Los legisladores de la UE propusieron una actualización exhaustiva de las normas de protección de datos y privacidad del bloqueo en 2012.
Su objetivo: tener en cuenta los cambios sísmicos en la gestión de la información causada por El auge de la economía digital en los años siguientes se escribió en el régimen anterior, allá por 1995, cuando Yahoo estaba a la vanguardia y las galletas seguían siendo galletas sabrosas.
Aquí está el cuerpo ejecutivo de la UE, la Comisión, que resume el objetivo:
El objetivo de este nuevo conjunto de reglas es devolver a los ciudadanos el control sobre datos personales y simplificar el entorno regulatorio para las empresas. La reforma de la protección de datos es un factor clave para el mercado único digital que la Comisión ha priorizado. La reforma permitirá a los ciudadanos y las empresas europeos beneficiarse plenamente de la economía digital.
Para una tesis aún más corta, la teoría de la CE es que la confianza del consumidor es esencial para promover el crecimiento en la economía digital. Y cree que se puede ganar confianza al brindarles a los usuarios de servicios digitales más información y más control sobre cómo se usan sus datos. Lo que es, francamente, una idea bastante refrescante cuando se considera la intermediación de datos clandestinos que impregna la industria de la tecnología. La vigilancia masiva no es solo algo que hacen los gobiernos.
El Reglamento general de protección de datos (conocido como GDPR) se acordó después de más de tres años de negociaciones entre las diversas instituciones de la UE
. bloque desde el 25 de mayo de 2018. Esto significa que los países de la UE se comprometen a transponerlo a la legislación nacional a través de sus propias actualizaciones legislativas (como la nueva Ley de Protección de Datos del Reino Unido, sí, a pesar de que el país se encuentra actualmente al borde de (br) salir de la UE, el gobierno, sin embargo, se comprometió a implementar la regulación porque es necesario que los datos EU-UK fluyan libremente en el futuro post-brexit, lo que proporciona una indicación temprana de poder de atracción de la GDPR.
La UE es bombardeada con anuncios de una industria artesanal recientemente renovada de "asesores de privacidad" que les ofrecen ayuda para prepararse para la nueva cambio de una tarifa de servicio. Soy una firma de abogados que se especializa en protección de datos.
La GDPR es una pieza legislativa significativa cuyo impacto total claramente requerirá tiempo para sacudirse. Mientras tanto, aquí está nuestra guía principal pali cambios en los próximos y algunos posibles impactos.
Protección de datos + dientes
Un punto importante es que el GDPR no se aplica solo a las empresas de la UE; cualquier entidad que procese datos personales de ciudadanos de la UE debe cumplir. Facebook, por ejemplo, una compañía de EE. UU. Que maneja grandes cantidades de datos personales de europeos, tendrá que volver a procesar múltiples procesos comerciales para cumplir con las nuevas reglas. De hecho, ha estado trabajando en esto durante mucho tiempo.
El año pasado, la compañía nos contó que reunió "el equipo interfuncional más grande" en la historia de su familia de compañías para respaldar el cumplimiento de GDPR, especificando que esto incluía ejecutivos "senior" de todos los equipos producto, diseñadores y experiencia del usuario / ejecutivos de pruebas, ejecutivos de políticas, abogados y ejecutivos de cada una de las familias de compañías de Facebook.
"Decenas de personas en Facebook Irlanda está trabajando a tiempo completo en este esfuerzo", dijo, y señaló que el equipo de protección de datos en su sede europea (en Dublín) , Irlanda) crecerá un 250% en 2017. También afirmó que estaba contratando a un "oficial de protección de datos de alta calidad", una posición en la que parece que la empresa todavía está respondiendo preguntas
Las nuevas normas de la UE requieren organizaciones para designar a un oficial de protección de datos si procesan datos sensibles a gran escala (que Facebook deja muy claro). O están recopilando información sobre muchos consumidores, por ejemplo, realizando un monitoreo conductual en línea. Pero, realmente, ¿qué empresas en línea no hacen en estos días?
El alcance extraterritorial del GDPR establece a la Unión Europea como un pionero mundial en la protección de datos, y algunos expertos legales sugieren que la regulación obligará a que aumenten los estándares de privacidad Incluso fuera del ; UE.
