Boletín Legal Nº 77 – Noviembre de 2024. 

La inteligencia artificial como herramienta de trabajo: ¿qué tipo de marco de trabajo se necesita?

El uso de la IA en el lugar de trabajo está experimentando un auge sin precedentes, a menudo sin que el empleador sepa exactamente cómo sus empleados utilizan las nuevas herramientas a su disposición.

Ya se trate de modelos de lenguaje ya clásicos como ChatGPT, o de herramientas que permiten crear diseños gráficos (Canva), extraer datos de la web (Browse AI) o tomar notas automáticamente durante una reunión (Fireflies), las posibilidades son innumerables.

Según un estudio de IFOP para Learnthings de diciembre de 2023, casi uno de cada cuatro empleados ya ha utilizado una herramienta de inteligencia artificial en un contexto profesional y, entre ellos, más de la mitad (55 %) lo hizo sin informar a su jefe.

Sin embargo, comprender cómo se utilizan internamente estas herramientas es fundamental para garantizar el cumplimiento del marco legal aplicable, y en particular del Reglamento europeo sobre IA y el RGPD.

Varias autoridades, entre ellas la ANSSI y la CNIL, han publicado recomendaciones destinadas a sensibilizar a los usuarios profesionales. Estos son los puntos principales:

Implementación de una carta de IA dentro de la empresa con el fin de

• Enumere las herramientas permitidas;
• Mapear estas herramientas según los riesgos, en cumplimiento de la normativa sobre IA;
• Regular los sistemas de alto riesgo (por ejemplo, la formación profesional y la selección de personal, donde el uso de la IA conlleva el riesgo de generar una "automatización de la discriminación").

Organiza un diálogo social.Consulte con el CSE y modifique las normas internas de trabajo para que estas normas sean aplicables internamente.

Garantizar la seguridad de los datos Proporcionar datos personales a un sistema de IA (por ejemplo, datos de clientes o empleados), o documentación sensible o estratégica, puede tener consecuencias significativas en términos de confidencialidad.

Además, el uso de dicho sistema puede afectar la integridad del sistema de información al que está conectado.

La CNIL recomienda priorizar la implementación de soluciones "in situ" que limiten los riesgos de extracción de datos por parte de terceros.

Si bien puede resultar más económico utilizar un sistema alojado en la nube, será necesario contar con un contrato de subcontratación que especifique las diferentes responsabilidades y el acceso autorizado a los datos procesados. 

En este caso, se recomienda limitar el suministro de datos personales al sistema de IA.

Para capacitar y crear conciencia Los usuarios finales deben seguir estas buenas prácticas:

• Proporcione únicamente los datos que esté autorizado a compartir, excluyendo en principio cualquier dato confidencial;
• Verificar la exactitud y la calidad de los datos generados por el sistema, la ausencia de plagio y el riesgo de discriminación;
• No reproduzca los resultados del sistema tal cual, para mantener una perspectiva crítica.

Garantizar la transparencia en el procesamiento, en particular aquellas que generan decisiones automatizadas con respecto a empleados y terceros ajenos a la empresa.

Establecer la gobernanza : designar al DPO, un comité o un referente (que también incluya al CISO) para ofrecer a los usuarios finales un punto de contacto para plantear cuestiones o dificultades éticas y verificar el cumplimiento de las normas.

Además de las sanciones previstas por el RGPD y la normativa sobre IA, la adopción de un marco claro también representa una cuestión social y ética, en interés tanto de las personas externas como internas a la empresa.

 

        

La CNIL publica un plan de acción para apoyar a los agentes de la Economía Plateada, un sector dedicado a actividades que benefician a las personas mayores.

Señala que, para 2060, las personas mayores representarán aproximadamente 24 millones de personas en Francia y que "la naturaleza de los datos procesados y la segmentación basada en la edad plantean importantes problemas en materia de protección de datos".

Tiene previsto actualizar su paquete de documentación sobre cumplimiento normativo (fichas informativas, recomendaciones, etc.) y propone un nuevo "entorno de pruebas" para apoyar tres proyectos innovadores en este sector.

El 18 de noviembre, la CNIL y la DGCCRF anunciaron la firma de un nuevo protocolo de cooperación que actualiza el acuerdo de 2011.

Las dos autoridades están reforzando su colaboración y desarrollando nuevas vías para el intercambio de información con el fin de adaptarse a los cambios en la legislación y a los retos económicos de la era digital.

