Tras la gran actividad legislativa de 2022 y con motivo de la celebración del Día Europeo de la Protección de Datos que se celebra el 28 de enero, Paradigma Digital analiza las novedades legislativas que este año las empresas deberían tener en cuenta en materia de protección de datos.
La primera es la Ley Europea de Inteligencia Artificial que, según Carmen Troncoso, Delegada de Protección de Datos en Paradigma Digital, insta al uso de la IA y el desarrollo de su industria bajo estándares democráticos con el fin de que “la tecnología complete al trabajo humano”.
La Ley Europea de Inteligencia Artificial, cuya Propuesta se aprobó el abril de 2022, será aplicable a todos los usos de la IA que afecten a los ciudadanos de la UE, independientemente de la sede del proveedor de servicios o del lugar donde se desarrolle o ejecute el sistema, dentro o fuera de las fronteras de la UE. En ella se abordan los riesgos de usos específicos de la IA, clasificándolos en 4 niveles diferentes: riesgo inaceptable, riesgo alto, riesgo limitado y riesgo mínimo, para garantizar que los europeos puedan confiar en la IA que están utilizando.
Para el desarrollo de muchas de sus previsiones, la Unión Europea ha constituido la Agencia Española de Inteligencia Artificial, primera institución de estas características en la Unión Europea, que tendrá su sede en A Coruña.
Por otro lado, el 1 de noviembre de 2022 han entrado en vigor dos normas determinantes en la UE para las plataformas online: la Ley de Mercados Digitales (Digital Markets Act, o DMA) y la Ley de Servicios Digitales (Digital Services Act, o DSA), que comenzarán a ser aplicables a partir del 2 de mayo de 2023. La primera busca poner fin a las prácticas desleales de las empresas que actúan como guardianes de la economía de las plataformas en línea, mientras que la segunda busca crear un entorno online más seguro y responsable, ofreciendo nuevas protecciones a los usuarios y seguridad jurídica a las empresas en todo el mercado único.
La DMA definirá una serie de obligaciones que deberán respetar, incluida la prohibición de que los guardianes participen de ciertos comportamientos. La DSA introduce una robusta protección de los derechos de los usuarios online y coloca a las plataformas digitales en un nuevo marco único de transparencia y responsabilidad. Para ello, la Comisión Europea está creando un Centro europeo para la transparencia algorítmica (CETA) con el fin de apoyar su función supervisora.
Explica también Carmen Troncoso que, tras la anulación del anterior acuerdo en 2020 y dos años de negociaciones, se ha aprobado un nuevo acuerdo de protección de datos entre Europa y EEUU cuyo objetivo es restaurar una base legal importante para los flujos de datos transatlánticos, en el que se pretenden abordar las cuestiones que planteó el Tribunal de Justicia de la Unión Europea, tratando así de evitar que lo vuelva a anular al considerar que Estados Unidos no daba garantías suficientes para proteger la privacidad de los datos.
“Este acuerdo explica cómo se permitirá el flujo de datos entre la UE y EE. UU. de forma predecible, fiable, equilibrando la seguridad, el derecho a la privacidad y la protección de datos» señala la , Delegada de Protección de Datos en Paradigma Digital.
En diciembre de 2022 entró en vigor la Directiva NIS 2, Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 que deroga la Directiva (UE) 2016/1148 (Directiva SRI 2).
Esta Directiva establece obligaciones de ciberseguridad para los Estados miembros, medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación, obligaciones relativas al intercambio de información sobre ciberseguridad, así como obligaciones de supervisión y ejecución para los Estados miembros.
Por otro lado, en septiembre de 2023 se aprobó por la Comisión Europea la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre requisitos de ciberseguridad horizontal para productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020. El Reglamento propuesto tiene como objetivo establecer requisitos de ciberseguridad en toda la UE para una amplia gama de productos de hardware y software y sus soluciones de procesamiento de datos remotos. Estos incluyen, por ejemplo, navegadores, sistemas operativos, firewalls, sistemas de administración de redes, medidores inteligentes o enrutadores.