Por supuesto, algunas compañías estadounidenses pueden preferir eludir las complicaciones y los costos de la fragmentación de sus procesos de gestión de datos y procesar los datos personales obtenidos de diferentes áreas geográficas de forma diferente, es decir, en lugar de simplificar todo de acuerdo con un proceso conforme a GDPR. . Pero hacerlo significa gestionar múltiples regímenes de datos. Y, como mínimo, existe el riesgo de una mala reputación pública si propone intencionalmente un nivel de privacidad más bajo para los usuarios domésticos que para los clientes en el extranjero.
En última instancia, podría ser más fácil (y menos arriesgado) para las empresas tratar el GDPR como el nuevo "estándar de oro" de cómo manejan todos los datos personales independientemente de dónde provengan.
Y aunque no todas las empresas recopilan datos personales de Facebook, casi todas las empresas recopilan algunos datos personales. Entonces, para aquellos con clientes en la UE, el GDPR no puede ser ignorado. Como mínimo, las empresas deberán llevar a cabo una verificación de datos para comprender sus riesgos y responsabilidades.
Los expertos en privacidad sugieren que el gran cambio aquí es sobre la aplicación. Porque aunque la UE ha establecido estándares y normas de protección de datos y considera la privacidad como un derecho fundamental, sus reguladores no han tenido los dientes para exigir el cumplimiento.
Pero ahora, bajo GDPR, las sanciones financieras por violaciones a la protección de datos aumentan enormemente.
La multa máxima por la cual las organizaciones pueden verse afectadas por las violaciones más graves de la regulación es el 4% de su facturación anual global (o 20 millones de euros, el que sea mayor). Aunque las agencias de protección de datos naturalmente podrán imponer multas aún más pequeñas. Y, de hecho, existe un sistema de multas en múltiples niveles, con un nivel más bajo de sanciones de hasta el 2% de la facturación global (o 10 millones de euros).
Esto es realmente un gran cambio. Porque aunque las agencias de protección de datos (DPA) en diferentes Estados miembros de la UE pueden imponer sanciones financieras por violaciones de las leyes de datos existentes, estas multas son relativamente pequeñas, en particular, contra los ingresos de entidades del sector privado que ellos son sancionados
En el Reino Unido Por ejemplo, la Oficina del Comisionado de Información (ICO) actualmente puede imponer una multa máxima de solo £ 500,000. Compárelo con los ingresos anuales del gigante tecnológico de Google (~ $ 90BN) y podrá ver por qué se necesita un dispositivo mucho más grande para los controladores de datos.
No es necesariamente el caso de que los Estados miembros individuales de la UE obtengan leyes de privacidad más fuertes como consecuencia de la GDPR (en algunos casos, los países probablemente tengan estándares más altos en su legislación nacional). Pero reforzar las medidas implementadas en el nuevo régimen significa que hay mejores oportunidades para que las APD comiencen a ladrar y morder como verdaderos perros guardianes.
El GDPR al inflar los riesgos financieros en la administración de datos personales, naturalmente, debe elevar los estándares, ya que las leyes de privacidad son repentinamente mucho más caras de ignorar.
Otros tipos de datos personales que son útiles para administrar
Entonces, ¿cuáles son los datos personales bajo GDPR? Esta es toda información relacionada con una persona identificada o identificable (en sujetos reguladores, las personas se conocen como "personas interesadas").
Mientras que "procesamiento" puede significar cualquier operación realizada en datos personales, desde el almacenamiento hasta la estructuración hasta sus modelos IA de alimentación. (El GDPR también incluye algunas disposiciones específicamente relacionadas con las decisiones generadas como resultado del procesamiento automatizado de datos, pero más sobre esto a continuación).
Una nueva disposición se refiere a los datos personales de los niños, con la regulación que establece un límite de edad de 16 años en la capacidad de los niños para permitir el procesamiento de sus datos. Sin embargo, los Estados miembros individuales pueden elegir (y algunos tienen) derogar al escribir un límite de edad por debajo de sus leyes.
El GDPR establece un límite a la edad de 13 años, asegurándose de que el estándar de facto para los niños pueda suscribirse a los servicios digitales. Por lo tanto, el impacto en los hábitos de las redes sociales de los jóvenes parece ser relativamente limitado.
Las nuevas reglas generalmente amplían la definición de datos personales, por lo que pueden incluir información como datos de ubicación, identificadores en línea (como direcciones IP) y otros metadatos. Entonces, nuevamente, esto significa que las empresas realmente necesitan realizar una verificación para identificar todos los tipos de datos personales que poseen. La ignorancia no es compatible.