En una publicación fechada el 19 de noviembre, la CNIL reitera asimismo los principios de protección de datos aplicables al uso de cámaras de realidad aumentada en el habitáculo de pasajeros de los vehículos de transporte de mercancías, e insiste en que el empleador debe adoptar todas las medidas necesarias para garantizar el cumplimiento de dichas cámaras antes de su instalación.

El 25 de noviembre, la CNIL publicó una serie de consejos para proteger tus datos al interactuar con un asistente de voz.

Un empleado que ejecuta órdenes que violan el RGPD se expone a responsabilidad penal, incluso si actúa bajo instrucciones de su empleador.

En el juzgado penal de Nantes, la fiscalía acaba de solicitar una multa de 6.000 euros, de los cuales 3.000 quedan en suspenso, contra un empleado de una empresa subcontratista de informática, por haber instalado un dispositivo espía en las instalaciones de sus clientes por orden de su jefe.

El fiscal solicita una pena de prisión suspendida de 9 meses y una multa de 30.000 euros para el jefe.

En una sentencia dictada el 21 de noviembre de 2024, el Tribunal de Apelación de París confirmó la sentencia emitida el 23 de julio de 2021 por el Tribunal Industrial de Meaux: una conversación privada en Messenger, que inicialmente no estaba destinada a hacerse pública, no puede considerarse un incumplimiento de las obligaciones contractuales de un empleado y el despido disciplinario basado en tales motivos no puede justificarse legítimamente.

El Tribunal se basa en una sentencia del Tribunal de Casación de fecha 22 de diciembre de 2023 sobre la misma materia.

Este razonamiento se aplica incluso si, como en el presente caso, el empleador no hubiera intentado acceder a esta información: durante la ausencia de una empleada, le había pedido que transmitiera sus datos de identificación para permitir que sus compañeros accedieran a sus documentos profesionales, y los mensajes habían aparecido cuando la conversación se abrió automáticamente en la pantalla.

 

instituciones y organismos europeos

El Comité Europeo de Protección de Datos (CEPD) abre un periodo de consulta pública sobre sus directrices relativas al artículo 48 del RGPD.

Las directrices se refieren a las solicitudes de cooperación directa entre una autoridad pública de un tercer país (como reguladores bancarios, autoridades fiscales, fuerzas del orden o seguridad nacional) y una entidad privada de la Unión Europea (UE).

Los comentarios pueden enviarse hasta el 27 de enero de 2025.

El CEPD también adoptó a principios de diciembre una declaración relativa al segundo informe de la Comisión Europea sobre la aplicación del RGPD, en la que subraya la importancia de la coherencia entre la legislación digital y el RGPD.

El CEPD intensificará la producción de contenido para personas no expertas, incluidas las pequeñas y medianas empresas, y subraya la necesidad de recursos financieros y humanos adicionales para ayudar a las autoridades de protección de datos (APD) a hacer frente a retos cada vez más complejos y a la necesidad de adquirir nuevas competencias, incluso en el ámbito de la inteligencia artificial.

La victoria del candidato de la oposición antieuropea en la primera vuelta de las elecciones presidenciales rumanas del 24 de noviembre tiene repercusiones a nivel europeo.

Si bien el Tribunal Constitucional del país acaba de anular esta primera ronda tras la desclasificación de documentos de inteligencia nacional que revelaban una operación a gran escala en TikTok a favor de este candidato, la Comisión Europea lanzó el 29 de noviembre una solicitud oficial de información a la empresa en virtud de la Ley de Servicios Digitales (DSA).

El 28 de noviembre, el Comité de IA del Consejo de Europa adoptó una metodología (HUDERIA) para evaluar los riesgos y los impactos de los sistemas de IA desde la perspectiva de los derechos humanos, la democracia y el estado de derecho.

Esta metodología puede ser utilizada por actores públicos y privados para ayudar a identificar y abordar estos riesgos e impactos a lo largo del ciclo de vida de los sistemas de IA.

A mediados de noviembre, el Fondo para la Libertad Digital publicó, en el marco del proyecto digiRISE, una base de datos exhaustiva sobre la reparación colectiva en Europa, diseñada para promover la acción colectiva en defensa de los derechos digitales amparados por la Carta de los Derechos Fundamentales de la UE.

El documento incluye recursos sobre cómo diez Estados miembros de la UE han implementado mecanismos de reparación colectiva: se encuentran disponibles informes nacionales, un informe comparativo y una herramienta comparativa para descubrir convergencias y diferencias entre las jurisdicciones estudiadas.

