Idioma: Español
Fecha: Subida: 2024-07-02T00:00:00+02:00
Duración: 1h 32m 08s
Lugar: Murcia - Facultad de Derecho - Salón de Grados
Lugar: Mesa redonda
Visitas: 227 visitas

El alcance de las competencias de las autoridades de control y el Reglamento UE sobre IA

Descripción

• Ricard Martínez Martínez. Profesor de Derecho Constitucional. Universidad de Valencia. Director de la Cátedra Microsoft sobre “Privacidad y Transformación Digital”
• Alessandro Mantelero. Profesor de Derecho Privado y de Derecho y Tecnología en la Universidad Politécnica de Turín. Director de la Cátedra Jean Monnet sobre “Derecho y Sociedades Digitales Mediterráneas”

Transcripción (generada automáticamente)

Pues vamos a continuar con la segunda parte de la sesión. En este caso la Mesa tiene por título el alcance de las competencias de las autoridades de control en el contexto de la nueva regulación europea, sobre interinidad artificial; intervendrá en primer lugar el profesor Alexandra o mantener o que es profesor de derecho privado y de derecho y tecnología en nuestra política de Turín, director de la cátedra Jean Monnet sobre Derecho, sociedades digitales mediterráneas, y es un buen amigo y tiene la amabilidad de con cierta frecuencia venir por Murcia no compartir con nosotros sus conocimientos, experiencia Pues gracias, Alejandro, por haber venido y el esfuerzo que hace por estar una vez más aquí con nosotros cuando tienes. Muchas gracias para la invitación, y también para organizar este seminario sobre un tema que es muy interesante, no solo el tema de la potestad sancionadora, de la autoridad de protección de datos en el marco de la ley, reglamento de protección de datos, sino también en relación a otros aspectos relevantes, como es el nuevo marco de la inteligencia artificial de reglamento sobre la inteligencia artificial. Por eso la ponencia tiene titulación, un problema compartido, porque es un problema compartido. Es un problema compartido porque tenemos evaluación de impacto, sobra. Las personas societas del utilidad de acción, de los datos personales. Ese impacto no es solo bajo el Reglamento de Protección de Datos, sino también se considera en el marco de reglamento artificial, así que tenemos una evaluación de impacto a consecuencia de eso también sanciones Qué está reglada en 2 diferentes normas y también que tiene diferentes l'Autoritat a diferencia para decidir cómo ese impacto es relevante, si es relevante o no y cómo afecta a los derechos Cuál es la evaluación de impacto en el Reglamento General de Protección de Datos. La evaluación de impacto en el Reglamento de Protección de Datos artículo 35 es una evaluación muy amplia que incluye también los derechos fundamentales. Pero qué pasa, Pasa, que típicamente esta evaluación la sea en la práctica, teniendo en cuenta solo la herramienta de protección de datos, como está definida, digamos, en el Reglamento de Protección de Datos y en todos los dedicamos las prácticas de protección de todos eso lo conocen muy bien los que trabajan en el sector. Si hablamos con los DPO, ellos, cuando van a analizar el impacto de un tratamiento de datos, migran a los criterios definidos en el reglamento. La proporcionalidad la necesita del tratamiento y todo criterios que están definidos por el reglamento, por la interpretación de la autoridad de protección de datos. Eso crea unas consecuencias. La primera es que en la decisiones a nivel puntual de la peor de la de los que tratan los datos, así como de las decisiones a nivel digamos de supervisión de la Autoritat de Protección de Datos, el tema de los derechos fundamentales está detrás al texto digamos oficial, a la, a la lógica y a la herramienta lógica del Reglamento de Protección de Datos. Así que dejemos la decisión es que es una cuestión de proporcionalidad, pero no se dice proporcionar ETA en relación a qué los derechos fundamentales se mencionan, pero no se hace un análisis de cada derecho y cómo Pues como desafectado, y cuál es el marco de ese derecho, digamos que toda la herramienta de desarrollo teórico y jurisprudencial de los derechos fundamentales está de atrás. No sé no se ha manifestado. Se hace evidente de las decisiones. Los se utiliza de manera implícita, los cubren, digamos, con términos de protección de datos, pero eso claramente afecta a la transparencia de la decisión y afecta a un aumento jurídico, digamos, en este marco. Eso también crea problemas. Por qué no se profundiza por cada derecho su dimensión y cómo puede ser afectado? No los coloca en el contexto adecuado de la análisis doctrinal y jurisprudencial que pertenezca cada derecho a nivel nacional o a nivel internacional de las Cortes de derechos fundamentales. Por otro dato eso crea también una situación en la cual la los actores de este sistema de protección de datos no pone mucha atención a los detalles de los derechos fundamentales, y muchas veces hay una falta de experiencia en este sector. Se vamos a mirar la responsable de Protección de Datos típicamente no conocen a suficiente este tema. No conoce suficiencia por cada derecho fundamental, es cuál es el marco de referencia a nivel teórico y en igualdad práctico de los casos decididos. Por eso son límites en la implementación del artículo 35. Artículo 35. Tiene un gran potencial. Practicamos, lo tenemos un poco limita, lo tenemos limitado. Por qué utilizar, utilizamos una mirada Qué pasa por ello de la protección de datos y limita la potencialidad de analizar todos los derechos que pueden ser impactados? Porque el 30 o 5, dice los derechos fundamentales no dice solo el derecho a la protección de datos. Por otro lado, si miramos a la evaluación de impacto en el artículo 35 llegamos a la evaluación sobre el impacto del impacto sobre los derechos fundamentales, hay muchos elementos que son comunes, porque en ambos los casos a hacer referencia se hace referencia a los derechos fundamentales en ambos, los casos de la Ley de Protección de Datos como reglamento de inteligencia artificial. La la mirada, la actitud, digamos, de elaboración es enfocar eso sobre los derechos. No es una evaluación de riesgo beneficia, eso es muy importante porque tiene la oportunidad de participar o trabajo del Consejo de Europa sobre la fuimos comprensión sobre él la inteligencia artificial que se ha adoptado hace un mes, digamos, y ahí tenemos muchos de muchos debates sobre ese alternativa, digamos, como beneficio o la mirada central sobre los derechos claramente. Algunos países y también digamos las industrias estaban muchos enfadar al idea de beneficio, y también usted solo de varias propuestas en Estados Unidos, por ejemplo, la directriz del ministerio o otros países, donde se hace referencia también a los beneficios, y también un poco se hace referencia en algunas partes del reglamento artificial Cuál es el problema? El problema que la perspectiva, y es con beneficio para el mismo nivel, las guías en los beneficios entendiéndolos IES, copar los derechos fundamentales, los beneficios económicos de eficiencia, y todo es claro que pueden utilizar una herramienta de protección de tratamiento de datos; también incluyen de inteligencia artificial, que me monitora todos los que he trabajado en mí mi empresa, y de manera puntual pueden saber dónde están, qué hacen, cómo se mueven, y todo eso me proporciona mucho esa información muy útil para diseñar la economía del lugar de trabajo, para adecuar hacer una. una organización muy adecuada de cada turno de trabajo, de cada tirita y todo hacer una personalización del trabajo y no son fantasías son cosa que algunos quieren hacer, pero cuál es el efecto? Efectos de un control masiva, constante, de los que trabajan, que se considera desproporcionado no adecuado en el marco de respeto de los derechos fundamentales, pero si miramos a la eficiencia, si miramos a la resultado económico, eso beneficia. Por eso, el balance entre riesgos beneficio puede justificar tratamientos masivos, invasivos desproporcionado, migrando a los derechos fundamentales, y por eso tenemos el Reglamento de Protección de Datos. Como reglamento de inteligencia, actividad una mirada central sobre los derechos. Eso significa que el riesgo se considera migrando antes a las consecuencias negativas sobre los derechos fundamentales, que no se pueden justificar, utilizando la relevancia de otros elementos que no están al mismo nivel de protección. El marco constitucional, que los derechos fundamentales. Eso no significa que la parte es económica. La eficiencia no es importante, pero significa que seguimos la redacción, que tenemos, el marco constitucional, donde algunos derechos, siendo fundamental, tengo protección más elevada, y ese marco afecta mucho a la evaluación de impacto, y se sigue este este manera de enfrentarse al tema central de los derechos fundamentales, tanto en el Reglamento de Protección de Datos como en el reglamento de inteligencia artificial. Así que hay una elemento comunes, otros elementos comunes, el hecho que las 2, los 2 reglamentos, utilizan herramientas de evaluación de impacto, y claramente la evaluación de impacto tiene que ser coherente con el marco digamos general de evaluación de impacto es muy importante y también es importante que se entienda en Bruselas cuando se hacen trabajo en desarrollar herramienta de evaluación de impacto, evaluación de riesgo, no la hacemos. Por el reglamento de la inteligencia artificial o por el Reglamento del Reglamento de Protección de Datos lo deseamos, un marco de análisis de riesgo que ya existe; la teoría de análisis y de bienes que no la inventaron en semanas los actores europeos. Si no se entró en el marco de gestión de riesgo amplio espectro lo digamos en el