Novedades Legislativas tecnológicas para 2023
Repaso de las novedades legislativas que las empresas tecnológicas deberán tener en cuenta para este año 2023.
Paradigma Digital, con motivo del Día Europeo de la Protección de Datos que se celebra el próximo 28 de enero, ha querido compartir y analizar las novedades legislativas que este año 2023 las empresas deberían tener en cuenta en materia de protección de datos tras la gran actividad legislativa que se ha producido durante el año pasado.
El siguiente conjunto de normas, junto con otras iniciativas, forman parte de la estrategia de ciberseguridad de la Unión Europea.
Ley Europea de Inteligencia Artificial
En abril de 2022 se aprobó una Propuesta de Reglamento por el que se establecen normas armonizadas sobre inteligencia artificial en la Unión Europea. Esta normativa insta al uso de la Inteligencia Artificial y el desarrollo de su industria bajo “estándares democráticos” con el fin de que “la tecnología complete al trabajo humano” y que será aplicable a todos los usos de la IA que afecten a los ciudadanos de la UE.
En ella se abordan los riesgos de usos específicos de la IA, clasificándolos en 4 niveles diferentes: riesgo inaceptable, riesgo alto, riesgo limitado y riesgo mínimo, para garantizar que los europeos puedan confiar en la IA que están utilizando. El Reglamento también es clave para construir un ecosistema de excelencia en IA y posicionar a Europa para desempeñar un papel de liderazgo a nivel mundial, pues sería la primera potencia mundial en disponer de este tipo de regulación.
Para el desarrollo de muchas de sus previsiones, la Unión Europea ha constituido la Agencia Española de Inteligencia Artificial, primera institución de estas características en la Unión Europea, que tendrá su sede en A Coruña.
Ley de Mercados Digitales y la Ley de Servicios digitales
Por otro lado, el 1 de noviembre de 2022 han entrado en vigor dos normas en la UE para las plataformas en línea que comenzarán a ser aplicables a partir del 2 de mayo de 2023:
Por un lado, la Ley de Mercados Digitales (Digital Markets Act, o DMA). Esta norma busca poner fin a las prácticas desleales de las empresas que actúan como guardianes de la economía de las plataformas en línea.
Y la Ley de Servicios Digitales (Digital Services Act, o DSA), busca crear un entorno en línea más seguro y responsable, ofreciendo nuevas protecciones a los usuarios y seguridad jurídica a las empresas en todo el mercado único al regular los intermediarios en línea, convirtiéndose así en referencia internacional al ser pionera en establecer una regulación de este tipo.
Nuevo acuerdo de protección de datos entre Europa y EEUU
Tras la anulación del anterior acuerdo y dos años de negociaciones, se ha aprobado un nuevo acuerdo cuyo objetivo es restaurar una base legal importante para los flujos de datos transatlánticos, en el que se pretenden abordar las cuestiones que planteó el Tribunal de Justicia de la Unión Europea, tratando así de evitar que lo vuelva a anular al considerar que Estados Unidos no daba garantías suficientes para proteger la privacidad de los datos.
Carmen Troncoso de Paradigma Digital, ha señalado: “Este acuerdo explica cómo se permitirá el flujo de datos entre la UE y EE. UU. de forma predecible, fiable, equilibrando la seguridad, el derecho a la privacidad y la protección de datos”.
Directiva NIS 2
En diciembre de 2022 entró en vigor la Directiva NIS 2, Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2).
Esta Directiva establece obligaciones de ciberseguridad para los Estados miembros, medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación, obligaciones relativas al intercambio de información sobre ciberseguridad, así como obligaciones de supervisión y ejecución para los Estados miembros.
Propuesta de Reglamento de ciberseguridad en productos con elementos digitales
Por otro lado, en septiembre de 2023 se aprobó por la Comisión Europea la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre requisitos de ciberseguridad horizontal para productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020. El Reglamento propuesto tiene como objetivo establecer requisitos de ciberseguridad en toda la UE para una amplia gama de productos de hardware y software y sus soluciones de procesamiento de datos remotos. Estos incluyen, por ejemplo, navegadores, sistemas operativos, firewalls, sistemas de administración de redes, medidores inteligentes o enrutadores.
Al respecto se ha pronunciado el Supervisor Europeo de Protección de Datos (SEPD) subrayando la importancia de la ciberseguridad de los productos con elementos digitales para proteger de manera efectiva los derechos fundamentales de las personas en la era digital, incluidos sus derechos a la privacidad y la protección de datos, mostrando su acuerdo con dicha propuesta y recomendando entre otras cuestiones la inclusión también los principios de protección de datos desde el diseño y por defecto como parte esencial de estos requisitos.