"ReDCE núm. 38. Julio-Diciembre de 2022"
"ReDCE núm. 38. Julio-Diciembre de 2022"
|
|
La legislación europea de los últimos años está muy centrada en torno a los derechos. Desde que la globalización se hizo más intensa y la digitalización inundó las actividades económicas, la importancia de las redes sociales y el incremento del “big data” ha obligado a Europa a reaccionar e iniciar una regulación cada vez más incisiva para afrontar los problemas de seguridad cibernética que presentan las comunicaciones a través Internet. Esta influencia de EE. UU. en nuestro continente repercute de inmediato en los Estados miembros de la Unión, que cada vez ven más mermado su poder de iniciativa legislativa en sus parlamentos nacionales.
Lo que se ha llamado “externalización del poder estatal” hace referencia a la debilidad de las democracias que conviven con grandes agencias proveedoras de servicios digitales, que escapan al control de los Estados, y cuya deslocalización geográfica impide que se sometan a relaciones jurídicas susceptibles de ser revisadas por los poderes públicos. Es aquí donde quizás tenga más sentido una vigilancia, por parte de la UE, de los intereses de los Estados que la conforman, y no tanto en la de las instituciones y su grado de democracia, más allá de situaciones intolerables o claramente infractoras de los pilares esenciales de un Estado de derecho. Y esto es así porque en este caso la incapacidad de los Estados que conforman un orden supraestatal podría ser suplido por esa mayor capacidad política de una Unión de Estados.
El blindaje europeo sobre las garantías de la privacidad estaba hasta ahora contemplado en el Reglamento de 2016 que entró en vigor el 2018, la Directiva de servicios digitales, la Directiva de mercados digitales y un Libro Blanco sobre la IA que espera ser materializado jurídicamente.
La Directiva de mercados digitales quiere romper la industria cuasi monopolística de las “big tech”, limitada ahora a grandes compañías como Amazon, Apple y algunas otras, con el peligro de que se produzca una huida de Europa de las inversiones de las multinacionales si la legislación resulta demasiado rígida.
Lo que debe contener una normativa de servicios digitales para la UE obligaría a Google, Twitter o Meta a cambiar sus comportamientos, si finalmente se cumpliera la perspectiva de que entrase en vigor para 2024. La previsión de multas en caso de incumplimiento prevé hasta un 6 por ciento de su facturación mundial, y la publicidad de los algoritmos vería restringida buena parte de su efectividad, en la medida en que el conocimiento de los datos utilizados permita el cuestionamiento de su veracidad y pertinencia.
Por otra parte, la iniciativa europea tendría un efecto indirecto en EE. UU., que se vería obligado a legislar con unas garantías en concordancia con la legislación de la Unión para así garantizar los mismos derechos; además la publicidad en algunas partes del mundo global y la transparencia de los algoritmos haría inútil cualquier intento por mantener el secretismo, debido a la fácil difusión de la información.
Así pues, la idea de la responsabilidad algorítmica supone un avance importante que parece inevitable si se quieren garantizar los derechos y proteger a las víctimas de la violencia informática, los discursos de odio, el porno de venganza o la mera exigencia de los derechos de intimidad; pero también debe estar presente en los procedimientos administrativos en los que el derecho crea sus propios algoritmos que se aplican en la práctica administrativa o judicial. Estos procedimientos administrativos están sujetos al uso de la tecnología en la resolución de sus recursos, y su utilización señala problemas como los sesgos que produce el algoritmo, que se aplican en las decisiones administrativas, sus dificultades de control, y la opacidad del procedimiento que los crea. A favor de su uso estaría la rapidez del proceso, y su racionalidad y taxatividad en el proceso de aplicación.
El Libro Blanco de la inteligencia artificial responde a la idea de abordar desde la Unión Europea una legislación efectiva sobre la tutela de los derechos fundamentales reconocidos en la Carta de Derechos Fundamentales y recoger las aportaciones de la sociedad civil y los Estados para intentar una legislación más fuerte. Lo importante para Europa es sobre todo mantener un enfoque orientado hacia la ética, que complemente la regulación procedente de las fuentes del derecho, aplicables, tanto desde la normativa de la UE –reglamentos y directivas vigentes– como de los derechos y principios del derecho europeo y de los Estados.
