Los derechos humanos digitales de los menores de edad

/0 Comentarios/en /por

A nadie le sorprenderá si decimos que las Tecnologías de la Información y Comunicación (TIC) representan un nuevo espacio de relación e interacción social que entraña riesgos y oportunidades. Ello nos ha llevado a modificar los roles tradicionales de comunicación y a crear herramientas digitales que garanticen la seguridad en la red.

En el XII Foro Europeo sobre los derechos de los niños, niñas y adolescentes (NNyA), organizado por la Comisión Europea en Bruselas en el 2019, se debatió sobre «dónde estamos y hacia dónde queremos ir« analizándose la promoción y protección de los derechos de los más vulnerables en un mundo digital en constante cambio.

En los últimos 10 años, hemos visto como la UE en colaboración con los Estados miembros, han realizado un trabajo incansable por la defensa, las oportunidades y la seguridad de los menores de edad, cuya conectividad online va en aumento. Esta situación nos ha obligado a crear mecanismos eficaces de protección digital que respeten sus derechos en entornos digitales, con nuevas medidas políticas y legislativas.

Este año 2021, ha supuesto un avance importante  por los derechos digitales de los menores de edad, tanto a nivel nacional como supranacional. El pasado día 25 de marzo, la Comisión Europea publicó la Estrategia de la Unión Europea sobre los Derechos del niño 2021-2024, destacando como una de sus acciones la de trabajar por una UE donde los NNyA puedan navegar con segura por el entorno digital y aprovechar las oportunidades”.

Paralelamente, el día 24 de marzo, el Comité de los Derechos del Niño (CDN), como órgano de expertos independientes que supervisa que sus Estados partes apliquen correctamente la Convención sobre los Derechos del Niño de Naciones Unidas, redactó la Observación General nº 25 “relativa a los derechos del niño en relación con el entorno digital”, cuyo objetivo primordial es: “ofrecer orientación sobre las medidas legislativas, normativas y de otra índole pertinentes, destinadas a garantizar el pleno cumplimiento de las obligaciones contraídas en virtud de la Convención y sus Protocolos Facultativos, habida cuenta de las oportunidades, los riesgos y los desafíos que plantean la promoción, el respeto , la protección y el ejercicio efectivo de todos los derechos de los niños en el entorno digital”. Los derechos de los niños, niñas y adolescentes, en entornos digitales cobran cada vez más fuerza, lo que impulsa un trabajo más intergeneracional, siendo indispensable la creación de una normativa legal que obligue a los Estados participantes a intensificar las medidas de protección, ante una sociedad que cada vez más intensifica su digitalización.

El Comité de los Derechos del Niño resalta en su Observación nº25, la importancia de que los Estados participantes protejan a todos los menores de edad contra los contenidos nocivos y poco fiables, mediante la creación de medidas legislativas y administrativas que impidan cualquier tipo de violencia, abuso, malos tratos y explotación, desde diversos aspectos:

  • Acceso a la justicia y la reparaciónSe debe asegurar que todos los menores de edad y sus representantes conozcan y tengan a su disposición mecanismos de reparación judicial para abordar las violaciones de los derechos de los NNyA en relación con los entornos digitales. Los Estados deberán garantizar que sus derechos son reparados tanto si la vulneración proviene de particulares como de empresas  en el contexto de sus operaciones a escala mundial.
  • Publicidad comercial y comercialización. Debe prohibirse por Ley, la elaboración de perfiles o la selección de niños de cualquier edad con fines comerciales, mediante un registro digital de sus características reales o inferidas, incluidos los datos grupales o colectivos, la selección por asociación o los perfiles de afinidad.
  • El derecho a la privacidadEste derecho resulta indispensable para garantizar la autonomía, dignidad y seguridad de los menores de edad, en relación con aquellos datos personales que contengan información sensible relativa a la identidad, ubicación, salud, comunicación, etcétera, por lo que el Comité resalta la importancia de implementar medidas legislativas y sistemas de verificación que amparen y garanticen la privacidad de los NNyA.
  • La violencia contra los niños. Al estar este colectivo más expuestos a sufrir cualquier tipo de violencia o abuso en la red, los Estados deben intensifiquen las medidas de seguridad y reforzar los mecanismos de protección, actualizando y aplicando marcos legislativos, reglamentarios e institucionales sólidos que protejan a los menores de edad frente a los riesgos reconocidos y emergentes de todas las formas de violencia en el entorno digital.
  • Acceso a la información. Hay que fomentar y apoyar la creación de contenidos digitales adaptados a la edad de los NNyA, y destinados a potenciar su papel en la sociedad, de acuerdo con la evolución de sus facultades, y lograr que estos tengan acceso a una amplia diversidad de información, incluida la que poseen los organismo públicos, sobre cultura, deportes, artes, salud, asuntos civiles y políticos y sus derechos.