GDPR también fomenta el uso de seudonimización (como el cifrado de datos personales y el cifrado de la clave de cifrado por separado y de forma segura), como una técnica pro-privacidad y pro-seguridad que puede ayudar para minimizar los riesgos del procesamiento de datos personales. Aunque los datos pseudonimizados aún se consideran datos personales; ciertamente donde el riesgo de reidentificación permanece. Por lo tanto, no obtiene un cambio general de los requisitos establecidos por la regulación.
Los datos deben ser verdaderamente anónimos para no caer dentro del alcance de la regulación. (Y ver cuántas veces se ha comprobado que los conjuntos de datos "anónimos" son identificables, confiar en que cualquier proceso de anonimización sea lo suficientemente robusto como para tener cero riesgos de reidentificación parece, bueno, arriesgado)
Las reglas de protección de datos entrantes se aplican tanto a los controladores de datos (por ejemplo, las entidades que determinan el propósito y los medios de procesamiento de los datos personales) como a los controladores de datos. (entidades responsables del procesamiento de los datos en nombre de un controlador de datos, es decir, subcontratistas
De hecho, los controladores de datos tienen algunas obligaciones de cumplimiento directo en virtud del GDPR, y también pueden considerarse igualmente responsable de las violaciones de datos, con las personas capaces de presentar demandas de indemnización directamente en contra de ellos y las autoridades de protección datos que pueden imponer multas u otras sanciones.
Entonces, la intención de la regulación es que no haya inconvenientes de responsabilidad a lo largo de la cadena de subcontratistas de gestión de datos. GDPR tiene como objetivo garantizar que cada enlace en la cadena de procesamiento sea robusto.
Para las empresas que dependen de muchos subcontratistas para gestionar las operaciones de datos en su nombre, es evidente que se debe realizar una gran cantidad de evaluaciones de riesgos.
Como en el caso anterior, existe cierta libertad para los Estados miembros de la UE en la forma en que implementan ciertas partes del reglamento (como en la edad de consentimiento para la información de niños).
Los grupos de protección al consumidor piden al gobierno británico que incluya, por ejemplo, una disposición opcional del GDPR sobre la corrección de datos colectivos en su proyecto de ley DP, un llamado que el gobierno ha rechazado hasta ahora.
Pero el objetivo más amplio es que el reglamento armonice las normas de protección de datos en todos los Estados miembros en la medida de lo posible para reducir la carga regulatoria sobre las empresas digitales que operan en torno al bloqueo.
Sobre compensación de datos, Max Schrems, un activista de privacidad europeo, famoso por su desafío legal a las prácticas de vigilancia masiva del gobierno de EE. UU. Que dio lugar a un acuerdo de transferencia de datos de 15 años entre la UE y Estados Unidos, que fue derribado en 2015, está llevando a cabo actualmente una campaña de crowdfunding para crear una organización sin fines de lucro para la aplicación de la privacidad a fin de explotar las nuevas reglas y perseguir litigios estratégicos sobre cuestiones de privacidad comercial.
Schrems argumenta que simplemente no es viable que las personas traigan gigantes tecnológicos a los tribunales para tratar de hacer valer sus derechos de privacidad, por lo que cree que hay una brecha en el panorama regulatorio para una organización experimentada que trabaja para cuenta de un ciudadano de la UE. No solo persiguiendo disputas estratégicas en interés público, sino también promoviendo las mejores prácticas en el sector.
El cuerpo de reparación de datos propuesto – llamado noyb; abreviatura de: "ninguno de su negocio" – fue posible porque GDPR permite la aplicación colectiva de derechos de datos personales. Y ese arreglo podría ser crucial para convertir un centro de gravedad alrededor de la aplicación de la ley. Porque a pesar de la posición y el rol de las APD reforzadas por el GDPR, estos organismos aún tendrán recursos limitados en comparación con el propósito de la tarea de supervisión en cuestión.
Es posible que algunos ni siquiera tengan el apetito de asumir el rol de un perro guardián completamente colmilludo. Por lo tanto, los grupos de consumidores y la privacidad de la campaña ciertamente podrían ayudar a recolectar cada aflojamiento.
Privacidad para el diseño y la privacidad de forma predeterminada
Otro cambio importante que se produce a través de GDPR es la "privacidad por diseño" que ya no es solo una buena idea; La privacidad por diseño y privacidad se convierten por defecto en requisitos legales estrictos.
