de permitir el acceso de los datos a los usuarios.
Adicionalmente, la Data Act garantiza un nivel adecuado de protección de los secretos empresariales y los derechos de propiedad intelectual frente a posibles comportamientos abusivos. Por otro lado, contiene medidas para evitar el abuso de los desequilibrios contractuales en los contratos de intercambio de datos, donde hay una parte fuerte y otra parte débil. También se introducen salvaguardias contra las transferencias ilícitas de datos, así como normas de interoperabilidad para el intercambio y el tratamiento de datos.
Tras la adopción formal por el Consejo, la Data Act se publicará en el Diario Oficial de la Unión Europea en las próximas semanas y entrará en vigor a los veinte días de dicha publicación. Será aplicable a partir de los veinte meses siguientes a la fecha de su entrada en vigor.
Puede consultar el texto completo de la Data Act en este enlace.
b. Resoluciones y sentencias
La AEPD sanciona a DIGI con 200.000 euros por facilitar un duplicado de la tarjeta SIM de una cliente a un tercero sin su consentimiento
La Agencia Española de Protección de Datos (en adelante, la “AEPD”), en el PS 00317/2023, impone una sanción a DIGI SPAIN TELECOM, S.L. (en adelante, “DIGI”), debido a su gestión en el tratamiento de datos personales de una cliente. Un tercero, que se identificó como cliente de DIGI, solicitó a la entidad a través de WhatsApp un duplicado de la tarjeta SIM de la cliente y DIGI se lo facilitó.
En primer lugar, la AEPD declara que tanto la tarjeta SIM como los datos que se tratan para emitir un duplicado de tarjeta SIM, son datos de carácter personal de conformidad con el artículo 4.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”).
A continuación, señala que DIGI incurre en una infracción del artículo 6.1 del RGPD. En este caso se produce un SIM Swapping, esto es, un fraude que permite suplantar la identidad mediante el secuestro del número de teléfono al obtener un duplicado de la tarjeta SIM. La AEPD destaca que, en estas situaciones, la operadora en cuestión debe ser capaz de acreditar que ha seguido los protocolos de verificación cuando se les solicita el duplicado de una tarjeta SIM. En consecuencia, la AEPD considera que DIGI no efectuó correctamente la verificación, debido a que no comprobó ningún documento acreditativo de la persona que estaba solicitando el duplicado.
No obstante, la AEPD destaca que DIGI solventó la incidencia de manera efectiva. Es por este motivo que aprecia la circunstancia atenuante contemplada en el artículo 83.2c del RGPD.
Por todo lo anterior, la AEPD impone a DIGI una multa de 200.000 euros por una infracción del artículo 6.1 del RGPD.
Puede consultar el texto completo de la Resolución en este enlace.
La AEPD sanciona al padre de un menor que había utilizado la fotografía de otro para abrir un perfil falso en Instagram
La Agencia Española de Protección de Datos (en adelante, la “AEPD”), en el PS 00584/2022, resuelve un supuesto en el que un menor de edad utiliza la fotografía de otro menor de edad (en concreto, de 13 años) sin su consentimiento, para crear una cuenta falsa en Instagram. El procedimiento se abre al padre del menor, debido a que es titular de las direcciones IP desde donde se realizan la creación del perfil y el posterior inicio de sesión. En las alegaciones presentadas, el padre reconoce los hechos e indica que fue su hijo quien creó la cuenta.
Sin embargo, la AEPD considera que los hechos revisten gravedad al haberse llevado a cabo un tratamiento de datos de un menor sin base de legitimación, por lo que incurre en una infracción del artículo 6.1 del RGPD. De hecho, aplica las siguientes agravantes al fijar el importe de la sanción:
- Gravedad de los hechos, ya que la imagen se utiliza en un perfil con imágenes de contenido sexual.
- Tipo de datos tratados, ya que afectan a un menor.
- Intencionalidad de la actuación.
Por todo lo anterior, la AEPD impone al padre del menor una multa de 10.000 euros.
Puede acceder al texto completo de la Resolución haciendo clic aquí.
c. Informes y guías
La AEPD publica una Guía sobre tratamientos de control de presencia mediante sistemas biométricos
En la guía publicada, la AEPD considera el tratamiento de datos biométricos un tratamiento de datos especialmente protegidos, tanto para la identificación como para la autenticación. Por tanto, solo se podrá efectuar cuando concurra alguna de las excepciones del artículo 9.2 del RGPD.
La Guía solamente analiza en detalle dos excepciones. La excepción del artículo 9.2.b) del RGPD no solo exige que exista habilitación legal para efectuar el tratamiento, sino que además el tratamiento debe ser necesario. Según la AEPD, esta excepción resulta difícilmente aplicable a los tratamientos que tienen como finalidad el mantenimiento del registro horario y control de acceso con fines laborales. Esto se debe a que ni el artículo 34 del Estatuto de los Trabajadores ni el artículo 20 del mismo texto legal mencionan específicamente que deban usarse medios biométricos.