También en el ámbito de la reparación colectiva, la ONG NOyB indica que ya está homologada como "entidad cualificada" para interponer acciones de reparación colectiva ante los tribunales de la UE.

Dicha acción, en virtud de la Directiva (UE) 2020/1828, puede ser una "medida cautelar" o una medida "correctiva".

Estas leyes permiten que miles de usuarios estén representados y reclamen, por ejemplo, daños morales cuando sus datos personales han sido tratados ilegalmente.

A diferencia de las demandas colectivas estadounidenses, la legislación europea exige que estas acciones se presenten con fines no lucrativos.

Meta está revisando una vez más sus planes para la distribución de anuncios personalizados en la Unión Europea.

Este cambio se deriva de la postura de los reguladores de la UE, que consideraron que el sistema publicitario de "consentimiento o pago" ofrecido a los usuarios europeos de Facebook e Instagram infringía el RGPD y el Reglamento de Mercados Digitales (RMD).

La nueva oferta incluye una suscripción sin anuncios a un precio reducido, e introduce también un modelo gratuito caracterizado por la entrega de "anuncios menos personalizados" con el consentimiento del usuario.

Max Schrems, quien inició varias acciones legales contra Meta, declaró que "en general, esto parece otro intento de ignorar la legislación europea (...) los usuarios deben tener una verdadera opción entre los anuncios que utilizan sus datos personales y los que no".

 

Noticias procedentes de los países miembros de la Unión Europea.

En Alemania, el Tribunal Federal de Justicia (Bundesgerichtshof, BGH) revocó parcialmente una decisión del Tribunal Regional Superior de Colonia que consideraba que una demanda por daños morales carecía de fundamento suficiente.

El caso se refería a una filtración de datos: en abril de 2021, los datos de aproximadamente 533 millones de usuarios de Facebook se hicieron públicos en Internet.

El Tribunal Federal de Justicia de Alemania subrayó que, según la jurisprudencia del Tribunal de Justicia de la UE, incluso una pérdida única y temporal del control sobre los datos puede constituir un daño no patrimonial en virtud del artículo 82, apartado 1, del RGPD.

La persona afectada no necesita demostrar un uso indebido concreto de sus datos personales.

Un tribunal austriaco dictaminó que un abogado especializado en divorcios podía justificar el envío por correo electrónico de material de vídeo que mostraba la relación extramatrimonial de la persona al abogado de la parte contraria, basándose en el interés legítimo previsto en el artículo 6(1)(f) y 9(2)(f) del RGPD.

Sin embargo, otro tribunal consideró que el interés de uno de los cónyuges en no ser grabado durante las disputas matrimoniales en su hogar prevalecía sobre el interés del otro cónyuge en utilizar esas grabaciones en los procedimientos de divorcio.

En Bélgica, la APD sancionó el uso de documentos de identidad como tarjetas de fidelización el 28 de noviembre: determinó que la empresa Freedelity, especializada en la recopilación de datos mediante documentos de identidad electrónicos (eID), había infringido varios artículos del RGPD relativos a la validez del consentimiento, la minimización de la recopilación y la duración de la conservación de los datos.

Freedelity recopila datos de identificación electrónica, principalmente a través de terminales ubicadas en tiendas asociadas.

Estos datos se comparten y sincronizan con las tiendas que utilizan sus servicios en caso de actualización.

En España, la APD multó a The Phone House SL con 6.500.000 euros por adoptar medidas de seguridad inadecuadas que permitieron un ataque de ransomware.

El ataque afectó a aproximadamente 13 millones de clientes, dejando al descubierto direcciones, números de teléfono, documentos de identidad y datos bancarios.

El 13 de noviembre, Posti, el servicio postal finlandés, fue multado con 2.400.000 euros por asignar cuentas de correo electrónico a sus clientes sin su consentimiento explícito.

A los clientes que solicitaban servicios como el reenvío de correo se les asignaba automáticamente una cuenta de correo electrónico sin opción de darse de baja.

La Autoridad Italiana de Protección de Datos (APD) adoptó una decisión el 27 de noviembre relativa a un acuerdo de licencia entre OpenAI y la editorial GEDI.

La APD se opone al uso del interés legítimo como base jurídica para el tratamiento de datos personales con fines de entrenamiento de IA, independientemente de que dicho tratamiento implique o no datos sensibles.