La estrategia de la Unión Europea recomiendo a los EM para los próximos años 2021-2024, una actualización del sistema actual a favor de una digitalización más adecuada para los NNyA, recomendando a los Estados miembros y empresas TICs una adaptación en la línea de:

  • Garantizar a los NNyA un acceso equitativo y efectivo de las herramientas digitales y la conexión a internet, la alfabetización digital, el material educativo en línea accesible y las herramientas de accesibilidad necesarias para hacer efectivo su derecho.
  • Fomentar el desarrollo de sus competencias digitales básicas.
  • Apoyar acciones de alfabetización en el sector de la educación para fomentar en el desarrollo de los NNyA para detectar desinformación y contenido abusivo.
  • Preservación su privacidad, la protección de sus datos personales, y garantizar el acceso a un contenido apto según las edades.

A nivel nacional, España ha aprobado recientemente la Ley Orgánica8/2021, de 4 de junio, de protección integral a la infancia y la adolescencia frente a la violenciaDicha ley será de aplicación a todos los menores de edad que se encuentren en territorio español, independientemente de su nacionalidad y de su situación administrativa de residencia.

Entre algunos de sus objetivos de esta Ley, está el de promover un entorno digital seguro para los niños, niñas y adolescentes bajo un marco de prevención, detección precoz y protección frente a una posible vulneración de sus derechos frente a cualquier advertencia de contenidos en internet que impliquen una utilización inadecuada de los mismos y que puedan generar cualquier tipo de violencia infantil y/o sexual contra ellos, como el ciberbullying, el grooming, la ciberviolencia de género o el sexting, así como el acceso y consumo de pornografía entre la población menor de edad. Entre muchas de las modificaciones que esta ley ha incorporado en nuestro Código Penal se introduce un nuevo artículo 143 bis, con el siguiente contenido: “La distribución o difusión pública a través de Internet, del teléfono o de cualquier otra tecnología de la información o de la comunicación de contenidos específicamente destinados a promover, fomentar o incitar al suicidio de personas menores de edad o personas con discapacidad necesitadas de especial protección será castigada con la pena de prisión de uno a cuatro años…”.

Por último, el capítulo XII de esta Ley recoge el papel de la Agencia Española de Protección de Datos en la protección de datos personales, garantizando los derechos digitales de las personas menores de edad, estableciendo un canal accesible y la retirada inmediata de los contenidos ilícitos. En los casos de violencia sobre la infancia, la colaboración entre las administraciones públicas y los medios de comunicación pondrán especial énfasis en el respeto al honor, a la intimidad y a la propia imagen de la víctima y sus familiares, incluso en caso de fallecimiento del menor. En esta situación, la difusión de cualquier tipo de imagen deberá contar con la autorización expresa de herederos o progenitores

En conclusión, hay que seguir trabajando para que el ejercicio de los derechos civiles y políticos de los niños, niñas y adolescentes sean efectivos en la red, garantizándoles una navegación segura en la red, priorizando la defensa de sus derechos humanos digitales, y dándoles la posibilidad de participar y tener un papel más activo en la toma de decisiones. Y dada la gran preocupación por parte de padres/tutores, escuelas, proveedores de servicios públicos, así como organizaciones nacionales e internacionales de derechos humanos, es imprescindible reforzar y apoyar el rol de los progenitores a través del desarrollo de competencias y habilidades que favorezcan el cumplimiento de sus obligaciones legales y, en particular, las establecidas en el artículo 84.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

María del Pilar Tintoré
Presidenta de la Sección de Infancia y Adolescencia del Ilustre Colegio de la Abogacía de Barcelona (ICAB) y Vocal de ENATIC.

Más información:

Unas cláusulas necesarias, un problema persistente

/0 Comentarios/en /por

¿Les suena de algo un tal Max Schrems? Así, en frío, es probable que muchos de ustedes no reconozcan este nombre; pero es, probablemente, la persona que más ha influido en las relaciones entre los Estados Unidos y Europa en materia de protección de datos. Dos sentencias del Tribunal de Justicia de la U.E. llevan su apellido, con consecuencias demoledoras en ambos casos: la declaración de invalidez de los acuerdos Safe Harbor (2015) y Privacy Shield (2020), ambos utilizados por la mayoría de empresas para amparar las transferencias internacionales de datos con sus clientes o proveedores estadounidenses.