La importancia de una regulación de estas características demanda que se haga no solo desde la protección de los datos personales, sino que tenga un mayor alcance, porque el cruce con datos no personales, produce efectos –a veces devastadores– para la intimidad, en la medida en que relacionarlos descubre multitud de aspectos, que incumben a la intimidad y al respeto de la vida privada. Esta llamada teoría del mosaico ha de ser conocida a la hora de legislar sobre la inteligencia artificial formulando criterios que eviten dicho efecto.
Igualmente, en relación con el consentimiento, ya el Reglamento de 2016 exige que sea expreso, libre, específico y confirmado. Sin embargo, esa exigencia no es suficiente si no se completa con procedimientos más claros de información sobre las consecuencias de dicho consentimiento, o si no se liga a la visita de páginas, a veces de consulta necesaria, en las que la negativa al consentimiento no permite la entrada y, por tanto, el acceso a una información necesaria.
El Libro Blanco define la IA como una combinación de tecnologías, respecto a la que Europa aspira a ser líder mundial, que agrupa datos, algoritmos y capacidad informática. El objetivo del Pacto Verde, generar una Europa sostenible y el concepto de ecosistema de confianza, han llevado a la Comisión europea a relacionar el desarrollo tecnológico con el ecosistema sostenible y de confianza; o sea, una tecnología al servicio del desarrollo sostenible. El documento diseña, con las autoridades europeas y los Estados miembros un Programa Europa Digital, que con 4000 millones de euros promociona a las empresas, reconoce la necesidad de un marco regulador, pero no establece propuestas concretas. Se reconoce el peligro que representa el uso de los datos y los algoritmos en materias como la reincidencia criminal y otros que pueden lesionar derechos fundamentales, pero se consideran riesgos inherentes a toda actividad económica.
El Libro Blanco, para minimizar esos riesgos, propone algunas medidas: Ante la opacidad de la IA se debe reforzar la responsabilidad civil para hacer frente a los daños que se produzcan, la reformulación de los productos para detectar fugas de seguridad, un avance en la legislación que regula algunos productos menos seguros, y una fijación de las responsabilidades en la cadena de suministro. Todo ello debe llevar –según el libro blanco– a realizar aquellos cambios que sean necesarios en materia de seguridad. Todos estos cambios deben hacerse a nivel de la UE y así unificar la legislación.
Buscar el marco regulador de la IA supone analizar los elementos que la componen –los datos y algoritmos–, la protección de los consumidores, la competencia desleal y la privacidad. En ese sentido ha de regularse de manera obligatoria el uso de las aplicaciones en los procesos de contratación de personal, así como debe considerarse como un riesgo elevado su aplicación biométrica. Es imprescindible que se tengan en cuenta los datos que se introducen y su sistema de recogida, en definitiva, debe hacerse explícita la metodología de su proceso de uso. Y esa información sobre el sistema de IA debe explicar su nivel de exactitud, la aclaración de cuándo se utiliza el sistema o cuando se opta por el trabajo humano, su solidez y exactitud, los posibles fallos del sistema y la posibilidad de ataques.
Resulta también muy importante la exigencia de una supervisión humana que lo revise y lo valide; y en algunos supuestos, la posibilidad de desactivarlo, como en los automóviles que circulen sin conductor.
La consideración de un mundo digital aparece condicionada por EE. UU desde el origen de la construcción europea, no solo por el desarrollo tecnológico de la sociedad norteamericana, sino también por el liderazgo mundial que ostenta en las últimas décadas del pasado siglo, en el que Europa inició su proceso de integración más acelerado.
En lo que se refiere específicamente al tratamiento de los datos por parte de EE. UU, no se ha sido demasiado exigente. Mecanismos como el Escudo de Privacidad UE/EE. UU –acuerdo entre los dos Estados para garantizar que la transmisión de datos privados a este último Estado garantizase un nivel de protección adecuado– han sido anulados por el Tribunal de Justicia, que declaró insuficiente la garantía de ese documento, aprobado por la Decisión 2016/1250.