Esto significa que los controladores de datos están obligados a minimizar el procesamiento de datos personales limitando la actividad solo a lo que es necesario para un propósito específico, llevando a cabo evaluaciones del Impacto en la privacidad y mantenimiento de registros actualizados para demostrar su cumplimiento
Los requisitos de consentimiento para el procesamiento de datos personales también se refuerzan considerablemente según el GDPR, lo que significa que los términos y condiciones largos e inescrutables pueden no serlo. ser usable (Y ciertamente hemos visto muchas cosas infernales en tecnología.) La idea central es que el consentimiento debe ser un proceso continuo y activamente administrado;
Como dice la ICO del Reino Unido, el consentimiento bajo el GDPR para el procesamiento de datos personales significa ofrecer a los individuos "una elección y control genuinos" (para datos personales sensibles que la ley todavía requiere uno) estándar superior) de consentimiento explícito
Existen otras bases legales para el procesamiento de datos personales bajo el GDPR, como la necesidad contractual; o cumplimiento de una obligación legal en virtud de la legislación de la UE o los Estados miembros; o para actividades llevadas a cabo en interés público, por lo que no es necesario obtener el consentimiento para procesar los datos personales de otra persona. Pero siempre debe haber una base legal apropiada para cada tratamiento.
La transparencia es otra obligación importante del GDPR, que amplía la noción de que los datos personales deben procesarse legal y correctamente para incluir un tercer principio de responsabilidad. De ahí el énfasis en los controladores de datos que necesitan comunicarse claramente con las partes interesadas, por ejemplo informándoles sobre el propósito específico del procesamiento de datos.
La obligación de los administradores de datos de mantener registros escrupulosos de la información que poseen, de lo que están haciendo con ella y de cómo se procesan legalmente, también se trata de demostrar el cumplimiento de los principios. procesamiento de datos GDPR.
Pero, con respecto a los controladores de datos, GDPR elimina la obligación de enviar notificaciones a las DPA locales sobre el procesamiento de datos. En cambio, las organizaciones deben mantener registros internos detallados, que un supervisor siempre puede pedir ver.
También vale la pena señalar que las empresas que procesan datos a través de las fronteras de la UE pueden ser controladas por las autoridades de protección de datos en varios Estados miembros si tienen usuarios (y están procesando sus datos) personal). Aunque el GDPR establece un llamado principio de ventanilla única, debe haber una DPA "guía" para coordinar la supervisión entre cualquier DPA "afectada": esto no significa que una vez que se haya aplicado un operador fronterizo europeo, como Facebook, solo responderá a las preocupaciones del DPA irlandés.
De hecho, las tácticas de Facebook de reclamar estar bajo la jurisdicción de un solo DPA de la UE parece ser prestado. Y el acuerdo de ventanilla única en el GDPR se parece más a establecer un mecanismo de cooperación para permitir que más DPA trabajen juntas en los casos en que tienen preocupaciones comunes. En lugar de ofrecer una forma para que las empresas multinacionales hagan "compras en el foro", lo que el reglamento no permite (para las indicaciones del WP29).
Otro cambio: las políticas de privacidad que contienen frases vagas como "Podemos usar su información personal para desarrollar nuevos servicios" & # 39; Podemos usar sus datos personales para fines de investigación & # 39; No pasaremos el recurso al nuevo régimen, por lo que una reescritura global de términos y condiciones vagas y / o confusas es algo que los europeos pueden esperar este año
y cualquier cambio en las políticas de privacidad debe ser comunicado claramente al usuario de manera continua, lo que significa que ya no hay referencias en la declaración de privacidad que indiquen a los usuarios que "verifiquen regularmente los cambios o actualizaciones", lo que no será factible. [19659003] La carga recae firmemente en el controlador de datos para mantenerlo completamente informado de lo que se hace con su información (lo que implica que casi una buena práctica de protección de datos podría terminar para parecerse a un poco de spam, por un usuario de PoV)
La intención general detrás de GDPR es inculcar un cambio en la perspectiva de toda la industria sobre quién "posee" los datos del usuario – Desentrañar a las empresas del concepto de que la información personal de otras personas les pertenece solo porque están en sus servidores.
"Las organizaciones deben reconocer que no existen para procesar datos personales, sino que procesan datos personales para hacer negocios", como lo resume el analista Bart Willemsen, director de investigación de Gartner. "Cuando hay una razón para procesar datos, no hay problemas, donde la razón finaliza, también debe procesarse".
El rol del Oficial de Protección de Datos (DPO) que introduce GDPR como requisito para muchos administradores de datos, está destinado a ayudarlos a garantizar el cumplimiento.