Por lo que respecta a la excepción del artículo 9.2.a) del RGPD, para acreditar que el consentimiento es libre, y, por tanto, puede no prestarse, resulta conveniente ofrecer un mecanismo alternativo (por ejemplo, el sistema de tarjeta). Sin embargo, la AEPD realiza las mismas consideraciones que, en relación con otros tratamientos, se producen en el ámbito laboral: es difícil demostrar que el consentimiento del trabajador se presta libremente porque no se encuentra en una posición de igualdad frente al empresario.
Puede consultar la Guía de la AEPD accediendo al siguiente enlace.
La AEPD publica un Informe jurídico sobre el acceso a datos personales contenidos en los archivos del Ministerio del Interior
La AEPD considera que la Ley 20/2022, de 19 de octubre, de Memoria Democrática (en adelante, “LMD”) es la aplicable para poder acceder a datos personales contenidos en los archivos del Ministerio del Interior. El artículo 27 de la citada Ley permite que se acceda a datos y documentos de manera íntegra, incluyendo datos personales de terceros que puedan aparecer en dichos documentos. Lo anterior, siempre y cuando el acceso tenga por finalidad acreditar la condición de víctimas e incorporarlos al procedimiento de declaración que materializa el derecho previsto en el artículo 6 de la LMD.
Finalmente, la AEPD concluye que corresponde al responsable del archivo y no a la Agencia, determinar caso por caso la conveniencia o no de una posible anonimización de los datos contenidos en el archivo. El principal motivo es que, en ocasiones, la anonimización puede mermar el reconocimiento del derecho de declaración de víctima.
Puede consultar el Informe de la AEPD pulsando aquí.
Ciberseguridad en la identidad digital y la reputación online: el INCIBE publica una guía de recomendaciones para empresas
El Instituto Nacional de Ciberseguridad (en adelante, “INCIBE”) destaca en la guía la importancia de la identidad digital para las empresas, pues es la percepción que tienen los demás de estas en el entorno digital. El INCIBE considera que los riesgos asociados a la identidad digital incluyen la suplantación de identidad, el fraude y los ataques dirigidos específicamente a una organización o persona concreta.
Para combatir estos riesgos, el INCIBE proporciona una serie de recomendaciones a las empresas, entre las cuales destacan: i) usar contraseñas seguras y únicas para cada cuenta; ii) activar la autenticación de dos factores (2FA) siempre que sea posible; iii) evitar hacer clic en enlaces o abrir archivos adjuntos de remitentes desconocidos; iv) ser cauteloso con la información que se comparte en línea; y v) tener un plan de respuesta a incidentes de seguridad.
Puede consultar la Guía del INCIBE aquí.
d. Otras noticias relevantes
La autoridad de protección de datos de Hamburgo publica un listado de asuntos a tener en cuenta a la hora de implantar un LLM Chatbot en las organizaciones
De acuerdo con el Comisario de Protección de Datos y Libertad de Información de Hamburgo, las organizaciones deben tener en cuenta lo siguiente si desean implantar un Chatbot:
- Elaboración de políticas internas de uso.
- Participación del DPO durante todo el proceso de implantación.
- Registro mediante el uso de cuentas y teléfonos profesionales y, en la medida de lo posible, sin que contengan datos personales.
- Autenticación robusta y con doble factor.
- Si se prevé el uso de los inputs por parte del proveedor, no deberían introducirse datos personales.
- Asegurarse de que las salidas no contienen datos personales.
- No consentir el uso de las entradas con fines de entrenamiento del sistema ni el archivo del historial.
- Verificar el resultado de las salidas y los sesgos que puedan contener.
- En caso de haber decisiones automatizadas, verificar la aplicación del art. 22 RGPD.
- Protección de los datos personales y los no personales, así como la información protegida de los derechos de propiedad intelectual.
Puede consultar el listado elaborado por la autoridad de protección de datos de Hamburgo pulsando aquí (versión disponible en inglés).
2. Propiedad Intelectual
El TGUE deniega el registro de la cesión de la marca “Diego Maradona” a la empresa argentina Sattvica
La empresa Sattvica solicita en 2021 ante la Oficina de Propiedad Intelectual de la Unión Europea (en adelante, “EUIPO”, por sus siglas en inglés) el registro de la cesión de la marca “Diego Maradona” a su favor. La EUIPO desestima la solicitud por falta de documentación. La empresa argentina recurre la Decisión ante el Tribunal General de la Unión Europea (en adelante, “TGUE”) y solicita que anule dicha Decisión y que ordene a la EUIPO el registro de la cesión de la marca.