Desde la caída del “Escudo de Privacidad”, hace casi un año, son muchas las voces que claman por un nuevo instrumento jurídico que ofrezca cobertura a unos flujos trasatlánticos de datos que, a menudo, son necesarios e inevitables. Máxime debido a que no disponíamos de herramientas apropiadas para dar respuesta a esta necesidad, toda vez que la única alternativa viable (las llamadas “cláusulas contractuales tipo”), aun permaneciendo vigente, databa de principios de siglo y no daba cobertura a muchos de los requerimientos del actual Reglamento General de Protección de Datos.

A pesar de su amplia difusión y de su empleo generalizado, la repercusión de estas cláusulas contractuales era muy limitada: su firma era percibida por la mayor parte de las empresas como un simple formalismo burocrático, un automatismo sin mayor relevancia práctica; y esto no gustaba a las autoridades de supervisión. De ahí que se considerase prioritario introducir, también en este tipo de instrumentos, el principio de responsabilidad proactiva, hilo conductor del RGPD.

En este contexto, la Comisión Europea acaba de aprobar un nuevo conjunto de cláusulas contractuales, significativamente más completas y flexibles que las anteriores. Desde su inminente entrada en vigor, las empresas contarán con un máximo de 18 meses para actualizar sus contratos; y lo podrán hacer en base a un planteamiento modular, que ofrece distintas alternativas en función de los roles que, a efectos de la normativa de protección de datos, desempeñen el importador y el exportador. Así, las nuevas cláusulas dan respuesta a realidades que anteriormente no estaban previstas, como los flujos entre encargados de tratamiento, las relaciones en las que participan una pluralidad de partes o la posibilidad de que una tercera empresa se adhiera a ellas en un momento posterior a su firma inicial. Y lo hacen procurando dar respuesta a las preocupaciones planteadas por el Tribunal de Justicia de la Unión Europea en ambas “sentencias Schrems”.

Ahora bien, no esperen que implementar este articulado sea tan sencillo como copiar y pegar su contenido y plasmar una firma: su uso ha de venir acompañado de un análisis documentado del marco jurídico aplicable al importador de datos, a efectos de evaluar si sus previsiones y contexto resultan suficientes para amparar la transferencia internacional, o si es preciso implementar garantías adicionales para lograr el “nivel de protección sustancialmente equivalente al garantizado dentro de la Unión” que exige el Tribunal de Justicia de la U.E. Esas garantías adicionales podrían ser añadidas libremente por las partes, en su caso, en la medida en que no contradigan su clausulado ni perjudiquen los derechos y libertades de los interesados; y deberían basarse en las recomendaciones publicadas al respecto por el Comité Europeo de Protección de Datos.

Todas estas novedades, plagadas de buenas intenciones, mejoran y complementan el marco jurídico de las transferencias internacionales de datos; pero desgraciadamente, siguen sin dar una respuesta ágil y eficiente al principal problema al que se enfrentan decenas de miles de empresas en toda la Unión Europea, que dependen tecnológicamente de proveedores estadounidenses con los que resulta poco menos que imposible negociar los concretos términos de un contrato. La opción que estos proveedores plantearán a sus clientes, con toda probabilidad, será la aceptación de contratos de adhesión basados en estas cláusulas; y me atrevo a pronosticar que en muchos de ellos, la responsabilidad proactiva y el análisis previo de riesgos brillarán por su ausencia. Aún así, la gran mayoría de las empresas los acatarán sin pensárselo, para dar cobertura formal a unos flujos de datos que eran legales hace un año y que ahora las colocan en serio riesgo de sanción… y su firma tenderá a convertirse nuevamente en un mero trámite, hasta que intervengan las autoridades de supervisión. Se antoja probable, pues, que la mera aprobación de estas nuevas cláusulas contractuales resultará insuficiente para superar la difícil coyuntura en la que nos encontramos. Suponen un paso adelante, sin duda, pero precisamos soluciones más ambiciosas.

Si me permiten opinar, el despegue de tecnologías como la inteligencia artificial, el machine learning y los servicios en la nube hacen que cada vez sea más necesario contar con un marco global común en materia de privacidad y protección de datos. Los esfuerzos europeos son loables, pero utópicos, e incluso ingenuos si no vienen acompañados por movimientos similares en el resto de los países del mundo, empezando por los Estados Unidos. Mientras no se alcance esta meta, no veo otra salida que continuar aprobando soluciones temporales, abocadas a la irrelevancia práctica o a ser invalidadas por la Justicia. ¡Espero equivocarme!

