L’IA dans tous ses états.

IA en todas sus formas

Vigilancia Legal No. 52 – Octubre de 2022

El 17 de octubre de 2022, la CNIL confirmó, al sancionar a la empresa Clearview AI con 20 millones de euros, su competencia como regulador en el ámbito de la inteligencia artificial.

Esta sanción es consecuencia de un requerimiento que quedó sin respuesta y de la falta de colaboración de la empresa durante el procedimiento de inspección.

Adoptada tras un procedimiento de consulta a nivel europeo, se suma a las sanciones pronunciadas por varios de sus homólogos contra esta misma empresa.

  • La CNIL señala la ausencia de base legal para la recopilación sistemática y generalizada de veinte mil millones de imágenes de rostros accesibles públicamente en millones de sitios web, imágenes comercializadas por la empresa, en particular, a las fuerzas del orden.
  • La CNIL considera que, dado el carácter particularmente intrusivo y el carácter biométrico de los datos, la recogida debería haber estado sujeta al consentimiento previo de los interesados.
  • También constata que la empresa no respeta los derechos de acceso y cancelación de los interesados.

Esta decisión se produce en un contexto de supervisión cada vez más precisa de la inteligencia artificial a nivel nacional e internacional.

El Consejo de Estado Así, a finales de verano adoptó dos documentos en los que se pronuncia sobre la gobernanza de la futura reglamentación europea sobre la IA:

En su documento del 30 de agosto de 2022, el Consejo de Estado aborda la cuestión de la calidad del servicio público y sienta las bases de una estrategia francesa en materia de IA.

Entre otras cosas, fomenta el refuerzo de los poderes de la CNIL y la responsabilización formal de la regulación de los sistemas de IA.

Por lo tanto, recomienda una transformación de la CNIL, que se convertiría en "la autoridad nacional de control encargada de la regulación de los sistemas de IA, en particular los públicos, para encarnar e internalizar el doble desafío de proteger los derechos y libertades fundamentales, por un lado, y la innovación y el rendimiento público, por otro".

El 27 de septiembre, el Consejo de Estado También publicó un estudio sobre la supervisión de las redes sociales en el contexto del desarrollo de la IA, en el que hace 17 recomendaciones para reequilibrar las fuerzas a favor de los usuarios, equipar a las autoridades públicas en su papel de regulador y pensar en las redes sociales del mañana.

Por su parte, Parlamento La CNIL investiga la cuestión de la videovigilancia y el reconocimiento facial: una misión de investigación fue lanzada el 13 de septiembre por la Comisión de Derecho de la Asamblea Nacional, confiada a Philippe Latombe, diputado y miembro del colegio de la CNIL.

Los parlamentarios deberán comprender "los desafíos que supone utilizar imágenes de seguridad en el dominio público para combatir la inseguridad" y se centrarán en particular en el reconocimiento facial.

Esto implicará hacer un inventario de los dispositivos autorizados recientemente, como cámaras corporales y drones, y considerar posibles desarrollos como cámaras aumentadas, con vistas a producir una propuesta legislativa.

Mencionemos también la apertura de negociaciones para una convención de la Consejo de Europa sobre inteligencia artificial, derechos humanos, democracia y estado de derecho.

Sería el primer instrumento internacional jurídicamente vinculante sobre inteligencia artificial.

Esta convención complementaría la regulación sobre inteligencia artificial propuesta por la Comisión Europea, reforzando la protección de los derechos fundamentales de las personas.

EL Supervisor Europeo de Protección de Datos Acogió con satisfacción esta iniciativa, aunque recordó los sistemas de IA que, según él, plantean riesgos inaceptables y deberían prohibirse, a saber:

  • Puntuación social,
  • Identificación biométrica en espacios públicos,
  • Categorización de individuos basada en datos biométricos
  • La categorización de los individuos en función de sus emociones percibidas.

Cabe recordar que la regulación de IA propuesta por la Comisión Europea apoya este enfoque al prohibir las técnicas de IA más intrusivas, como aquellas que manipulan a los individuos o permiten la puntuación social.

Todavía insuficiente para los defensores de las libertades y excesivo para sus detractores.

Cabe recordar que Estados Unidos envió a finales de octubre un documento no oficial a varias capitales y a la Comisión Europea, con el objetivo de convencerles de limitar el alcance de la futura normativa y ampliar sus excepciones para mantener una mayor flexibilidad en los posibles usos de la inteligencia artificial.