sector industrial, en el sector medioambiental y muchos otros sectores, así que claramente lo que se pone en estos actos tiene que ser coherente con este marco, porque es un hecho de metodología. La análisis de riesgo, o sea, de riesgo se hace ninguna manera, y esa es la manera. No te puede inventar una manera completamente diferente, como escribir en español. Si quieren alguna manera puede meter una cosa diferente. Aquí eso lo que pasa es que, por ejemplo, con relación a la reglamento de inteligencia artificial hay algunas ideas que no están muy alineada con el marco de referencia internacional, digamos, de evaluación de riesgos; se minimice, dan unas prácticas típica de la evaluación de riesgo. Si miramos a los 2 reglamentos, ellos tienen, tienen es importante que siga un modelo, que es el modelo clásico de valoración de riesgo, que sepa algo sobre un análisis del problema, una evaluación del impacto, cuáles son los derechos afectados y el nivel de impacto sobre acalle de derecho, la identificación de las medidas adecuadas, la implementación o la actuación de estas medidas y la verificación y seguimiento. Eso es una procedimiento, digamos circular que no se hace al final, como lamentablemente algunas veces pasan en las empresas. Si no se hace al principio, cuando se va diseñando un nuevo modelo, una nueva herramienta. Eso es lo mismo Reglamento de Protección de Datos, como en el reglamento de inteligencia artificial, ese mismo marco, que es el marco de evaluación de riesgo. Lo último elemento común que claramente está sistema de evaluación de riesgo, necesita una medición del impacto. No se puedan ser valoración de riesgo sin considerar el nivel de impacto, porque el riesgo tiene que medirlo sé alto, medio o bajo, y adecuada a identificar las medidas adecuada, teniendo en cuenta el nivel de riesgo y la verificación de la vida, porque sea adecuada es exactamente qué nivel de leyes que va bajando. Así que no hay evaluación de impacto sin medición. Otra cosa que en Bruselas, en relación a la evaluación del pacto, en el reglamento de inteligencia artificial, no es tan claro, digamos, va dados o por algo últimos discursos Qué pasa en el reglamento de inteligencia artificial, no reglamento, de inteligencia artificial. Digamos que todo se basa solo para el tema de la evaluación de pacto. Hay pequeñas cosas, pero la parte más importante, la invento de gestión de riesgos. Eso se ve muy bien. Si vamos a comparar el reglamento europeo con la propuesta de Brasil y yo he tenido la oportunidad de trabajar sobre esta propuesta, también con el Senado para decir leer y también más recientemente la propuesta de Turquía o de otros países. Otros países han añadido una parte con una parado de derechos o de principios que tienen que ser que sí tienen que tener en cuenta en el desarrollo de la inteligencia artificial. La Unión Europea. Ha decidido no introducir esta parte en el reglamento, no hay una parte sobre los derechos, y no a la par de eso, para principios de principios de innegables, digamos como Sostenibilitat de la transparencia, bla, bla, bla, y yo creo que es muy bueno que haya. Eso era un poco el marco del grupo artificial en y quienes les habrá llegado a algunos principio muy aislada y claro, es el problema, que cuando son tan de alto nivel la aplicación puede ser muy fácil, así que sirven de manera limitada y además tenemos en cuenta que la Unión Europea en el sector digital ha desarrollado especialmente en el ocultismo, años muchas activista, legislativa que no es comparable con otros países. Así que en Turquía, en Brasil, donde hay pocas normas, tiene sentido que se introduzcan también específicamente alguna referencia al principio de enebrales como derechos fundamentales, y todos aquí no lo necesitamos, porque los derechos fundamentales en sector digital ya están, digamos definidos y muchas decisiones a nivel nacional a nivel europeo, a nivel de Consejo de Europa, y ya están presidente, digamos de manera directa o indirecta en muchos actos que se han adoptado y lo mismo con lo principio no necesito subrayar el principio de transparencia, por ejemplo, porque ya es parte del marco europea, es parte de los principios fundamentales de Unión Europea, así que tenemos que tener en cuenta una diferencia. Por eso al final el reglamento se centra básicamente sobre cómo gestionar impacto. Aquí tenemos que hacer 3 evaluaciones diferentes. Hay una cuarta, pero las leyes de actuar así que no la voy a discutir va a las 3 que tenemos que considerar; son la evaluación de la conformidad de una decisión de riesgo en relación a la llanura. De ahí la anterior iniciativa inicial de alcance general creo es eficaz y la evaluación de impacto sobre los derechos fundamentales Qué tienen que ser los que desarrollan que aplican de manera concreta a playas? La la herramienta de indemnizaciones son 3, son diferentes en relación a quién tiene que hacer más? En relación a la naturaleza de inteligencia artificial que se lleva a utilizar y en relación al diferente nivel, digamos. En el modelo de distribución, digamos de fértil inicia pero, en todas las traes que no voy a analizar, porque si no hacemos un curso más puesto que ahora reglamento, en todas las 3 tenemos referencia al impacto sobre los derechos fundamentales. Eso es importante. Impacto sobre los derechos fundamentales no está solo en el fundamento moral; es impact assessments desde el artículo 27 si no es también incluido de elaboración de la conformidad y de la evaluación de los riesgos relacionados a la señora sea siempre hay que hacer la vale saber sobre el impacto sobre los derechos fundamentales claramente hay algunos problemas. El primer problema es que la evaluación de la conformista se la Unión Europea quiere hacerme también reglamento. Dice. Utilizando estándar claramente están dando; están muy adecuado en el marco de regulación de los derechos fundamentales y por eso existe, están dadas de elaboración, sabrá el impacto del impacto. No hay un estándar porque la evaluación de derechos fundamentales, incluido el derecho de protección de datos, son contextuales. Así que una variación del contexto de operativizar una valoración de la herramienta que técnica que va a utilizar una evaluación de las personas que pueden ser, digamos, trigo de mi tratamiento, va a cambiar completamente la situación. Si calculamos un caso muy básico, de videovigilancia a vigilancia en un parque público, la videovigilancia y una calle con alto nivel de criminal y tal ámbito viene financia, y una escuela infantil en colegio infantil son situación diferentes, pero la cambia era la misma. El herramientas de inteligencia artificial puede ser la misma o puede utilizar el mismo caso. El mismo parque puede utilizar una cámara muy inteligente, con capacidad de reconocimiento facial de manera inmediata o puede utilizar una cámara tradicional, digamos, con reconocimiento ex post mismo lucrar pero herramienta diferente. Así que el contexto de herramienta que utilizando las personas que son involucradas me van a cambiar la situación, no puedo estándar esta cosa, las bases del estándar lo vemos en el estandarización de los ferrocarriles o a otras cosas es que funciona más o menos de la misma manera. Aquí la cosa no funciona siempre más o menos. La misma línea. Teniendo en cuenta el tema del impacto sobre los derechos fundamentales, claramente hay otros sectores, por ejemplo las recurridas, o la impacto sobre la seguridad hídrica que pueden se pueden utilizar tandas, en este caso es por qué son más simple, digamos, no hay mucha variedades si hay un elemento de Inteligencia Artificial, el problema era si curita las incógnitas, digamos y claramente, lea los ataques, se pueden ser algunas maneras, son esas, no te puede vetar a otro claro cambiar a lo largo del proceso pero esas son a sigue estando, son, son difícil, pero eso no significa que no se pueden introducir directrices metodológicas estándar metodológicos. Cuál es la diferencia estándar? Clásico, te dice. Paso a paso qué tienes que hacer y eso significa que la situación siempre es la misma, más o menos estándar metodológico, te dice cuáles son los criterios, cuáles son la metodología, por ejemplo, de evaluación del impacto sobre los derechos fundamentales, como se hace cuesten pacto. Cuáles son los criterios de proporcional y tan de gravita cómo se manejan? Cómo se combinan, cómo se crean matrices de riesgo de todos? Esto sigue, se puede hacer porque son estándar metodológico, te van a enseñar una metodología y después tú la basa a actuar a actualidad en cada caso. Eso se pueden hacer y lamentablemente falta y también faltan indicárselo específicas, digamos, en el reglamento. Por ejemplo, la propuesta de LIC tienen pocas, pero más indicaciones. O cuáles son los criterios de tener en cuenta si todos. Otro límites afectan, no solo apartado, van otros límites, afecta no solo a la la aplicación del estándar, si no también esa idea que está en el artículo 27, en el parágrafo 5 de introducir un temple y para facilitar la evaluación de impacto sobre los derechos fundamentales. Aquí la Comisión le hablaba Office se centran bastante sobre este tema, le llama Office, tiene que proporcionar este temple aquí a un riesgo de interpretar este Templi como el modelo de evaluación de impacto. El reglamento dice de manera clara que el templo sirve para facilitar. No, para hacer no es la misma cosa, porque, cuál es el problema? Que el templo Qué es es un listado típicamente de preguntas, de cosas, así que te dicen cuáles son los problemas que tiene. Considerando el impacto este estos modelos ya existen, hay varios, pero van a considerar solo la primera parte de la evaluación de impacto. La