Existe, obviamente, la necesidad de arbitrar medidas de garantía entre ambos, por los lazos comerciales que les ligan, y como respuesta a las exigencias de un tráfico comercial global. En su trasferencia a EE. UU, Europa exige que la garantía de esos datos han de tener un alto nivel de protección. Tras las filtraciones de E. Snowden sobre secretos de vigilancia masiva, se negoció un acuerdo informal de 2015 a 2016, después de un acuerdo, el “Safe Harbor” –Puerto Seguro–, anulado por el TJUE en el mismo año 2015.
Las cláusulas pactadas tienen naturaleza contractual y exigen su observancia. La pertenencia a ese pacto permite a las empresas, que libremente se adscriban, suscribir unos principios de obligada observancia y figurar en un registro que les dotará de una certificación de que han formalizado ese compromiso. De renovación anual, las empresas quedan obligadas a facilitar información sobre los datos que utilizan, los motivos de su uso, las trasferencias que realicen, y atender las quejas y reclamaciones que les puedan formular.
Estas quejas se pueden presentar ante la propia empresa, mediante un mecanismo de recurso independiente, ante el Departamento de comercio de los EE. UU e incluso en el miso panel del escudo, si no se obtuvo satisfacción. Resuelve un organismo privado. Cada Estado contará con una autoridad de protección de datos.
El Escudo de Privacidad contará con un panel compuesto por tres árbitros neutrales –cuyo fin es evitar que se acuda a los tribunales–, que emite decisiones vinculantes y ejecutables en EE. UU y la presentación de la reclamación se puede efectuar por persona física ante la misma empresa, el organismo independiente o la autoridad nacional. El arbitraje tendrá lugar en los EE. UU con garantías de audiencia y abono de los costes salvo los honorarios de letrado. El plazo es de 90 días, y las consecuencias son de rectificación, corrección o eliminación de los datos. Las posibilidades indemnizatorias no son factibles sin acudir a los tribunales de EE. UU, conforme a la ley del arbitraje.
Como nuevo mecanismo se establece la figura del Defensor del Pueblo, alto funcionario del Departamento de Estado de los EE. UU., como órgano independiente, con capacidad de investigar en tiempo y forma, al que puede acudirse con independencia de otras acciones.
La Comisión había declarado adecuada la protección del Escudo de Privacidad en la Decisión de Ejecución (UE) 2016/1250 de 12 de julio, en un extenso documento por el que valoraba el Escudo a la luz de Directiva 95/46 CE, al considerar que los EE. UU. garantizaban el nivel adecuado de protección de los datos trasferidos en su art. 25.1. Y además se compromete al seguimiento y evaluación de las situaciones nuevas que se vayan produciendo en relación con este tema, y a la posibilidad de modificar su criterio en función del cumplimiento que los EE. UU. hagan de la trasferencia de los datos. No obstante, el TJUE estimará la demanda de violación de los derechos, y declarará el Escudo falto de protección legal.
La STJ de la Gran Sala de 16 de julio de 2020 fue dictada en relación con un ciudadano austríaco, el Sr. Schrems, que reclamó a un juzgado de Irlanda contra el hecho de que sus datos se hubieran trasferido a Facebook de EE. UU. El juzgado austríaco interpuso una cuestión prejudicial alegando el escaso nivel de protección de los derechos de los ciudadanos europeos y el art. 47 Carta, y se preguntaron once cuestiones, entre otras: Si una trasferencia de datos a terceros países está dentro de la protección del reglamento de 2016, cuál es el nivel de protección exigido por el art 46, si la autoridad competente está obligada a suspender el envío, si la decisión CPT es vinculante y si el Defensor de pueblo es suficiente.
El TJUE decidió que las autoridades de control no pueden suspender la trasferencia de datos, si no existe previamente una declaración de invalidez del Escudo de Privacidad, decisión que llevada a cabo por el TJ. El art. 45 de este reglamento faculta a la Comisión para evaluar si a la vista de su legislación interna o de sus compromisos internacionales, se dan las garantías suficientes para que la UE pueda permitir la exportación de sus datos. Y en los arts. 46 a 49 se regula la exigencia de que ese tratamiento contenga acciones legales, para que el particular pueda exigir legalmente esos derechos.