Estados Unidos También están preparando regulaciones de IA: el 4 de octubre, el presidente Joe Biden presentó la “Carta de Derechos de la IA”, que describe las cinco garantías de las que deberían beneficiarse los estadounidenses:

  • Sistemas seguros y eficientes,
  • Protección contra la discriminación algorítmica,
  • Confidencialidad de los datos,
  • Notificaciones y explicaciones sobre cómo funciona la IA,
  • Alternativas humanas a las decisiones automatizadas.

Por último, cabe señalar que los reguladores de protección de datos de más de 120 países han acordado un marco para el uso del reconocimiento facial en la 44ª Asamblea Mundial de Privacidad que se celebró en Estambul a finales de octubre.

La resolución exige que la entidad que utilice la tecnología

  • Establecer “su carácter razonable, necesario y proporcional”,
  • Evalúa el respeto a los derechos de las personas
  • Garantiza el uso fluido de la tecnología.

También deben establecerse mecanismos de rendición de cuentas claros y eficaces.

Y también

Francia:

Delito cibernético: El Ministro Delegado de Asuntos Digitales y el Ministro de Salud anunciaron un presupuesto de 20 millones de euros en beneficio de la ANSSI para reforzar el apoyo a los establecimientos de salud víctimas de ransomware.

La CNIL publica recursos educativos en su sitio web para proteger mejor a los niños de 8 a 10 años en Internet.

Estos recursos están destinados a padres, niños, profesores y educadores.

La CNIL también actualizó su recomendación relativa a la autenticación con contraseña el 17 de octubre.

En un contexto de crecientes amenazas a la seguridad en línea, la CNIL desarrolla en particular la utilidad de soluciones de autenticación fuerte o multifactorial y de certificados electrónicos.

Europa:

El Comité Europeo de Protección de Datos (CEPD) ha adoptado directrices actualizadas sobre la notificación de violaciones de datos, Abierto a consulta pública hasta el 29/11/2022.

La sección actualizada se refiere a la notificación de una violación de seguridad por parte de un gestor establecido fuera de la Unión Europea.

El hecho de que este gestor haya designado un representante en uno de los países de la UE no le exime, según el CEPD, de amplias obligaciones: el texto especifica ahora que "la mera presencia de un representante en un Estado miembro no activa la ventanilla única".

Es por ello que la violación deberá ser notificada a cada autoridad cuya residencia habitual tengan los interesados en su Estado miembro.

El Tribunal de Justicia de la Unión Europea dictaminó en sentencia de 20 de octubre que el tratamiento ulterior consistente en la creación, a partir de una base de datos existente, de una base de datos para realizar pruebas y corregir errores, se autoriza si

  1. existe “un vínculo concreto, lógico y suficientemente estrecho entre los fines de la recogida inicial y el tratamiento posterior”; y
  2. el tratamiento posterior no se desvíe de las expectativas legítimas de los suscriptores.

En el caso en cuestión, el Tribunal consideró que existe dicho vínculo estrecho. Recuerda que los datos deben suprimirse una vez cumplida la finalidad (secundaria) del tratamiento.

En una sentencia de 27 de octubre relativa a la empresa belga ProximusEl Tribunal se pronuncia sobre las obligaciones de los proveedores de directorios cuando un abonado retira su consentimiento para el tratamiento de sus datos.

El Tribunal considera que la autoridad de protección de datos puede exigir a un proveedor de guías telefónicas de acceso público, en su calidad de responsable del tratamiento, que adopte las medidas adecuadas para informar a otros responsables del tratamiento (incluido el proveedor del servicio de telecomunicaciones del que se comunicaron los datos) de la retirada del consentimiento del abonado.

El Reglamento Europeo de Mercados Digitales (DMA) se publicó el 12 de octubre de 2022.

Este texto, que pretende "poner fin a las prácticas desleales de las empresas que actúan como "guardianes" en la economía de las plataformas en línea", se aplicará a partir del 2 de mayo de 2023.

Define a las grandes plataformas en línea como “guardianes” y establece una lista de prohibiciones y obligaciones destinadas a “garantizar mercados digitales justos y abiertos”.

La propuesta de Reglamento Europeo sobre el Abuso Sexual Infantil (CSAR) es objeto de muchas críticas por parte de la sociedad civil y del lanzamiento de una campaña “dejen de escanearme”.