parte relacionada con migrar el contexto y mirar cuáles son los derechos que se pueden ser afectado. La segunda parte, la importante en la evaluación del impacto, la medición del nivel de riesgo, que está relacionado con las medidas que voy a dar por esta segunda parte, el temprano les hablo de nada porque la segunda parte es herramienta de evaluación de riesgo, es matrices de riesgo, es criterios de evaluación de riesgo, así que debemos utilizar empleo ETS, como ya hay varios que te dicen, por ejemplo bien utilizados, datos de personas físicas o no, los utilizó datos de minora, es utilidad herramientas de inteligencia artificial, sector es en simples, como no sea con ellos, hospital. Esto y un montón de preguntas siguientes. Esto son muy útil para entender qué estás haciendo, porque muchas veces son técnicos de datos que no tienen experiencia jurídica, así que proporcionan conocimiento, ayuda a entender cuáles son algunos problemas, pero esta parte digamos de inserción, no de concienciación es muy útil para el diseño de la herramienta, pero no, no es toda la evaluación de impacto. Cuando tú tienes cuáles son o problema. Después tiene que mirar si la actual aplicación, estos problemas enfrenta de manera correcta o incorrecta, se impacta y cómo impacta, y cuánto impacto y si no hace una, si no tienes herramienta de medición del riesgo. Todo eso no funciona. Así que yo estoy muy preocupado, que hay una interpretación demasiado restrictiva, que se hace un temple y por el office, donde hay preguntitas cuáles son los problemas y bajo esta respuestas a los problemas, a la pregunta hay. Si hay este problema yo a volver a dotar es también esta solución. Está esta herramienta que va a resolver el problema si evidencia porque cuál es la utilidad de la evaluación de impacto, es la contability, es tener prueba que tú has hecho bien las cosas. Si yo digo el problema es que impacta sobre los menores creando riesgo de discriminación y para afrontar este problema utiliza esta herramienta. Ella está, pero aquí me dice que la herramienta funciona y cuánto funciona y cuál es la eficaz de la herramienta. Desde el principio de problema el nivel era alto y ahora, porque dice. Con esta herramienta tan solucionado. Y quién lo dimos como base demostrar. Por eso, aparte parte de medición es importante, y no es que mi idea es la idea de la teoría general de evaluación de riesgos. Cuando tú vas trastes con un coche donde te dicen. Mira, hemos utilizado este material. Ahora está seguro, está seguros, está seguro, porque la basa testar y no se rompe? No es suficiente, es decir, antes se rompía o ahora utilizamos estos programas. Tareas vuelta tiene que en medio hasta la evaluación. Por eso, el templo por sí mismo no puede funcionar. Otro tema importante es que, en el valioso cuanto tenemos a. Otro problema es que en el reglamento de inteligencia artificial hay una sesión muy amplia por la investigación. Todas las actividades de investigación, incluida la investigación industrial, digamos para desarrollar aplicaciones, no están bajo reglamento. Eso significa que tenemos que adoptar y la Comisión Europea está trabajando en eso, medidas específica para este sector, y estoy trabajando con la única de la Comisión Europea de Investigación para definir las medidas que se van a aplicar a todos los proyectos financiados por la Unión Europea y mi parte sobre los derechos fundamentales. Hay otro equipo que trabaja, sobra la parte ética, digamos, y eso se harán en el programa europeo de financiación los criterios que se aplicarán de evaluación de impacto ético y derechos fundamentales. Eso a lo lo puede hacer la Comisión Europea y aunque el tramo de investigación, porque no está bajo reglamento, inteligencia artificial, así que no es competencia de del Office, no es competencia de la Logse las las estructuras que se han creado por parte de rabia, pero a veces es importante tener en cuenta que toda la investigación lo que más afecta también la universidad, el reglamento por larga parte no se aplica y se aplicarán las directrices específicas proporcionadas por la Autoritat europeas. Por eso el escenario es complicado y es complicado porque Por qué? Tenemos 2 reglamentos con 2 autoridades diferentes y la autoridad de protección de datos que tengo familia -Habitat también con los derechos fundamentales por un lato y por otro lado, otro reglamento sobre inteligencia artificial? No dice cuál es la Autoritat como ejemplo cuando hay problemas de conflicto se dice. Los Estados miembros van a decidir pero qué pasa? Que tenemos Estados miembros como España o como Italia que tengo ni idea; bastante rara digamos su cuadre, tiene que ser la Autoritat sobre la inteligencia artificial en un caso; una autopista que falta, digamos de independencia y en otro caso. Una autopista que también falta de independencia, también falta de competencia porque no es experta de derechos fundamentales, típicamente. Así que qué puede pasar, Puede pasar que haya un conflicto entre la deficiencia de la Autoritat, sobra inteligencia artificial relación en la evaluación de impacto sobre los derechos fundamentales de la aplicación de inteligencia artificial y la evaluación por parte de la autoridad de protección de datos, que va al artículo 35 en el caso de que se tratan datos personales? Puede también hacer su valoración de impacto sobre los derechos fundamentales. Ese es el problema Por qué las 2 autoridades tienen competencia en cuanto se traten datos personales, y tenemos cuenta que la noción de datos personales muy amplia, así que es bastante fácil que que esta competencia, y en este contexto yo creo que la el papel de la autoridad de protección de datos sea muy importante, porque si l'Autoritat de inteligencia artificial no son activas, no se fijan el problema de los derechos fundamentales no reaccionan de manera proporcionada si pueden hacerla la Autoritat de Protección de Datos porque tengo el artículo 35 que dice que tú puede hacer la evaluación de impacto sobre los derechos fundamentales. Hasta ahora se ha hecho de manera, digamos, amplia, pero se puede ser y bajo el 35 puedan ser una evaluación de impacto sobre los derechos fundamentales de inteligencia artificial, porque, a condición que hayas un impacto sobre un tratamiento de datos personales y Pueblo, también utilidad en la potestas ancha; rabia, donde está en el caso que no traía una evaluación adecuada por parte de las empresas o de la autoridad pública de evaluación de impacto, porque ese era otro problema, el reglamento de inteligencia artificial no tiene sanción específica. En el caso que no se haga la evaluación de impacto sobre los derechos fundamentales, esa obligación no está bajo ninguna sanción. En el reglamento se diese. Los Estados miembro pueden introducir esta sanción, pero hay 2 cosas. La primera, la autoridad de protección de datos. Pues no utilizaron 35 donde lo permite la ley pueden sancionar por falta de protección de los derechos fundamentales bajo la valoración, artículo 35, que es una evolución también de impacto sobre los derechos fundamentales; segundo, los países lo dijimos antes los países las que deciden de no adoptar sanciones en el caso de incumplimiento con la ley en relación a la impacto sobre los derechos fundamentales, claramente no van protegiendo de manera adecuadas los derechos fundamentales. Esto es una violación de principios europeos en materia de derechos fundamentales Unión Europea en Consejo de Europa, así que se tienen que enfrentar a riesgo de un procedimiento enfrenta a la Corte Europea de Derechos Fundamentales para incumplir con la adecuada protección, porque no se puede decir que el reglamento de intereses entre actividad, los derechos fundamentales, son la parte más importante, como dice la Comisión Europea en todos los nucleares y después cada país de ser sí pero se la va a ser esa orientación del impacto sobre el derecho fundamental, no la base no, no, a esa opción no hay problemas. Eso son 2 posturas completamente en contraste. Así que si vamos a mirar este este contexto claramente podemos sacar alguna conclusiones. La primera es un tema muy importante. La segunda, vamos a ver qué pasa con la actuación concreta en cada país del reglamento e interesante artificial. La tercera, si se esta actuación no es adecuada tener protección de los derechos fundamentales. Si pueden seguir la autoridad de protección de datos bajo 35 actuando y. Pidiendo una evaluación propia en relación al a la herramienta del Interior divisa y cuarto, la falta de una adecuada sanción en relación a la evaluación de impacto claramente pueden ser recurridas y han frente a las Cortes europeas y y acabar a una responsabilidad del Estado para incumplir con la protección de los derechos fundamentales y ahora, al tiempo, son cambiados. Hay muchas, mucho más l'activitat por parte de. Yo digámoslo. Así que están muy centrados sobre este tema. Si no, creo que puede seguir esta idea con ley nacional, no vamos a proceder y derechos fundamentales. Termino Aquí. Segundo, que comparta pantalla. Julián, por favor, perdonando la informalidad pero, como el tiempo tenemos, tenemos un un buen rato regar todavía sin problema, vale, perfecto, sino una presentación adelante. Si se ve, bueno, no va a presentar Vícar lo conocéis, es profesor de Derecho Constitucional, no sea Valencia, donde dije a la cátedra Microsoft sobre privacidad y transformación digital, y es investigador del proyecto, investigación que organiza este evento, la potestad sancionadora de las áreas de control en materia de protección de datos, delimitación, garantías y efectos. Pues gracia aplicar y a pesar de no haber podido desplazar de Murcia por