José Leandro Núñez García
Abogado, Socio de Audens, y Vocal de Enatic.

El riesgo de reidentificación en la anonimización de los datos personales

/0 Comentarios/en /por

El RGPD determina en su Considerando 26 que los principios de protección de datos no deben aplicarse a la información anónima, es decir, información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el Interesado no sea identificable, o deje de serlo. Es decir, que la normativa de protección de datos no sería aplicable ni a la información que sea anónima ni a los datos personales que se hayan convertido en anónimos.

Cada vez es más frecuente la necesidad y uso de datos abiertos (geográficos, medioambientales, meteorológicos, de movilidad, cartográficos, geoespaciales, comerciales, legales, sociales, demográficos, económicos, estadísticos, financieros, etc.) para intentar dar respuesta a los grandes retos que la evolución de la sociedad actual nos plantea y generar beneficios tanto para el sector público como el privado que redunden en mejores servicios para los ciudadanos.

Un claro ejemplo, por desgracia, que demuestra la necesidad, cada vez mayor, del Open Data; ha sido el seguimiento, estudio y evolución de la pandemia mundial por la Covid-19 y los distintos conjuntos de datos publicados por las diferentes administraciones.

A pesar de los indudables beneficios, la publicación de cualesquiera de estos conjuntos de datos y su posterior utilización pueden llegar a afectar a la privacidad de los individuos y al derecho fundamental a la protección de los datos personales. Por ello, resulta frecuente que, dependiendo del proyecto en particular, se proceda a una “anonimización” bien de los datos en origen bien del conjunto de datos a publicar. 

Sin embargo, no debemos olvidar que los procesos de anonimización o de conversión de datos personales en datos anónimos constituyen un tratamiento en sí mismo de datos personales que si está sometido al RGPD y a los principios de la protección de datos, entre otros, el principio de la responsabilidad activa o accountability que le obliga  a cumplir y a demostrar dicho cumplimiento. Por ejemplo, dicho tratamiento debería quedar contemplado en el registro de actividades de tratamiento (art. 30 RGPD) o, según el caso, ser objeto de una evaluación de impacto (art. 35 RGPD). Resulta absolutamente esencial llevar a cabo un análisis, gestión y revisión continua de los riesgos de reidentificación que el propio proceso de anonimización conlleva. Pero no solamente respecto de la reversibilidad en sí misma de la anonimización de los concretos datos o atributos de los mismos que contengan información personal, sino también respecto a las posibilidades de identificar o hacer identificable a una persona al realizar determinadas agregaciones de información o cruzar o mezclar distintos conjuntos o bases de datos (y ello a pesar de estar anonimizados en origen).

En este sentido, el reciente Dictamen (CNS 12/2021) emitido por la Autoridad Catalana de Protección de Datos (APDCAT), ante la consulta de una fundación del sector público, en relación con el desarrollo de un modelo matemático para la prevención de epidemias y pandemias sin generar riesgos para la privacidad de las personas físicas; realiza un detallado examen de la calidad de la anonimización de los datos en origen (por parte delas entidades responsables-) y evalúa los posibles riesgos de una eventual reidentifación de las personas físicas. 

Resulta interesante el análisis que la APDCAT realiza respecto a los Datos del Programa público de analítica de datos para la investigación y la innovación en salud («padrino»), gestionado por la Agencia de calidad y Evaluación Sanitarias de Cataluña (Aqua); los Datos de la movilidad en España durante el periodo de pandemia por la Covid-19,publicadas por el Ministerio de Transportes, Movilidad y Agenda Urbana (MITMA); y losDatos abiertos del Instituto Nacional de Estadística (INE). En los dos primeros conjuntos de datos (datos de salud y datos de movilidad), exceptuando los datos del socioeconómicos del INE, y a la vista de la información aportada, la APDCAT concluye que no hay garantías suficientes de que la información se ofrezca con niveles de agregación suficientemente amplios.

En el caso de los datos de movilidad, a pesar de ser publicados por el MITMA cuando hay más de 1.000 viajes entre dos áreas (origen y destino), no existe, a juicio de la APDCAT, ningún mecanismo o medida que garantice que dichos datos se ofrecerán en abierto siempre y cuando entre dos áreas haya un número de viajes suficientemente grande que impida la reidentificación de una persona al correlacionar dichos datos con otro conjunto de datos. Y en el caso de los datos de salud, tampoco existen, en opinión de la APDCAT, suficientes garantías de que las agregaciones de datos (especialmente el dato de “número de hospitalizaciones” en relación con otros como “primera PCR positiva”, “media de días hospitalizados”, “rango de edad”, etc.) no se llevan a cabo sobre grupos pequeños de individuos, impidiendo la identificación.