Según la APD, los acuerdos de licencia relativos al contenido editorial utilizado para el entrenamiento de la IA deben garantizar, en ausencia de consentimiento, la eliminación o anonimización de todos los datos personales utilizados.

Esta decisión se produce unas semanas antes de que el Comité Europeo de Protección de Datos (CEPD) emita su dictamen sobre este tema, previsto para finales de diciembre.

La Autoridad Italiana de Protección de Datos (APD) también multó a la empresa de reparto de comida Foodinho, filial del grupo Glovo, con 5.000.000 de euros debido a numerosas y continuas infracciones del RGPD relacionadas con el tratamiento de los datos de sus empleados, incluido el seguimiento continuo de su geolocalización y la asignación automatizada de turnos.

El 11 de noviembre, la Autoridad de Protección de Datos (DPA) de los Países Bajos publicó un informe en el que concluía que un algoritmo utilizado por la Agencia Ejecutiva de Educación para combatir el fraude era discriminatorio e ilegal.

La agencia utilizó este algoritmo para comprobar si los estudiantes estaban abusando de la beca destinada a no residentes.

Se asignó una "puntuación de riesgo" a los estudiantes teniendo en cuenta el tipo de educación, la edad y la distancia entre el domicilio del estudiante y el de sus padres.

Estos criterios carecían de justificación objetiva y el Ministro de Educación, Cultura y Ciencia responsable del organismo finalmente admitió que el algoritmo discriminaba indirectamente a los estudiantes de origen inmigrante.

En Polonia, la APD multó a un responsable del tratamiento de datos con 353.589 PLN (82.000 €) por medidas de seguridad insuficientes que permitieron un ataque de ransomware.

Los piratas informáticos habían cifrado e inaccesible los datos de aproximadamente 200 clientes y empleados. Un subcontratista implicado fue multado con 9.822 PLN (2.200 €).

 

A finales de noviembre, el Senado australiano aprobó un proyecto de ley que modifica la legislación sobre privacidad y que contiene varios cambios importantes:

• La introducción de un delito civil para las violaciones graves de la privacidad.
• La ampliación de las facultades de aplicación de la ley e investigación de las que dispone el Departamento de Policía de Austin (APD).
• Esto tiene el potencial de desarrollar un código de privacidad en línea para niños.
• Una nueva oportunidad para que el Gobernador General establezca una "lista blanca" de países que ofrezcan una protección de datos adecuada.
• La obligación de que las políticas de protección de datos detallen los sistemas de toma de decisiones automatizadas que puedan afectar a los derechos o intereses de una persona.

En Australia, el parlamento también aprobó el 29 de noviembre una ley controvertida que prohíbe el acceso a las redes sociales a niños y adolescentes menores de 16 años.

La ley no especifica cómo deberán las plataformas verificar la edad de sus visitantes.

La Agencia Brasileña de Protección de Datos (APD) publica un informe sobre inteligencia artificial generativa y protección de datos.

El documento, desarrollado originalmente para brindar apoyo interno a los equipos de la APD, aborda conceptos de IA, su relación con la protección de datos, el contexto brasileño y las perspectivas de la IA.

El 3 de diciembre, la Comisión Federal de Comercio de Estados Unidos (FTC) anunció la conclusión de los borradores de acuerdos destinados a prohibir que dos importantes intermediarios de datos, Mobilewalla y Gravy Analytics, vendan datos de ubicación confidenciales, incluyendo, por ejemplo, la asistencia a iglesias, bases militares, consultorios médicos o bares LGBTQ.

Esta medida se suma a las acciones emprendidas a principios de este año contra los intermediarios de datos que participan en prácticas similares.

Tras la Cámara de Diputados, el Senado mexicano aprobó a finales de noviembre un proyecto de ley constitucional que prevé la eliminación de siete autoridades de control, incluida la Autoridad Nacional de Protección de Datos y Acceso a Documentos Administrativos (INAI).

Las competencias de estas autoridades serían absorbidas por diferentes ministerios.

Las funciones que desempeñaba el INAI pasarían a estar bajo la tutela del Ministerio de Lucha contra la Corrupción y Buen Gobierno.

Los analistas consideran que la ratificación del proyecto de ley por la mayoría de las asambleas legislativas de los estados mexicanos debería producirse rápidamente, como ha sucedido con otras propuestas de reforma en los últimos meses.