El reclamante era usuario de Facebook y pedía que se prohibieran las trasferencias de sus datos porque los EE. UU no ofrecían suficientes garantías de privacidad. La pretensión se desestimó por considerar que los Estados Unidos ofrecían un puerto seguro, pero en su recurso, el Tribunal de Justicia invalidó la Decisión 2000/520 de la Comisión por la que se había declarado que los EE. UU ofrecían un nivel suficiente de protección en el tratamiento de los datos.
De este modo, el Escudo de Privacidad queda anulado. Fundamentalmente esa anulación se basa en que la institución estadounidense del Defensor del Pueblo no se ajusta a las exigencias de la Unión, al carecer de las garantías suficientes, tanto por su falta de independencia, como por la existencia de normas que le faculten para adoptar decisiones vinculantes respecto de los servicios de inteligencia estadounidenses.
La nueva directiva tiene como finalidad el desarrollo de las medidas de ciberseguridad que garanticen la circulación informativa en la prestación de servicios esenciales en sectores fundamentales de la economía en condiciones seguras. La valoración que en ella se hace acerca de la Directiva de 2016 es muy positiva en lo que se refiere al cambio de mentalidad operado en la Unión sobre la toma de conciencia de las exigencias de una sociedad digital. La creación del Grupo de Cooperación y la red de equipos de respuesta a los incidentes de seguridad informática han puesto de relieve la necesidad de algunos cambios. La exigencia de hacer frente a las amenazas de seguridad en la constante evolución de los sistemas cibernéticos, aconsejan ––por lo tanto–– la revisión de la Directiva vigente, y su sustitución por una nueva que tenga en cuenta los avances producidos por la tecnología en estos años.
Igualmente, las diferentes formas de acometer la seguridad de los Estados miembros precisan de una uniformidad que permita asegurar el tráfico de datos también en las zonas transfronterizas, por lo que esta nueva Directiva eliminará las divergencias estableciendo mecanismos que garanticen un marco regulador coordinado, actualizando una lista de servidores y actividades sujetas a las obligaciones de ciberseguridad, con vías de recurso eficaces para garantizar su cumplimiento. El ritmo de crecimiento de la sociedad digital evidencia así que, a solo seis años de distancia, como se reconoce en esta nueva Directiva, la anterior “ha quedado obsoleta”. Esta ampliará a sectores más amplios de la economía a todos los sectores de servicios de vital importancia, estableciendo un criterio uniforme del tratamiento de los datos del tráfico comercial sin distinguir entre servicios esenciales y servicios digitales. Así se regula en el art. 1 que declara que la Directiva “tiene por objeto establecer medidas para alcanzar un nivel común de ciberseguridad en toda la Unión” de cara a mejorar el funcionamiento del mercado interior. Y ello con cuatro tipos de medidas:
1- Obligaciones de los Estados miembros de adoptar estrategias nacionales de ciberseguridad, con designación de autoridades competentes en la materia, gestión de crisis y equipos de respuesta a los incidentes (CSIRT).
2- Medidas para la gestión de esos riesgos con obligación de notificación a las entidades que pudieran quedar afectadas.
3- Normas y obligaciones relativas al intercambio de información sobre ciberseguridad.
4- Obligación de supervisión y ejecución para los Estados miembros.
El art. 5 considera, como es de costumbre en los documentos jurídicos de la Unión, la posibilidad de un nivel más elevado de seguridad por parte de los Estados miembros, de manera que la Directiva tendrá carácter de mínimos con la sola exigencia de que cualquier otra medida no podrá ser contraria al derecho de la UE. Igualmente, en el art. 9 se exige que cada Estado cree un marco nacional para la gestión de los incidentes y las crisis de ciberseguridad con la garantía de que cuente con los recursos adecuados a estas funciones, así como al establecimiento de un plan nacional de respuesta a las crisis presentadas. Este plan cumplirá una serie de exigencias mínimas:
-medidas y actividades de preparación
-funciones y responsabilidad de las autoridades en el ejercicio de la gestión
-procedimiento de ejecución de la crisis
-medidas de preparación y actividades de formación
-infraestructura y determinación de las partes públicas y privadas
-mecanismos y procedimientos de gestión entre el estado parte y la UE
Tanto los Grupos de Cooperación como la red prevista en esta nueva Directiva (CSIRT) deberán mantener una cooperación y relación efectiva entre los Estados y entre estos con la Unión. Para facilitar esta situación se crea un organismo nuevo, la Red Europea de organizaciones de enlace para la crisis de ciberseguridad (EU-C y CLONe).