En cualquier caso, y sin entrar en otras consideraciones que excederían con mucho del objeto y propósito de este post, la APDCAT incide en dos cuestiones, a mi juicio fundamentales, no solo para el caso objeto de la consulta sino extrapolables a cualquier proyecto que implique anonimización de datos: Por un lado, la aplicación del principio de minimización de datos del art. 5.1.c) RGPD, especialmente en los caso de “anonimización”; y por otro, buscar o utilizar el máximo nivel de agregación y ante muestra extremadamente reducidas de individuos, enmascarar dichos datos o, incluso, eliminarlos.

Además, como garantías adicionales a tener en cuenta, y extrapolables, en mi opinión, a cualquier otro supuesto, más allá del caso concreto, la propia APDCAT hace mención a determinados compromisos entre los diversos participantes en el proyecto como la confidencialidad, mantener la anonimización, vinculación de la información exclusivamente al proyecto concreto, comunicarse cualquier sospecha de posible reidentificación y determinar un plazo máximo de conservación de los datos.

En definitiva, la APCAT señala que en relación con los procesos de anonimización “(…) no se puede descartar que a partir del cruce de los datosanonimizados a que se refiere la consulta (…) se pudiera acabar identificando personas concretas, por lo que hay que medir, evaluar y gestionar este riesgo de reidentificación adoptando las medidasadecuadas (…) para reducir la probabilidad de reidentificación (…)”.

Sin duda alguna, en mi opinión, uno de los grandes retos para los abogados digitales, vendrá representado por el asesoramiento y ayuda en esos procesos de “anonimización” para poder aportar soluciones y que se adopten las medidas adecuadas que permitan una mitigación, control y supervisión de los riegos de reidentificación; y que a la vez permita disfrutar y beneficiarnos como sociedad de los indudables beneficios del uso y explotación de los datos abiertos, respetando la privacidad de los ciudadanos.

Óscar A. Sánchez
Delegado de Protección de Datos en Abertis Autopistas y Vocal de ENATIC.

Más información:

A vueltas con la Propuesta de Reglamento de la CE sobre la regulación de la IA: avances y riesgos

/0 Comentarios/en /por

Para hablar del futuro es necesario realizar una referencia a la novísima Propuesta de Reglamento de fecha 21 de abril de 2021, por la que se establecen normas armonizadas sobre la inteligencia artificial en la Unión, cuestión que también afectará irremediablemente en un futuro próximo a las investigaciones tecnológicas en la era postcovid, y en consecuencia, a los procesos penales donde se utilicen datos electrónicos.

Con esta normativa se vislumbra un futuro restrictivo en el uso de la IA a través de una regulación que frene su desarrollo y uso indiscriminado, con el fin de salvaguardar los valores últimos de la UE. Podemos decir que sería una parte dentro del Programa Europa Digital que actúa como su némesis. Dentro de este programa existe un topic principal consistente en “Configurar el futuro digital de Europa”[1] orientado en buscar una verdadera transformación digital de la UE con fiel respeto a los derechos fundamentales de los ciudadanos y como protagonista el desarrollo de la tecnología 5G mediante herramientas tecnológicas basadas en inteligencia artificial. Esta estrategia se traduce en impulsar, para todas las administraciones públicas y privadas, aplicaciones basadas en asistentes virtuales, herramientas predictivas, incorporación de bots o biometría entre otras. En definitiva, estamos hablando de utilizar Big Data, es decir, macrodatos en abierto[2], lo que causará inevitablemente un impacto en la privacidad de los ciudadanos europeos.

Además, esta propuesta de Reglamento sobre IA proporciona una definición de lo que se debe entender por este tipo de tecnología o herramienta, indicando que estaríamos ante “un software que, mediante el empleo de técnicas matemáticas y de programación, conocidas como “algoritmos”, permiten elaborar resultados que sirven para realizar predicciones, pronósticos de conductas, recomendaciones de decisiones futuras, entre otros fines”; cuestión de especial importancia al enfocar solo la definición en la parte intangible, y desligando acertadamente su desarrollo propio de la robótica, para lo que hay una serie de textos concretos y sobre las que gran parte de la sociedad y la doctrina entrelaza de manera confusa.