En el Auto de 7 de noviembre de 2023 (asunto T-299/22), el TGUE señala que no tiene competencia para ordenar a la EUIPO el registro de la cesión de la marca. Ello se debe a que del artículo 263 del Tratado de Funcionamiento de la Unión Europea (en adelante, “TFUE”) se desprende que el TGUE no tiene competencia para dictar una orden conminatoria vinculante para las instituciones, órganos y los organismos de la Unión.
Respecto de la solicitud de anulación de la Decisión, el TGUE respalda el criterio de la EUIPO, al considerar que “los documentos aportados en apoyo de la solicitud de registro de la cesión no justifican una cesión de la marca en beneficio de dicha empresa”.
Por todo lo anterior, el TGUE desestima el recurso interpuesto por Sattvica y deniega el registro de la cesión de la marca Diego Maradona ante la EUIPO.
Puede acceder al texto completo del Auto del TGUE a través de este enlace.
3. Juego
Publicado en Castilla y León el Proyecto de Decreto del reglamento de rifas, tómbolas y combinaciones aleatorias con fines publicitarios
Este Proyecto de Decreto tiene como finalidad el diseño de un marco normativo que otorgue seguridad jurídica a todos aquellos que quieran organizar o participar en este tipo de juegos. Establece los requisitos que deben cumplirse para ser titulares de las autorizaciones administrativas y el régimen al que quedan sometidos, así como el régimen sancionador.
El reglamento entrará en vigor a los veinte días de su publicación en el Boletín Oficial de Castilla y León.
Puede consultar el Proyecto de Decreto en el siguiente enlace.
Murcia endurece las sanciones por incumplimiento de horarios en los establecimientos de juego
El Consejo de Gobierno ha respaldado el Decreto-Ley de medidas urgentes relacionadas con el régimen sancionador de espectáculos públicos, actividades recreativas ocasionales o excepcionales, y establecimientos públicos sin los permisos adecuados en la Región de Murcia.
A partir de ahora se considera una infracción grave el incumplimiento de los horarios de apertura y cierre de los Salones de Juego y Locales de Apuestas. Anteriormente se clasificaba como una infracción leve. Por lo que respecta al régimen sancionador, el Decreto-Ley unifica en un único documento las sanciones relacionadas con horarios, admisión, aforo y control de acceso, anteriormente regulado en diversas disposiciones normativas. La nueva normativa no contiene modificaciones en la labor de inspección y control, que sigue siendo responsabilidad de los municipios.
Para que el Decreto-Ley entre en vigor, es necesaria la ratificación de la Asamblea Regional en un plazo de treinta días desde su promulgación.
Puede acceder a los Acuerdos del Consejo de Gobierno haciendo clic aquí.
4. Otras noticias de interés
Se presenta en el Congreso de los Diputados una Proposición de Ley Orgánica para regular las simulaciones de imágenes y voces de personas generadas por medio de la Inteligencia Artificial
La exposición de motivos señala que las técnicas relativas a la recreación de imágenes y voces de personas mediante la IA suponen un esfuerzo para la protección de los derechos al honor, la propia imagen y la intimidad. Uno de los productos más reconocibles en este ámbito es el Deepfake.
Entre las reformas propuestas se encuentran las siguientes:
- Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen. Se pretende actualizar el apartado 7 del artículo séptimo de dicha Ley Orgánica, exponiendo como “acción lesiva de la dignidad”, “toda acción generada por la inteligencia artificial que conlleve dicho daño”.
- Ley Orgánica 10/19918, de 23 de noviembre, del Código Penal. La Proposición crea el artículo 208 bis del Código Penal, para dar entrada a las injurias cometidas por simulaciones de imágenes o voces de personas generadas por IA. Asimismo, añade una modificación del artículo 211 del Código Penal para considerar las imágenes o voces artificiales difundidas a través de redes sociales como injurias hechas con publicidad.
- Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil. Se propone modificar el artículo 727, para crear una nueva medida cautelar consistente en facilitar la retirada urgente de imágenes o audios generados por IA sin autorización.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. La Proposición propone la creación del artículo 22 bis para reforzar la protección del tratamiento de datos personales generados por IA.
- Ley 3/1991, de 10 de enero, de Competencia Desleal. Se pretende aumentar la protección de los consumidores y usuarios frente a prácticas comerciales que utilicen la IA sin advertir de su utilización de una forma clara y sobresaliente.
- Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General. La Proposición añade un nuevo delito electoral a partir de la creación del artículo 144 bis. El precepto sancionaría la difusión de forma maliciosa de imágenes o audios alterados con IA de los candidatos durante un proceso electoral y durante la jornada de la votación. Además, incorpora dos disposiciones adicionales en las que se crean el Consejo de Participación Ciudadana para la supervisión y evaluación de la IA y el Consejo Consultivo sobre el uso de la IA.
Puede consultar el texto íntegro de la Proposición de Ley Orgánica aquí.