El art. 24 regula la certificación de ciberseguridad como un requisito que los Estados puedan exigir a las empresas que se dediquen a esta actividad, además de la integración en un registro creado con la finalidad de controlar a los proveedores de DNS.
La capacidad sancionatoria a empresas que incumplan los requisitos establecidos por los Estados para el ejercicio de actividades propias de ciberseguridad, se regula en los art. 33 y ss. y prevén la supervisión y sanción administrativa de las infracciones en que puedan incurrir. Finalmente, la Directiva entrará en vigor de manera casi inmediata, a los veinte días de su publicación en el DOUE.
Resumen: La digitalización ha obligado a Europa a desarrollar una legislación que afronte los problemas de seguridad cibernética centrada cada vez más en los derechos. Las garantías de privacidad estaban hasta ahora contempladas en el Reglamento de 2016, la Directiva de servicios digitales, la Directiva de mercados digitales y un Libro Blanco sobre la IA. La Directiva introdujo la responsabilidad algorítmica; el Libro Blanco de la inteligencia artificial abordó la protección desde un enfoque orientado hacia la ética, que complemente la regulación procedente del derecho; mientras que el Reglamento de 2016 estableció exigencias sobre el consentimiento que, sin embargo, han resultado insuficientes. El marco regulador de la IA supone analizar los elementos que la componen –los datos y algoritmos–, la protección de los consumidores, la competencia desleal y la privacidad, así como el uso concreto de las aplicaciones, su metodología, los posibles fallos y ataques, y la exigencia de la supervisión y validación humana. En Europa, el mundo digital aparece condicionado por la regulación de los EE. UU. Respecto al tratamiento de los datos se han establecido mecanismos como el Escudo de Privacidad UE/EE. UU que han sido anulados por el Tribunal de Justicia, que declaró insuficiente la garantía de ese documento, aprobado por la Decisión 2016/1250 (STJ de la Gran Sala de 16 de julio de 2020). Por último, la Directiva (UE) 2022/2555 del Parlamento europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel de ciberseguridad en toda la Unión ha tenido como finalidad el desarrollo de las medidas de ciberseguridad que garanticen la circulación informativa en la prestación de servicios esenciales en sectores fundamentales de la economía. Para ello creó un Grupo de Cooperación y una red de equipos de respuesta a los incidentes de seguridad informática. Sin embargo, en apenas seis años ha quedado obsoleta por los avances tecnológicos, que aconsejan una nueva Directiva.
Palabras claves: Digitalización, servicios digitales, mercados digitales, inteligencia artificial IA, responsabilidad algorítmica, ética, consentimiento, escudo de privacidad, seguridad cibernética.
Abstract: Digitalisation has forced Europe to develop legislation to address cyber security issues with an increasing focus on rights. Privacy safeguards were so far covered by the 2016 Regulation, the Digital Services Directive, the Digital Markets Directive and a White Paper on AI. The Directive introduced algorithmic liability; The White Paper on artificial intelligence addressed protection from an ethics-oriented approach, complementing regulation from law; while the 2016 Regulation sets out requirements on consent which, however, have proved insufficient. The regulatory framework for AI involves analysing its constituent elements - data and algorithms - consumer protection, unfair competition and privacy, as well as the specific use of applications, their methodology, potential failures and attacks, and the requirement for human oversight and validation. In Europe, the digital world appears to be conditioned by the US regulation. These have been annulled by the Court of Justice, which declared the guarantee of this document, approved by Decision 2016/1250 (Grand Chamber of the European Court of Justice of 16 July 2020), to be insufficient. Finally, the Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures to ensure a high level of cybersecurity throughout the Union aimed at developing cybersecurity measures to ensure the flow of information in the provision of essential services in key sectors of the economy. To this end, it set up a Cooperation Group and a network of computer security incident response teams. However, in just six years, it has been rendered obsolete by technological developments, which make a new Directive advisable.
Key words: Digitalisation, digital services, digital markets, artificial intelligence AI, algorithmic responsibility, ethics, consent, privacy shield, cyber security.
Recibido: 15 de diciembre de 2022
Aceptado: 18 de diciembre de 2022
______________________________________