La Comisión Europea es consciente del alto grado de injerencia que este tipo de tecnología puede tener sobre el derecho fundamental a la protección de datos de los administrados, por lo que se deben plantear una serie de cautelas en la configuración de las aplicaciones por defecto. Quiere decir que partimos de una serie de requisitos previos de seguridad a nivel legal que se deberán cumplir y de que del mismo modo existe opacidad en muchos algoritmos que pueden generar complicaciones legales y desconfianza por parte de sus potenciales usuarios.

En este sentido, el proyecto presenta una normativa que clasifica los tipos de IA en función del riesgo de afectación e injerencia para los derechos fundamentales de los ciudadanos, diferenciando cuatro categorías: a) riesgo inadmisible, b) alto riesgo, c) riesgo limitado; d) riesgo mínimo.

Riesgo inadmisible significa que dichos programas estarán prohibidos y que por tanto no podrían tener una inclusión comercial al exponerse a una sanción concretamente sobre el 5% de los beneficios anuales de la empresa que lo desarrolle. Entre los usos prohibidos podemos encontrar todos los programas persuasivos que lleguen a manipular subliminalmente a los usuarios, aquellos que ataquen a colectivos especialmente vulnerables y que les pueda causar daño físico o moral, los que se basen en sistemas de “puntuación social” o aquellos que se basen en sistemas de reconocimiento biométrico en espacios abiertos y con finalidades privadas y no autorizadas previamente en el marco de una investigación policial ante casos de especial gravedad entre los que la propuesta de Reglamento destaca propiamente el terrorismo.

De igual modo, también sufrirán especiales limitaciones los sistemas de alto riesgo y tendrán que pasar una serie de filtros si quieren ser comercializados sin que se les llegue a imponer una sanción. Cuestiones vinculadas a filtrado de perfiles para recursos humanos, perfilación, transporte o infraestructuras críticas deberán demostrar mecanismos para controlar los inevitables sesgos o a la discriminación algorítmica que lleven aparejados, al tiempo que deberán contar así con una supervisión por humanos. Con este nuevo bloque la UE deja clara su apuesta por un tipo de IA que sirva de apoyo, pero nunca de sustitución completa, a labores vinculadas a administraciones públicas.

Nos parece un enorme acierto afrontar la discriminación algorítmica con controles humanos, que haya obligaciones de testar de manera continuada y que exista un feedback de diversos profesionales, así como poder desarrollar guías de buenas prácticas o estándares de uso de IA. Todo ello dota de enorme valor la propuesta de crear un Consejo Europeo de Inteligencia Artificial, formado por comités de expertos que asesoren sobre la materia. Esta cuestión sigue la estela de la réplica de otros campos como la de robótica. Cuestión distinta y aún por definir es todo lo relativo a la creación de sistemas de compliance en este sentido o códigos de conducta a la hora de desarrollar y aplicar los algoritmos.

¿Cómo se pretende realizar todo ello?  A través de lo que se denomina sandboxes regulatorios (cajas de arena). Hablamos de un entorno de pruebas cerrado, diseñado para experimentar de forma segura con proyectos de desarrollo web o de software. Es decir, realmente estaríamos hablando de una especie de campo de pruebas para nuevas herramientas tecnológicas que se encuentran en el plano alegal y que deben ser supervisados por las instituciones regulatorias. En este sentido, desde el punto de vista judicial una muestra clara sería el de la jurimetría o justicia predictiva, el cual podría encontrarse en esta franje de alto riesgo y del que se necesitaría un proceso de testar mucho más profundo que el que se ha hecho hasta el momento. Comienza así una lucha contra los algoritmos sesgados con soporte legal, pues el proyecto de Reglamento le dedica tres artículos, del 53 al 55. Concretamente el art. 53 apunta que “Los espacios aislados de regulación de la IA establecidos por una o más autoridades competentes de los Estados miembros o por el Supervisor Europeo de Protección de Datos proporcionarán un entorno controlado que facilite el desarrollo, la prueba y la validación de sistemas innovadores de IA durante un tiempo limitado antes de su comercialización o puesta en servicio con arreglo a un plan específico”. Estamos hablando de unas pruebas supervisadas, en las que cualquier riesgo significativo para la salud y la seguridad y los derechos fundamentales que se detecte durante el desarrollo y las pruebas de dichos sistemas dará lugar a una mitigación inmediata; tal y como recoge el punto tres del aludido precepto. Con ello, se abre un nuevo espacio de cooperación procesal internacional entre las autoridades competentes de los Estados miembros que hayan creado sandboxes o espacios aislados de regulación de la IA coordinarán sus actividades y cooperarán en el marco de la Junta Europea de Inteligencia Artificial.