participar los cuando quieras. Gracias por vuestra flexibilidad ya que la verdad es que mi agenda de trabajo estos meses es al tema, es altamente exigente debido al Espacio Europeo de Lubia ciertos proyectos en los que trabajamos. Así que os agradezco la flexibilidad tanto de compartir prácticamente al 100 por 100 la posición de Alejandro la materia que ha abordado, entre otras cosas porque precisamente mi trabajo en este tipo de proyectos consisten, aterrizar y aquello que tanto la normativa de protección de datos como el reglamento de inteligencia artificial los va a exigir. Ya existe una enorme distancia entre el marco teórico que defina el reglamento y algunas aproximaciones a la materia, y la realidad material que tiene es que abordar en proyectos que van a desplegar la inteligencia artificial y que no siempre son tan sencillos para aparecer incluso contra intuitivos, y coincido muy particularmente en cómo la aproximación desde arriba, que sobrevuela una realidad, pero con la escasa interacción, y esto es muy relevante desde el punto de vista de las autoridades de protección de datos con los distintos sectores, no siempre ofrece mecanismos de verdadera gestión del riesgo. En muchas ocasiones ofrecen meras crisis de control respuestas del tipo, sino no un verdadero modelado de gestión de riesgos que, efectivamente, aquellos que vienen del sector industrial, es decir de la del diseño orientaba o producto o del territorio de la aplicación de estándares y sobre gestión del riesgo, conoce muy bien. Dicho esto, no sé si empezaré casi por el final, por las conclusiones, pero mi tesis es que la posición que ocupan las autoridades de protección de datos y las referencias en el reglamento de inteligencia artificial en distintos contextos, a las mismas, van a ser particularmente determinantes y podrían introducir, desde un punto de vista material, asimetrías en el contexto de la Unión Europea después explicaré algunos casos e incluso, y distintas iniciativas segmentadas y todavía no integradas a través de los mecanismos de cohesión en el Comité Europeo de Protección de Datos puedan ser particularmente significativas en esta materia. Por una cuestión de tiempo rango, sería hablar de geometría y reconocimiento facial, aunque seguramente alude a algunas alusiones a la materia. En principio, una de las cuestiones que caracteriza a la normativa europea que está surgiendo es que evidentemente, tiene que establecer un marco de coherencia que en lo que se refiere a la protección de datos de carácter personal, aplica o apuntar ejemplo de ello ha planteado no solo en la ley de inteligencia artificial sino también en el espacio europeo. Datos de salud tendrá para gobernar, y en otras normas, en la definición de cuál es el marco relacional entre estas normas casi todas afirman la aplicación, evidentemente del Reglamento General de Protección de Datos, y algunas de ellas en algunas versiones preliminares incluso parecían establecer una suerte de jerarquía presumiendo, algo que no es verdad resumiendo, que en el régimen de se aplica, se aplicarían y todos sus criterios son claros, ni se aplica ni se ha aplicado ya, ni todos. Sus criterios son claros; es más. Javier Sempere, se ha referido al artículo 9 el artículo 9. 2 confiere habilitaciones específicas también a las normas europeas para regular aspectos como las categorías especiales de datos; sin embargo, y salvo en alguna referencia puntual en el reglamento de inteligencia artificial, su caracterización como lex especiales no es clara ni precisa. Por tanto, digamos que todos aquellos procesos orientados a la inteligencia artificial, que parten de un tratamiento de datos de carácter personal, serán altamente dependientes, altamente dependientes, de hachazo del posicionamiento de las autoridades de protección de datos. Es en este sentido las, lo que estoy los considerandos, que estoy reproduciendo en batalla. Sencillamente tratan de apoyar aquello que estoy señalando, es decir, salvo en casos muy concretos en materia de biometría, salvo en casos muy específicos, la afirmación del reglamento, como la ex especiales no es tal y, por tanto, cualquier tratamiento de datos está sujeto, levante, tanto al reglamento que regula estos aspectos en el ámbito general, como en el ámbito de las instituciones de la Unión, y en estas antiguo, y hay que recordar el ecosistema al que me estoy refiriendo y del que en parte ha hablado Javier. En primer lugar, hablamos de autoridades andaluzas muy en particular algunas particularidades, capacidades de investigación patrimonial fosas, autoridades que están habilitadas para elaborar informes previos, no solo la RPS, sino a nivel nacional. Cada autoridad en el despliegue de medidas legislativas y reglamentarias autoridades que puedan ser determinantes a la hora de fijar las condiciones de evaluación, de impacto en la protección de datos. El reglamento ría evidentemente subsume subsume lo ha dicho muy bien Alejandro, en la fría Alfaya; fundamental lo ha dicho. Impact assessment no puede subsumir. Hablaremos después de eso, en la evaluación de impacto. Pero, atención, porque desde el punto de vista de las listas positivas esa evaluación de impacto no tiene por qué referirse solo a las fundaciones modernos o a los sistemas de alto riesgo, sino que puede alcanzar a cualquier sistema de información que incorpora inteligencia artificial. Evidentemente, el uso de las participaciones y códigos de conducta pueda tener su efecto en esta materia. Aquí es donde precisamente estos mecanismos de cohesión, cooperación y coherencia, estas operaciones conjuntas y estas directrices y recomendaciones que pueden emitir el LGTB pueden ser particularmente relevantes. En el caso español la cosa está muy clara. Las personas que se dedican al mundo de la protección de datos toman, como he dicho antes, los informes, resoluciones y guías de la agencia prácticamente como si fuera la Biblia y con carácter preferente cualquier otro criterio al criterio propio, a criterio de los tribunales y a cualquier otro tipo hubiera cualquier otro criterio. Es particularmente relevante señalar cómo en estos 3 tipos de documentos la autoridad es autorreferencial, es decir, cita en muchas ocasiones estos documentos como criterio de interpretación a la hora de ordenar el cumplimiento normativo, y, sin embargo, no acude a una facultad que tiene, y es perfectamente posible, que son de dictar disposiciones interpretativas de carácter general que, como bien sugería Julián, he creído entender durante mi conexión si podrían ser recurribles ante un tribunal, mientras que los informes, las resoluciones y las guías. No son recurribles entre las multas, de interacciones. En la primera es la la obvia, la subsunción del análisis de riesgos, en la evaluación de impacto, pero cualquier análisis de riesgos, en un tratamiento, incluso aquellos tratamientos que no están obligados en la evaluación de impacto, deben cumplir con el artículo 24 del Reglamento General de Protección de Datos, mensualmente los expertos, no solo las autoridades, pero los expertos Quién se aproximan a la protección de datos lo digo con respeto desde una perspectiva hombre y lista olvidan que el derecho fundamental a la protección de alumnos es instrumental. Un análisis de riesgos en protección de datos debe tener en cuenta cómo se proyecta sobre otros derechos fundamentales, cómo afecta a otros derechos fundamentales en función del sector, porque aunque sea un derecho menor, si yo le a un crédito a una persona que quiere constituir una prima, estoy afectando a la libertad de empresa, verba en los pagarles, que tanto hemos discutido en redes sociales, no solo estoy vulnerando afectando al derecho a la protección de datos, resulta que la Constitución, con el Convenio Europeo de Derechos Humanos y la Carta de Derechos Fundamentales de la Unión Europea, no reconoce el derecho a la libertad ideológica, pero ello implica también el derecho a que esta no se manifieste o si hay inferido por terceros, y esto es una cuestión de derechos fundamentales que al pasar en su análisis de riesgos a las redes sociales se les olvidó ya, ha habido que escribírselo en una norma visita a usar mis y sacas, para que entiendan por dónde van los tiros o en las prohibiciones de ría, pero esto ya se podía deducir con claridad de la aplicación del artículo 24 de la región. Evidentemente, acuden a adherir, a definiciones del ejemplo y además de la condición de la Iglesia especial especiales en este ámbito. Hay que recordar que en el ámbito del tratamiento de datos biométricos sistemas de videovigilancia y con reconocimiento facial, incluso se atribuye un deber de notificación a las autoridades de protección de datos. Podríamos seguir con las obligaciones que afectan a los responsables del despliegue o a la participación de las autoridades de protección de datos en Change. Lo que creo que es importante subrayar es que no hay que confundirse. Hay que recordar un elemento esencial. Ojo, la preeminencia del SPD en este ámbito es tan importante que 1 no puede confundirse. Voy a contar una anécdota. En el ámbito de la universidad española preocupa mucho la utilización de sistemas de. Ciertamente hay quien ha creído o va en el anexo 3 una habilitación para el desarrollo de sistemas de productores, pues creo que se equivocan, porque, de acuerdo con el principio, de acuerdo con los principios de interpretación del ordenamiento jurídico, lo único que hace el anexo 3 es prever que existan, no habilitarlos. Hay que verificar bajo qué condiciones se despliega. El artículo 9, 2 del régimen de ahí ya sea en la Ley de la Unión Europea o en la ley nacional desde el punto de vista de elementos