Según las ONG implicadas, la propuesta, a pesar de sus loables objetivos, amenaza con "comprometer fundamentalmente la comunicación segura en línea y hacer que Internet sea menos segura para todos".

Las autoridades policiales planean utilizar el escaneo automatizado en línea de comunicaciones privadas para localizar contenido relacionado con el abuso sexual infantil.

Sin embargo, una investigación del Consejo Irlandés para las Libertades Civiles (ICCL) revela que la policía irlandesa retiene datos personales (correo electrónico, nombre de usuario, dirección IP) incluso para alertas falsas.

La enorme cantidad de falsos positivos (se cree que menos de 10 informes % son utilizables) también podría impedir que la policía aborde el origen del problema.

La Autoridad Italiana de Protección de Datos Abre una investigación sobre una aplicación que genera voces artificiales (“deep fake”).

La autoridad ha abierto una investigación sobre la aplicación Fakeyou, que supuestamente convierte archivos de texto en voces que imitan las de personajes famosos, sobre todo italianos.

Además, la autoridad italiana de protección del consumidor consideró que un cartel que representaba una cámara estilizada no era suficiente para proporcionar información sobre el uso de cámaras de videovigilancia e impuso una multa de 2.000 euros al responsable del tratamiento.

Autoridad irlandesa La Autoridad de Protección de Datos ha publicado en su sitio web una recopilación de más de 30 casos prácticos específicos que ha abordado y que no están incluidos en sus informes anuales. Esta publicación permite comprender mejor el enfoque de la autoridad en temas como la monitorización de empleados, la videovigilancia, el concepto de interés legítimo y la compatibilidad de los fines del tratamiento.

El Tribunal de Apelación neerlandés de Arnhem-Leeuwarden confirmó una orden judicial que establecía que un regulador de derechos de autor no podía obligar a un proveedor de servicios de Internet a enviar cartas de advertencia a presuntos infractores de derechos de autor: el proveedor de servicios de Internet no tiene base legal para procesar datos personales relacionados con condenas y delitos penales.

La Autoridad de Protección de Datos del Reino Unido (ICO) Se comunica sobre tecnologías biométricas, como las de análisis de emociones, que, según afirma, son inmaduras y corren el riesgo de generar discriminación.

Entre los riesgos identificados se encuentran el monitoreo de la salud física de los trabajadores mediante herramientas portátiles de detección y la observación visual y del comportamiento, incluyendo la postura corporal, el habla, los movimientos oculares y los movimientos de la cabeza, para registrar a los estudiantes para los exámenes.

La ICO también publica un borrador de directrices sobre la supervisión de los empleados.

La Comisión destaca en particular la creciente tendencia al "trabajo desde casa" y el problema del control de la productividad, ya que las expectativas de privacidad de los trabajadores probablemente sean mayores en casa que en el trabajo.

La ICO también señala que «el monitoreo de pulsaciones de teclas se clasifica como datos biométricos de comportamiento cuando un trabajador es identificable según su patrón y ritmo de escritura únicos». El borrador está abierto a consulta hasta el 11 de enero de 2023.

Internacional :

Transferencias de datos a Estados Unidos:El 7 de octubre se alcanzó un hito importante cuando el presidente Biden firmó la Orden Ejecutiva sobre la mejora de las salvaguardias para las actividades de inteligencia de señales de los Estados Unidos.

Este decreto tiene como objetivo permitir la implementación de un nuevo marco de protección de datos entre la Unión Europea y Estados Unidos tras la sentencia Schrems II del TJUE, que dejó obsoleto el Escudo de Privacidad.

El acuerdo podría finalizarse a principios de 2023, tras el dictamen del Comité Europeo de Protección de Datos (CEPD) y la adopción de una decisión de adecuación por parte de la Comisión Europea.

La incertidumbre que rodea al acuerdo se refiere al alcance de los poderes de vigilancia de las autoridades estadounidenses y a los recursos de que disponen los ciudadanos europeos contra las medidas estadounidenses adoptadas contra ellos.

Agreguemos que, al no tener fuerza de ley, este decreto puede ser revocado, lo que aumenta la incertidumbre jurídica.

Descubra Viqtor®
es_ESES
fr_FRFR en_USEN de_DE_formalDE elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL es_ESES