De igual modo, en relación estricta con el objeto de la presente investigación: el uso de inteligencia artificial en la fase de instrucción del proceso penal, debemos acudir directamente al art. 52 de la propuesta de Reglamento, pues hace alusión expresamente a ello.

Así, el art. 52 regula las obligaciones de transparencia para determinados sistemas de IA. En este sentido será necesario que las personas que vayan a manejar el sistema sean informadas de las cuestiones de diseño y desarrollo sobre las que esa herramienta se ha configurado. Pero, a tenor de lo que atañe, esta cuestión queda excluida de los procesos penales, al indicar que “Esta obligación no se aplicará a los sistemas de IA autorizados por la ley para detectar, prevenir, investigar y perseguir delitos, a menos que dichos sistemas estén disponibles para que el público denuncie un delito”. Por tanto, solo deberán ser informados los usuarios si son herramientas de inteligencia artificial usadas por el público en general, pero no para autoridades judiciales.

Lo mismo ocurre con la biometría, ya que para ser autorizados estos sistemas deberán informar a las personas físicas que estén expuestas a los mismos, pero dicha obligación, según el art. 52.2 “no se aplicará a los sistemas de IA utilizados para la categorización biométrica, que están autorizados por la ley para detectar, prevenir e investigar delitos”[3].

De igual modo, si estos programas manipulan contenidos de imagen, audio o video, provocando lo que se denomina comúnmente como “Deep-fake”, se deberá indicar expresamente que el contenido está manipulado de manera artificial. Aunque vuelve a poner una objeción para la investigación de delitos al indicar que “no obstante, no se aplicará cuando el uso esté autorizado por la ley para detectar, prevenir, investigar y perseguir delitos o sea necesario para el ejercicio del derecho a la libertad de expresión y el derecho a la libertad de las artes y las ciencias garantizados en la Carta de los Derechos Fundamentales de la UE, y siempre que se ofrezcan las garantías adecuadas para los derechos y las libertades de terceros”. Creemos firmemente que esta cuestión está planteada para permitir el uso de materiales camuflados o creados artificialmente por agentes encubiertos informáticos, y así permitir el intercambio de archivos de naturaleza aparentemente ilícita.

Se abre una nueva etapa del uso de herramientas de inteligencia artificial en esta parte del proceso, para los que España ya se encuentra preparada. Debemos poner en valor que nuestro país es uno de los pocos estados miembros con una estrategia propia sobre Inteligencia Artificial, hecha pública en diciembre del 2020 y en la que se pretenden invertir 600 millones de euros hasta el 2023.  La misma se deberá adaptar al futuro Reglamento, aunque busca los mismos objetivos, los cuales se pueden resumir en dos: respetar los derechos fundamentales y generar confianza en la ciudadanía.

Al incardinar la estrategia en la Vicepresidencia de Asuntos Económicos y Transformación Digital, podemos ver que el enfoque está planteado para hacer del desarrollo de la IA un nuevo vector económico. Esto a su vez, podría llegar a tener una fuerte repercusión a nivel de empleo y se inserta además en el Plan de Recuperación, Transformación y Resiliencia de la economía española, lo que conecta con los fondos Next Generation de la UE para hacer frente a las consecuencias provocadas a todos los niveles por la crisis sanitaria de la Covid-19 y al que se añade el fondo Next Tech de naturaleza público-privada. Desde el punto de vista jurídico se habla de conseguir un marco ético y normativo que garantice la protección de los derechos individuales y colectivos. Podemos decir que el punto cardinal que centrará esta acción en legislar la injerencia de la IA en los derechos fundamentales de las personas entre los que destacará la protección de datos personales, para perseguir los fines propios recogidos sobre la materia en el mismísimo Tratado Fundacional de la Unión Europea.

Federico Bueno de Mata
Profesor Titular de Derecho Procesal en la Universidad de Salamanca y Vocal de ENATIC

[1]  Vid. https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/shaping-europe-digital-future_es (Fecha de consulta: 18 de mayo de 2021).

[2] BUENO DE MATA, F. “Macrodatos, inteligencia artificial y proceso: luces y sombras”, Revista General de Derecho Procesal, iustel.com, núm. 51, 2020.

[3] Esta cuestión ya viene apuntada por el Libro Blanco de la Inteligencia Artificial, en relación a la recopilación y el uso datos biométricos para la identificación remota; al indicar que su uso entraña riesgos específicos para los derechos fundamentales si dichas tecnologías se utilizan en espacios abiertos sin haber informado previamente a sus potenciales usuarios.

En Abogacía, ¿quién forma para obtener las competencias digitales?