esenciales hay que recordar que en la cogobernanza de datos es una precondición del sistema, es de alto riesgo, por una parte, y que ello implica la aplicación de criterios de protección de datos desde el diseño y por defecto. Aquí la cuestión está en que empiezan a ver tantas guías y tantas aproximaciones como autoridades de protección de datos yo sido 3 una es la primera que se publicó la de la agencia Noruega, que es un ecosistema de desarrollo que ha tratado de integrar los conocimientos previos al desarrollo de software, con el ejemplo, y, por tanto, es una guía que, a su vez, se abre a muchos estándares y a muchas recomendaciones, particularmente en el caso de las normas ISO. En cambio LGTB nos proporciona una servicio de control coge cada 1 de los principios del artículo 5, establece una crisis de control que deberíamos verificar para estar seguros de que estamos diseñando desde o estamos desarrollando desde el diseño y por defecto. En cambio, en la Agencia Española de Protección de Datos y no solo lo toma todo, sino que escala estos 2 procedimientos, algo que define como ingeniería de la privacidad y que plantea un enfoque estratégico que no solo incluye el marco de referencia específico en que proporcionan los estándares de dependencia, sino que incluso los escala y va más allá desde el punto de vista de la implementación de procesos, de protocolos de estándares, de gestión e incluso de países y dejarnos sin tecnologías, evidentemente, si 1 lee el artículo días entender hasta qué punto la posición que ocupe la autoridad de protección de datos en esta materia para ser determinante iremos directamente a ellos y también desde el punto de vista de la interpretación de algunos elementos, como la transparencia o la trazabilidad, a la que alude, por ejemplo, el artículo 12, cuando habla de la conservación de registros. Aquí los ejemplos prácticos a los que me quería referir en el momento en el que esta evolución de ría, junto con la Ley de espacio europeo, de datos sanitarios, estaba en franca emergencia que hizo la autoridad española de protección de datos, publicar una guía sobre aproximación a los espacios de datos desde la perspectiva de la región es sí teniendo en cuenta que la apuesta de la Unión Europea para promover el acceso de las pequeñas y medianas empresas al desarrollo de la inteligencia artificial se basa como espacios de datos y y también lo veíamos fax. Lo que ha hecho la autoridad española de protección de datos es decirnos cómo espera que sean en sus espacios Qué condiciones deberían reunir y cómo se van a desarrollar. Bien, conocemos los dedos para que las otras, 26 autoridades de protección de datos no nos digan cosas diferentes, porque si no tenemos un problema particularmente serio y si se lo dice alguien que está citado en esta guía como revisor de la misma. Por tanto, ya tenemos una cuestión particularmente relevante. Un regulador nos ha dicho cuáles son las condiciones contextuales en el que se desplegaran los conjuntos de datos que podrían alimentar el desarrollo de sistemas de inteligencia artificial en fases de investigación, pero por qué no también en fases del desarrollo y se hablaba en anteriores ponencia sobre la anonimización. También nos han dicho Qué es la modernización y aquí enfrentamos un problema particularmente serio y aquí sí que los reguladores son esencialmente determinantes y digo particularmente serios porque en esa fase de investigación no tan sometida a ría al reglamento de inteligencia artificial como el desarrollo orientado a un producto, resulta que si aplicamos el ejemplo de la combinación de los artículos 5 en relación con el fair Ayuso, con los usos compatibles, las habilitaciones del artículo 9, 2 h en relación con categorías especiales de datos y el artículo 89 del régimen de, deducimos que la apuesta es la Administración, que por cierto es la misma apuesta que hace el Europea ngel datas país. La apuesta que puede deducirse también de la PAC gobernanza. El problema es que no todos estamos de acuerdo respecto de que esa no Administración a día de hoy y mientras no haya una posición definitiva el dictamen 5 2014 habla de anonimización irreversible equivalente al borrado mientras que 2 sentencias estamos esperando una sentencia del Tribunal General. Estamos esperando la sentencia del Tribunal de Justicia de la Unión. Nos dicen que la anonimización debía enjuiciarse desde el punto de vista del riesgo, desde la perspectiva de quienes están marcando los datos, es decir, para las autoridades de protección de datos. El juicio de riesgo debería repercutir sobre cualquier persona en el mundo aunque no tenga acceso al entorno, mientras que para el Tribunal de Justicia lo relevante relevantes si el que está tratando los datos puede recientes. Mientras tanto te puedes encontrar con que si eres alemán, la anonimización, es imposible y sé de qué hablo y lo digo con una enorme y casi amargura, es decir, no hay una posición clara y precisa en esta materia. La influencia de las autoridades es determinante y, bueno, puede que el montaje, el andamiaje regulatorio funciona muy bien desde un punto de vista teórico y sea imposible. Aplicar. Cuando descendemos a cuestiones de orden práctico porque es difícil tratar millones de datos mediante programas de data a otro, y especialmente teniendo en cuenta que las propias autoridades de protección de datos podrían haber citado aquí las directrices del Comité Europeo de Protección de Datos , dicen que, cuando despliegues actividades de investigación, el consentimiento de personal específico para cada investigación concreta, así que no sé si la audiencia imagina bajo qué condiciones, bajo qué concesión puede romper el consentimiento, especialmente en el ámbito de la salud, donde en un solo país pueden haber 4 o 5, 10 o 1.000 experimentos concurrentes al mismo tiempo. Así que esta es la cuestión. Esta es la cuestión que, por cierto, trataba de abordar la disposición adicional vigésimo séptima, aunque no sirva para nada. Por tanto, esta cuestión es relevante porque esta es la infraestructura de desarrollo. Lo mismo sucede con la seudonimización. Después de hablar de esa Administración, la vida de la autoridad habla de diferencia al País Vasco y de parte, computa y sin haber filtrado algún gráfico pero son técnicas de Seguridad Social o al impedir el acceso físico a los datos y al manejo o por parte del que hablábamos, a la cual en realidad deberían ser técnicas de anonimización, por tanto, este territorio nos plantea cuestiones particularmente complicadas. La Agencia Española de Protección de Datos también se ocupa de decirnos cómo se compone la el claro ejemplo de cuando desarrollase inteligencia artificial y me temo que no es la única. Otras están empezando a hacer lo mismo si no me equivoco, recientemente la autoridad francesa. Así que la pregunta es. Con quién me voy a quedar? Porque trabajo en proyectos europeos es extenso, no estándar que deba cumplir, abarca al de la otras autoridades; los tengo que cumplir todos y no les voy a contar toda la guía, pero resulta que la autoridad de protección de datos dice cosas que yo puedo compartir y otras que me resulta más complicadas. Evidentemente dice algo muy lógico. Si tú estás desarrollando un sistema de inteligencia artificial que directamente trata datos personales o que aunque no los trámites repercute sobre la configuración de la información de personas permítame la audiencia, un ejemplo puede haber un sistema que se hayan diseñado como producto sobre la base de tratar datos climáticos de contaminación y socioeconómicos, sin un solo dato personal en su fase de desarrollo, datos territorializados, pero que después en un sistema de riesgo actuarial a la hora de concederme un seguro de salud, me obligue a poner los códigos postales en los carros seguido a lo largo de todos los períodos de mi vida, como se me haya ocurrido nacer, y en una zona altamente contaminada, con pobreza energética y pobreza alimentaria. Ese sistema de aseguramiento ya sabe que tengo un alto riesgo de enfermedades cardiovasculares o de diabetes. Por tanto, evidentemente ese sistema que se ha desarrollado sin datos personales en realidad quiere establecer un modelo predictivo para la toma de decisiones en materia de aseguramiento que afectan no solo a mis datos personales sino incluso a mi derecho acceso a la prestación de salud. Por otra parte, es obvio que la autoridad ha reconocido la existencia de múltiples fuentes de datos, pero, claro, lo primero que nos dice la autoridad es que protección de datos se ha aplicado a todas y cada una de las fases de desarrollo de una inteligencia policial, subraya una base jurídica, no habilita para el uso de los datos para cualquier propósito ya en todo momento, es decir, ojo, porque cuando yo practico el análisis de riesgos y la evaluación de impacto a la que se refería a desangró no la estoy aplicando exclusivamente a la desarrollo del sistema de inteligencia artificial, entendido como un concepto general, no, no, no a la recogida de los datos, a su validación, verificación y enriquecimiento han prototipado, habrá fase de problema, tengo que en un continuo asegurarme de que mi análisis de riesgo se actualiza esa evaluación de impacto y ese análisis de riesgo está permanentemente actualizado. En cuanto a la información, yo no quiero extenderme, lo están viendo la transparencia, pero la autoridad ha dicho Bueno, como de acuerdo con el artículo 13 en relación con el artículo 22. Tú tienes que explicar la lógica del tratamiento. Tengo que decir yo todo lo que tiene que informar. Curiosamente, ninguna de las cosas que están aquí aparece en la regulación de modo expreso si