/0 Comentarios/en /por

A solo dos días del 5 de junio, fecha en la que se realizará por el Ministerio de Justicia el primer Examen de Acceso al Ejercicio de la Abogacía del año 2021 -segundo en la historia de la existencia de este examen que realiza en formato on line – vuelve a asaltarme la pregunta que tuve la ocasión de poner sobre la mesa en octubre del año 2018, cuando fui invitada por el Ilustre Colegio de Abogados de Barcelona a participar en las “Primeras Jornadas sobre Transformación Digital en la Abogacía”: En Abogacía, ¿quién forma para obtener las competencias digitales?

Dos años y medio después, con el virus que ha hecho temblar el mundo aún entre nosotros, todo lo planteado allí se ha acelerado. Pero aún queda mucho camino por recorrer. La brecha digital es aún enorme.

Ya nadie duda de la necesidad de que un abogado tenga que estar actualizado en competencias digitales – y así se recoge tácitamente en el Real Decreto 135/2021 de 2 de marzo, por el que se aprueba el Estatuto General de la Abogacía Española-. Ya no nos da vergüenza hacer videconferencias, el teletrabajo está totalmente normalizado, las transacciones por internet ya no son la excepción, la formación on line se ha disparado etc.

Pero, precisamente, en ese año 2018, concretamente el día 3 de marzo, los que nos dedicamos, en parte, a la formación continua de los abogados y a la formación inicial de los letrados en prácticas, tomamos consciencia de la realidad del cambio social en que estamos inmersos en materia formativa y pensamos en adaptar los planes de estudios de los postgrados habilitantes para el examen de acceso, con la finalidad de que nuestros alumnos adquirieran competencias digitales.

La noticia corrió como la pólvora en las redes sociales: las preguntas de las 31 a la 34 del examen de acceso versaban sobre Lexnet, una materia “no incluida” en el programa el examen de acceso.

En ese momento algunos, en nuestro fuero interno, pensamos que en realidad si era una materia incluida. Técnicamente esas preguntas no eran más que las competencias digitales, que como materia transversal, debe tener todo futuro abogado. Esas preguntas evidenciaron la transformación digital de las aptitudes que tradicionalmente se habían considerado como deseables para los abogados, en función de un nuevo paradigma social.

Desde entonces se ha tratado de asegurar la formación práctica en materia de documentos digitales, contratos electrónicos, firma digital, tele trabajo, comercio electrónico, y muy especialmente en este último año en la enseñanza virtual, grupos (redes) sociales, delitos informáticos y por supuesto ciberseguridad.

Esas preguntas sobre Lexnet implicaron reconocer la necesidad de un proceso de actualización continua, pero para hacerlo con garantías, quizá debamos regular las competencias digitales de la abogacía y de los que se forman con la finalidad de ejercerla.

Hasta la fecha, únicamente la American Bar Association ha reglado dichas competencias, en un documento de fecha 2012.

El Colegio de Abogados de California también posee un documento, o guía profesional, en el que se resumen estas competencias en todas aquellas que impliquen optimizar el trabajo para tener mayor eficacia y rigor profesional, y señala como punto básico la permanente actualización tecnológica en materia de ciberseguridad para dar “cibertranquilidad” a nuestros clientes.

Respecto a los alumnos de las facultades de derecho, se da la paradoja de que están conviviendo en las aulas nativos digitales, que normalmente se limitan a recibir clases magistrales de los que, en el mejor de los casos, están o estamos inmersos en un proceso de “migración digital”.

Quizá estemos en el momento de crear ambientes formativos proactivos, plantear la conveniencia de cursar dobles titulaciones en las que se garantice la formación en materia de derecho digital no sólo como materia transversal, se establezcan colaboraciones con profesionales que manejen las TIC y, por quien proceda, se creen una acreditación de esas habilidades especiales para el manejo de los instrumentos digitales que se requieren para ejercer cualquier profesión jurídica.

Hasta entonces, seguiremos atentos a lo que suceda este 5 de junio de 2021. Seguiremos observando como la realidad social cambiante, nos indica qué es lo que tenemos que regular y por supuesto, seguiremos deseando buena suerte a todos los letrados en prácticas, sin duda alguna, los mejor preparados de la historia en materia de derecho digital.

Que la fuerza les acompañe. Quizá pronto, muchos de ellos sean socios de ENATIC.

Laura Fra Rodríguez
Abogada, Vocal de ENATIC.
Responsable de formación del Ilustre Colegio de Abogados de León (ICAL)
Coordinadora por parte del ICAL del Máster Universitario de Acceso al Ejercicio de la Abogacía de la Universidad de León.