los datos empleados sí; pero la importancia relativa de cada 1, su peso, no la calidad de los datos no aparece en la ley perfilado realizados valores de precisión, existencia o no de supervisión humana cualificada. Cierto es que para sistemas de alto riesgo los deberes de transparencia y para sistemas de la parrilla con los deberes de transparencia de ría pueden soportar parte de esta información, pero aquí tengo un regulador me está diciendo lo que tengo que hacer cuando yo ponga en marcha un sistema de inteligencia artificial dirigido y tenga un cliente final. No me refiero al usuario del sistema de información, sino a la ciudadanía, y yo no me haya ajustado a esta materia. Puede que tenga un problema serio. Evidentemente, no me voy a detener aquí el regulador se ha parado a señalar si pueden desarrollar sistemas completamente automatizados. Sabemos que hay que integrarlo con el reglamento de inteligencia artificial, pero el regulador ya me ha dicho cuándo no. Ya me ha dicho que tengo que buscar alternativas viables y equivalentes, sobre todo cuando se trate del consentimiento explícito. Tengo que garantizar la libertad de elección de los usuarios. Me parece razonable, pero, insisto, la integración de ambas normas es esencial también me han dicho cómo cumplo con el principio de minimización y claro no me ha dicho que significa minimizar la cantidad de datos tal y como está redactado. Eso significa que cuando se ven los datos mejor, tanto en volumen de información recopilada, pero se está acierto, es cierto. Es posible que yo me encuentre, y quiero recordar que vino, aunque se renunció afortunadamente, a la integración completa del modelo, al cae dentro del reglamento de inteligencia artificial, de lo que me congratulo y creo que no soy el único, a pesar de ello hay un conjunto de elementos de este modelo que persisten llevaba a su suegra cuando yo tenga una opinión diferente respecto del regulador en cuanto al volumen de datos, son adecuados y suficientes para garantizar la exclusión de Alsasua, porque a lo mejor yo pienso que son datos y el regulador piensa que son otro tipo u otro volumen de datos. O qué va a ocurrir cuando, siguiendo los criterios del regulador yo no sé los datos y estos datos sean irrelevantes, insuficientes, es más, genera un riesgo de sesgo o de baja calidad del sistema de información que diseñe qué va a ocurrir cuando tenga que decidir el plazo de conservación, y aquí hay que vincular esto al principio de reproducir liga, porque la filosofía del regulador español es acortar al máximo los plazos de conservación. Sin embargo, determinados sistemas de información, especialmente cuando son dinámicos y se retroalimentan por terceros, por usuarios, deberán mantener una base sólida del dataset de entrenamiento para verificar desviaciones. Y cuál es el periodo de conservación? Entonces, toda la diferencia del producto, cuando cambiamos la versión 1 a la versión 2 o cuando cambiemos de la versión 1 a la versión 1, punto 1, son cuestiones que no son tan sencillas. También nos habla de un ámbito del que ya se ha hablado y yo no me voy a detener en esta materia de la minimización. Ya hemos hablado, pero vean cómo la autoridad ha hablado de limitar la extensión de las categorías, el grado de detalle de precisión de la información, esto, cuando 1 contrasta con la posición del grupo de expertos de alto nivel en inteligencia artificial, y la gestión de riesgos, como la carencia de aplicabilidad, la exclusión de conservador, es difícil que no encuentra algún tipo de contradicción si no es capaz de modular el entendimiento de la recomendación hasta el regulada. No voy a traer la trazabilidad, pero de nuevo la autoridad nos ha proporcionado una guía de auditoría y lo ha hecho exactamente lo mismo que ha hecho esta que ven ustedes ahí. Esta tabla no es del regulador, es una tabla mía, pero en realidad los criterios que dan reguladora no modulan niveles de cumplimiento. Por tanto, no sirven como criterio avanzando para la gestión del riesgo y posteriormente es simplemente es una chequista de cualquier tipo, sino sin elementos cualitativos. Al menos eso sí se ha definido a todos los ámbitos de la auditoría. No me voy a detener aquí las conclusiones en una interpelación que quería ser breve para que dejase espacio al debate. Verán las avanzando en mi intervención anterior, la posición que ocupa el regulador en protección de datos respecto del conjunto del paquete digital, no solo en el reglamento de inteligencia artificial, establezca un conjunto de conexiones que hace que en materia de tratamiento de información personal, como decía la autoridad española de protección de datos, ya sea como base del tratamiento, ya sea como resultado operacional final del tratamiento del sistema de información de inteligencia artificial, es altamente dependiente. Del Reglamento General de Protección de Datos, pero a su vez, la realidad aplicativa del Reglamento General de Protección de Datos hace que en la posición que ocupan los documentos y los posicionamientos del regulador sean altamente determinantes a la hora de establecer condiciones de cumplimiento normativo, cuando estas posiciones han sido objeto de pacto por la industria para el sector del que se trate, y alcanzan un código de conducta o un esquema de certificación. El marco, por decirlo así es seguro, confiable y jurídicamente controlable. Sin embargo, cuando se trata de días informes que han sido unilateralmente, desarrollados por el regulador sin un periodo de alegaciones o de exposición pública y sin un esfuerzo concertado de conocimiento, dieron como resultado el despliegue de una instrucción que no se llama instrucción o de una norma de carácter general, a la que no se llaman normas de carácter general, que no es recurrible y, sin embargo, es utilizado por las autoridades en el ámbito del Law enforcement, en el ámbito de la garantía del cumplimiento normativo y de los procedimientos de inspección y sanción. Eso tiene riesgo grave, primero, producir asimetrías entre Estados segundo. Incluso cuando se alcanza un punto de cohesión o de coherencia proporcionado por la Comité Europeo de Protección de Datos , aun así digamos, que genera un riesgo sistémico desde el punto de vista de que cuando se hacen desde arriba, sin una interacción sino un conocimiento práctico inmaterial de las condiciones de desarrollo de los tratamientos, en lugar de ofrecer a los expertos en el desarrollo de esos sistemas de información, mecanismos alternativos y viables de cumplimiento normativo, se le imponen estándares, procedimientos y requerimientos que no siempre son alcanzables, con lo que para garantizar el derecho a la protección de datos la miramos por completo, cualquier posibilidad de investigación, de innovación y de emprendimiento, y eso no es necesariamente bueno. Esto es lo que quería compartir con todos ustedes en el día de hoy. Muchas gracias no sé si descorazonadora la última conclusión, pero se aborda seguramente un reto importante. No sé si alguien la sala quiere intervenir, hay otras cosas. Bueno, buenos días, hoy Meces, Navarro, de departamento de Derecho Financiero y Tributario, y felicito a todos los ponentes de toda la jornada porque ha sido realmente muy interesante desde mi desconocimiento de esta materia tan compleja y mi inquietud como ciudadana pues va. Me resulta muy la reflexión que quisiera hacer. Es que me resulta muy dolorosa como profesor, como jurista que esto sea derecho, porque realmente entiendo que el derecho está para solucionar los problemas de los ciudadanos y aquí no veo más que problemas, con lo cual es un mal derecho y es un para derecho, abundamos en la crisis del derecho, el derecho no sirve para nada y estamos con todos estos códigos, directrices y cosas que no sirven para nada. Bueno, desde mi punto de vista y mi materia ha dicho Bueno, se ha dicho aquí que el escenario evidentemente es muy complejo. Las normas que convergen aquí son también muy complejas y difíciles de entender y asimilar, y a mí me preocupa desde el punto de vista del seco de mi materia qué pasa con Hacienda y con nosotros, con los ciudadanos. Si el uso de las herramientas decisiones automatizadas entraría dentro de lo que es el concepto de inteligencia artificial, según el Reglamento, si se podrían considerar de alto riesgo si existe, bueno, alto riesgo, creo que está enumerado lo que es aplicación de la ley, pero es un concepto muy vago y Administración de Justicia. Si queda claro, entraría la Hacienda pública dentro de aplicación de la ley. Sería inteligencia artificial, según el Reglamento. En segundo lugar, puesto que se tratan datos personales, evidentemente se aplique o no ese reglamento de inteligencia artificial, se aplicaría el Reglamento de Protección de Datos, el reglamento europeo, y aquí pues se supone que tenemos muchísima garantía los ciudadanos. Yo me meto en la página de la Agencia Tributaria y hay un despliegue información primera capa, donde me están explicando que la base de tratamiento en la Ley General Tributaria, que la finalidad es lícita, puesto que esa aplicación de los tributos y evitar el fraude que pero hoy todas las informaciones son muy escuetas y lo que te dicen al final es que si necesita más información piensa en ayuda. Yo no sé qué podemos exigir a no hacer valer nuestro derecho a la protección de datos, o sea no; no sé para qué sirve este derecho fundamental y como poder articularlo a nivel de ciudadano. La evaluación. Esta de impacto vamos a. Se dice que se hace un análisis de riesgos, pero yo como ciudadano puedo pedir esa evaluación de impacto. Cómo puedo utilizar esta herramienta, que es tan importante y que interviene en 2 momentos? Por lo que he podido ver, primero cuando se dicta la norma es un informe, tiene que acompañar a al proceso de elaboración de la norma. Entiendo que si ya está esa evaluación de impacto la norma va a salir bien y respeta mi protección de datos, entonces que tengan que esperar a un desarrollo de una herramienta por parte de la Agencia Tributaria a una actuación automatizada, para que haya una evaluación del impacto específica de la misma diría yo, pedirla y podría llevarla a un procedimiento plantearla como como prueba en un procedimiento ya en un proceso. Si así hay un conflicto. Si quiero impugnar un acto administrativo, una liquidación en un procedimiento de control y se ha utilizado una actuación automatizada, yo puedo pedir que me acrediten la evaluación de impacto. No sé la verdad, es que mis dudas tienen en el infinito y no quiero abusar del turno de palabra, pero vamos, muchísimas gracias por su atención. Bueno, si recargo al estando, quieren intervenir. Por mi parte muy rápidamente te pasaron por si quieres Jefferson, a la persona que está en la sala, el punto 6 del anexo 3, que establece los sistemas de autonomías como cuando se destinan a autoridades en procesos de verificación, de cumplimiento normativo que parece apuntar a esa posibilidad. Entiendo que la persona, por cierto, no solo ha preguntado, sino que manifestaba opinión no, lo cual yo agradezco enormemente, porque en gran medida es compartida imagino que nos preocupa a todos, por ejemplo, los sistemas automatizados que tiene la Agencia Tributaria a la hora de definir, por ejemplo, sujetos de potencial inspección. La cuestión que plantea aquí es muy interesante creo que obliga a una interpretación sistemática del ordenamiento jurídico, en primer lugar, de régimen de las recomendaciones de la autoridad a las autoridades de protección de datos, sin que se recomienda tener en cuenta a las personas cuyos datos vamos a tratar para el desarrollo de la evaluación de impacto de la mayor transparencia posible. Los resultados de esa evaluación de impacto, lo cual no significa 1 confiere automáticamente un derecho de acceso a una copia, enterada y esa evaluación de impacto en ese sentido, al menos en nuestro ordenamiento jurídico, yo apostaría por el derecho de acceso a la información pública acomodar las líneas o por la acreditación del interés legítimo de alguien al recurrir a la hora de solicitar el acceso a esa evaluación de impacto. Aunque intuyo que es altamente probable que en el caso de la Hacienda pública se encontrase en el artículo 14 de la Ley orgánica de la Ley de Transparencia, perdón, de la Ley de 2013 alguna algún fundamento en la seguridad tuvo algunos de los valores que protegen al Estado a la hora de denegar el acceso, bien a la evaluación de impacto, bien a todos aquellos aspectos de evaluación de impacto que por otra parte, no nos interesan, que tienen que ver con la seguridad del sistema de información o la gestión de sus riesgos, pero me parece una pregunta pertinente y, evidentemente, una de las cuestiones que van a ser candentes en el ámbito de la Administración va a ser la capacidad de fiscalizar esos sistemas y su diseño. Quiero algunas cosas. La primera es que este tratamiento clasificarlo como alto riesgo bajo el anexo 3 del Reglamento, es posible, pero al mismo tiempo, la nexo idea, digamos, de un actor europeo de introducir una clasificación de los casos de alto riesgo de manera específica indicando cuáles son, a la sistema de inteligencia artificial lo veremos en este caso, vamos a ver muchísimo casos, tiene problema de decidir si la específica, herramienta encaja o no, porque es verdad que el nexo. 3 en el punto 6 hace referencia al nuevo enfoque Mancha, pero lo limita a algunos casos muy específico, y es verdad también que agencia hace investigación, que tiene relevancia penal, digamos criminal y así se puede interpretarla anexo, traes el punto 6, como extensible también a esta aplicación. Pero cuál es el problema que es tan exhausta, hecho teniendo piensan 2 algunos casos muy general y después la aplicación concreta son tan varias que se va a abrir un contencioso muy largo. Sabrá cuáles serán los casos que estarán en anexos o no estarán bajo la reglamento o no, por ejemplo, por esa razón, en Brasil se decidió de no seguir este modelo y seguir. El modelo de limpiar, donde se dice hay alto riesgo y hay presunciones. El artículo 35 3 El pear introduce presunciones pero presenciales no limitan El alcance de llegaba de la aplicación de la ley. Aquí la intención fue de facilitar las industrias de no aplicar la ley diciendo. Hay solo este escaso, sino estáis en este caso estoy tranquilos, pero ahora vamos a enfrentar a un largo contención judicial en rElación a cuáles son los casos que encajan o no en este anexos, pero siendo límites y yo discrepo con Ella que es un mal derecho. Yo no creo que sea un mal derecho, la flexibiliza tal, introducción de SOC lobo y todo es un buen derecho, porque exactamente donde se hace un derecho de artículos solo como en este anexo, traes si se piensa que les datos, por qué va a regular tecnologías y devolución? Puede imaginar puede desarrollar todas la trayectoria de esta cosa que no se puede hacer. Así que necesitamos, como ya he hecho muchas veces juntas las 2 cosas, tener normas dura de crear lo que ponen algunos principio. Una, unas medidas acumula Elementos que son necesarios, pero también introducir herramientas de socorro que no son malos, son una herramienta que proporciona flexibilidad dEl modElo e introducir código de conducta. Introducirse estándar introductor, esto es herramienta, permite de introducir algo que se puede, primero, como decía también erradicar, discutir no solo en BrusElas sino también con los PDR Torres, también con la Universitat Civil son de manera más participada. Segundo, introducir herramientas que se puede revisionar de manera simple. Hemos visto cuánto es difícil muchas veces se las normativas europeas y hemos visto cuanto más rápida la intEligencia, artificial, Elche y desde ahí es algo que se introdujo al final dEl procedimiento, sabrá El reglamento de intEligencia artificial, porque se dieron cuenta que había un nuevo problema y claramente aquí tenemos un problema cada 6 meses antes era cada 10 años, cada año, cada 6 meses, y no podemos imaginar que reglamentos que necesitan traes o cuatros años de negociación puede ser revisado cada 6 meses. Por eso es un buen modElo, manera de hacer de rehecho, juntar las 2 cosas clac, las 2 tienen esa fecha, bien la parte de hacerlo como la parte social. Las intervenciones en la sala adElante. Respecto al tema de la evaluación de impacto y de la lista que sacó la agencia española de los tratamientos, que tiene obligación de bueno sí de realizarla, que veo también que la Administración pública en problema de base, porque muchos tratamientos de datos se hacen en base a un incumplimiento de una obligación legal, entonces llevan muchos años tratando datos, porque son necesarios para, pues para prestar servicios o las competencias, por ejemplo, los ayuntamientos. En la propia ley de bases se indican las competencias que tienen, no se dice, quedan 2 tener que recabar, vale, y de hecho yo hablando con ayuntamientos cuando les preguntamos los formularios porque solicitan algunos tipos de datos yo mismo no saben ni por qué recabando datos, decir llevan toda la vida. Pidiéndolos es un formulario que ya tienen. Entonces creo que el problema viene que no se ha analizado previamente los riesgos que tienen de primeras porque no saben lo que es un tratamiento de datos ni el daño que implica. Estamos hablando aquí de derechos fundamentales y todavía a la Administración pública le cuesta entender el daño que hace. Que los datos se desperdicien o que se queden a manos de cualquier persona. Entonces la evaluación de impacto, quitando a que ya es difícil que se haga cuando es obligatorio y salvo que la agencia requiera, como por ejemplo creo que fue en el campo de fútbol de Burgos, creo que fue por porque era si usaba la biometría y creo que pidieron la evaluación de impacto y vieron que había deficiencias en el mismo. El problema es que la guía que hay para seguir donde indica un poco las medidas a seguir, o sea, te dice. Sigue el esquema nacional de seguridad o la ISO 27.001 2 responsable tiene que saber qué medidas a aplicar en base al artículo 32, ahí se quedó entonces hasta que alguien no denuncia y la agencia considera que no es suficiente y a lo mejor hace la prohibición del tratamiento. Veo que la el avance tecnológico choca con la protección de datos, porque no hay herramientas para ayudar a que la tecnología se desarrolle sin decirnos que va a ponderar la normativa de protección de datos o los derechos fundamentales, pero es que tampoco hay duda y es muy complejo y diverso, y puedo entender que se han metido en la normativa de protección de datos. La gente no lo entiende dentro del propio derecho, sea es una normativa muy complicada que confluye también con el derecho de la seguridad, de la información y con otro otro campo, que es muy tecnológico, y si no está dentro al final, cómo va a llegar a la ciudadanía, es decir, ya no hablo de Administración Pública, que, bueno, pues, quitando a Mercadona Zara y grandes empresas, que puedan tener al final el dinero, los recursos para poder pagar a ese tipo de gente, por ejemplo, y estar al día en la normativa, el resto de gente va a seguir vulnerando todos estos derechos y todas estas normas recaer. Quiere intervenir? Sí que quiero menos literalmente 2 párrafos de la publicación de la Agencia Española de Protección de Datos sobre la lista negativa a las exclusiones. El primero reto a que lo interpreta es porque tiene su aquel primer párrafo. Dice. En la siguiente lista. Se establecen los tratamientos exentos de realizar una evaluación de impacto; sin perjuicio de otras obligaciones está padeciendo la señora Belarra. Ejemplo, por tanto, no es una lista de exención de las obligaciones que establece la normativa de protección de la persona; los tratamientos de datos personales; traducción literal; como mínimo se tiene que hacer un análisis de riesgos, pero para eso no hemos necesitado 5 líneas con una subordinada, pero es que la exclusión de 3 se refiere a tratamientos que sean necesarios para el cumplimiento de una obligación legal; cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, siempre que en el mismo mandato legal no se obliga a realizar una evaluación de impacto, y siempre y cuando ya se haya realizado una evaluación de impacto completa. Traducido al lenguaje, esto es algo que alguien debería haber recurrido porque establece una asimetría brutal, es decir, respecto de este tipo de sistemas, no solo para el sector ICO, también para el sector privado, que cumple con obligaciones legales. El hecho de que tú está satisfaciendo la obligación legal evitan la evaluación de impacto, pero es que la obligación de impacto, la evaluación de impacto no se ha previsto en el artículo 35, bajo ninguna condición para establecer la legalidad de un tratamiento, sino para gestionar todos y cada 1 de los riesgos que integra. Por tanto, ver puedo coincidir con la con la persona que ha intervenido en el sentido de que a mí me resulta esta cuestión particularmente preocupante también, aunque evidentemente el sector público en estos casos, el análisis de riesgos al que le obliga a dar ejemplo no lo puede obviar bajo ninguna circunstancia y no podría ser jamás justificación jurídica alguna decir esto no lo hice porque no estaba obligado a hacer una evaluación de impacto. La evaluación de impacto es una metodología específica, pero no lo único modo de analizar el riesgo para los derechos fundamentales, para el cumplimiento normativo o para la seguridad, con independencia de que evidentemente en seguridad tenemos un problema desde el punto de vista del sector privado desde el punto de vista del sector público, no la disposición adicional primera de la ley orgánica tras 2018 es muy clara. La Administración pública aplica el esquema nacional de seguridad. Eso sí no quiero descargar sonarnos, pero vayan ustedes a la página del CSN a ver cuántas administraciones públicas se han certificado. Esperemos que ya se puedan contar con más de los dedos de los malos, porque hace un año con mayor inmediatez, sobraba. Bueno, este es un tema apasionante, el del cumplimiento de la medida de seguridad, y hasta qué punto las administraciones pueden estar obligadas a certificarse; no lo que están obligadas a cumplir el esquema nacional de seguridad y, en su caso, a demostrar que están cumpliendo o no, y este este debate tiene mucho que ver con lo que yo comentaba en la primera parte de la sesión, y es que el tratamiento de datos personales por parte de las entidades públicas se habilita en primer lugar el reglamento sin consentimiento a cambio de cumplir las reglas del juego, lo que no puede permitirse es que por una falta de regulación o a de precisión y la contundencia de las herramientas hayan sujetos que de facto lo estén cumpliendo la normativa, y ya no es un problema solo del remanente protección de datos, sino con toda la regulación, sobre todo que ha explicado también aplicar, pero les Sandro a mí me quedaba no la duda, si no hay tampoco posibilidad de imponer sanciones de forma inmediata informe. Nos vamos a encontrar no solo, como he enfatizado. Mercedes con una regulación muy difícil de aplicar lo que también estaba comentando. Tuvo en la práctica, nos lleva a que se conocen muy bien y se tienen los medios adecuados, o es imposible cumplir la normativa, sino que incluso la propia normativa. Quizá no sé si tiene instrumentos eficaces adecuado para obligar a que se utilicen, las herramientas disruptivas tecnológicamente, como la interactividad, con las garantías adecuadas. Es decir, que queréis al señor Zaragoza -Hernando si no sobre los esta última parte es un poco lo que hicimos también antes. La actitud del legislador no puede ser, digamos, de natura formal y decidir qué yo puedo crear una exención y puedo, no aplica, norma especifica sanciones sin mirar al marco completa, porque el marco completo claramente no puede ser un marco en el cual los derechos fundamentales no están adecuadamente protegidos. Ese es el tema básico, digamos, y la reglamento de inteligencia artificial, y ha hecho una limitación, porque ella ha decidido de Arse solo el alto riesgo, y a esa limitación en la aplicación del fundamento moral, ese impacto en el artículo 27, pero también en este reglamento las normas no son derogadas a la protección de los derechos fundamentales. Por ejemplo, se dice que fundamentos de ese impacto sexo tiene que estar hecho por los que desarrollan la inteligencia artificial en el sector público, y ese es importante también aquí el interés de la realidad. Se dice el sector público sector público como más alto riesgo. Digamos, y eso choca con la idea. El sector público no tiene sanciones porque exactamente revés. Aquí se deben al sector público, donde hay claramente una falta de paridad de poder digamos, entre el de Aduanas, la autoridad administrativa, y aquí se dice específicamente. Tiene que hacer la evaluación de impacto. Eso es importante también el marco de comparación para reflexionar. La falta de actuación en el sector público de reglamento de protección de datos en España en términos de sanciones se dice en el sector público e se dice en el sector de crédito de los seguros, pero eso no significa esto sector no tiene otro sector, no tienen que cumplir con los derechos fundamentales. Significa que simplemente no tiene que hacer de manera obligatoria esta evaluación del pacto exactamente como el DPO, el DPO a reglamento. Te dice que tú tiene que tener un DPO solo si hay más de 200 dependientes, pero eso no significa que tienen que emigrar a que pasen tu empresa en relación con la protección de datos, porque no tienen, pero a los derechos fundamentales son pro de hitos, así que se tuvo una evaluación de impacto, pero vas a violar los derechos fundamentales de base, frente a la cual ir y lo la evidencia la tenemos de los varios procedimiento que ya están abierto, bajo autoritario, independientes, base o tribunal para violación de derechos fundamentales en relación a la herramienta de inteligencia artificial, que son procedimientos existentes. Si relación con la AEAT porque no está efectivo, digamos en este sector de momento, así que alguna vez me parece que también ha mirado de las empresas cuando se lo opinen Bruselas mira a cosa muy sencilla, cómo no tenemos que cumplir con eso. Ya hemos hecho un gran resultado, pero el contexto está cambiando. Ahora hay mucho más activista de Societat Civil que van a mirar. Qué estás haciendo con tu empresa, con los datos, con el alcohol como si todos y si tú no es transparente si tú no, no miras a hacer las cosas bien no va a costar mucho hacer una acción lacra y después le impacto sobre la reputación. La intervención de la protección de datos limitación del tratamiento que gozan si aun así todo claramente la hemos visto en Chipre la hemos visto en otros; claro; si tú eres chiquitita, muy poderoso, hace presión, informar sobre los Gobiernos; eso; pero la Autoritat es eso lo que pasa básicamente; pero no todos son así y también lo que son así muchas veces se tengan que enfrentar a autoritas varias que a nivel europeo. Son muchas señal. Dicen. Algunas barreras tenemos que ponerlas, como ha pasado coche; allí contacto todos. Así que en un contexto tan fragmentado, todo también políticamente y todo no lo veo tan tan fácil sí sí; pero este saneamiento se será aplicado solo en este sector y los derechos fundamentales son protegidos por ley. Interesante reflexión. Para terminar. No están ahí son directamente aplicables y el problema del reto es aplicarlos efectivamente, en cada ámbito ya dependerá de las circunstancias concretas el alcance que tenga esa esa garantía jurídica esencial. Bueno, pues lo dejamos aquí salvo que haya alguna última intervención. No es el caso de haber cumplido sobradamente el horario de la sesión. Damos las gracias al Sandro Ricard por vuestra disponibilidad para participar, y, seguramente, nos emplazamos a alguna otra ocasión, hasta la próxima.

Propietarios

UMtv (Universidad de Murcia)

Publicadores

Julian Valero Torrijos

Comentarios

Nuevo comentario

Serie: Las competencias de las autoridades de control en materia de protección de datos desde la perspectiva de la regulación europea (+información)

Descripción

10.00 h. La potestad sancionadora de las autoridades de control seis años después de la entrada en vigor del RGPD
• Alejandro Corral Sastre. Profesor de Derecho Administrativo. Universidad Complutense de Madrid
• Javier Sempere Samaniego. Director de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial (CGPJ)
11:45 h. El alcance de las competencias de las autoridades de control en el contexto de la nueva regulación europea sobre Inteligencia Artificial
• Ricard Martínez Martínez. Profesor de Derecho Constitucional. Universidad de Valencia. Director de la Cátedra Microsoft sobre “Privacidad y Transformación Digital”
• Alessandro Mantelero. Profesor de Derecho Privado y de Derecho y Tecnología en la Universidad Politécnica de Turín. Director de la Cátedra Jean Monnet sobre “Derecho y Sociedades Digitales Mediterráneas”
13.15 h. Conclusiones