Este oficial, que debe informar al más alto nivel de gestión, tiene la intención de operar independientemente dentro de la organización, con advertencias para evitar una cita interna que podría generar un conflicto de intereses.
¿Qué tipos de organizaciones enfrentan el mayor riesgo de responsabilidad bajo GDPR? "Aquellos que parecen pensar deliberadamente que los derechos de protección de la privacidad son inferiores a los intereses corporativos", dice Willemsen, y agrega: "Un ejemplo reciente sería Uber, regulado por la FTC y sancionado para someterse a 20 años de auditoría. de similar, o incluso más, de una sanción financiera única. "
" Al final, GDPR es como un límite de velocidad: no hacer dinero con aquellos que aceleran, sino para evitar que la gente acelere demasiado, para evitar accidentes (en la privacidad) ", agrega.
Otro derecho al olvido
Según GDPR, las personas que han prestado su consentimiento para el procesamiento de sus datos personales también tienen un conjunto de derechos asociados, incluido el derecho de acceso a los datos celebrado en ellos (debe proporcionarse una copia de los datos de forma gratuita, generalmente en el plazo de un mes a partir de la solicitud); el derecho de solicitar la corrección de datos personales incompletos o inexactos; el derecho a cancelar sus datos (otro llamado "derecho al olvido" – con algunas excepciones, como el ejercicio de la libertad de expresión y la libertad de información); el derecho de limitar el procesamiento ; derecho a la portabilidad de datos (cuando corresponda, los datos personales de un sujeto de datos deben proporcionarse de forma gratuita y de forma estructurada, de uso común y leídos por una máquina).
Todos estos derechos hacen que sea esencial para las organizaciones que procesan datos personales que tengan sistemas que les permitan identificar, acceder, modificar y eliminar datos de usuarios individuales y poder realizar estas operaciones rápidamente, con un límite. 30 días para responder a solicitudes de derechos individuales. [19659003] GDPR también ofrece a quienes han consentido el procesamiento de sus datos el derecho de retirar el consentimiento en cualquier momento . Deja que se hunda.
También se requiere que los controladores de datos informen a los usuarios de este derecho y les ofrezcan formas fáciles de retirar el consentimiento. Entonces, no, no puede ocultar una opción para & # 39; revocar su consentimiento & # 39; en minúsculas, cinco submenús profundos. WhatsApp no puede ofrecer más opciones de exclusión voluntaria para compartir datos de usuarios con su multinacional matriz, Facebook. Los usuarios tendrán el derecho de cambiar de opinión cuando lo deseen.
La esperanza de los legisladores de la UE es que este conjunto de derechos consintientes del consumidor fomentará el uso respetuoso de sus datos, ya que, si los consumidores se molestan, pueden decirle que engañe al su gancho y solicite una copia de sus datos para vincular a su servicio rival para empezar. Volvamos a la idea de confianza que nutre.
Agregue la posibilidad de que las organizaciones de terceros utilicen la disposición de GDPR para la aplicación colectiva de los derechos de datos individuales y existe la posibilidad de que los malos actores y las malas prácticas se vuelvan 39; objetivo para algunas acrobacias publicitarias creativas que explotan el poder de la acción colectiva, como, por ejemplo, una oleada repentina de demandas para que una empresa elimine los datos del usuario.
Los datos relacionados con los derechos y la privacidad ciertamente estarán mucho más presentes en las noticias.
Tome en serio las infracciones de datos
Pero espere, ¡hay algo más! Otro cambio importante bajo GDPR se relaciona con incidentes de seguridad, es decir, violaciones de datos (algo que hemos visto en los últimos años de manera tan horrible), con una regulación que hace lo que Estados Unidos no ha podido hacer. : Traiga un estándar mundial universal para la divulgación de infracciones de datos.
GDPR requiere que los controladores informen sobre incidentes de seguridad en los que los datos personales hayan sido extraviados, robados o accedidos por terceros no autorizados a su DPA dentro de las 72 horas posteriores a su conocimiento. Sí, 72 horas . No es la mejor parte de un año, como er Uber.
Si una violación de datos puede generar un "alto riesgo de afectar los derechos y libertades de las personas", la reglamentación también implica que debe "capacitarse incluso antes de eso" sin "demoras indebidas"
Solo en casos bajo cuando un controlador considere que una infracción no es probable que suponga un riesgo para los derechos y las libertades de las "personas físicas" están exentos de la obligación de divulgar las infracciones (aunque siguen necesitando documentar internamente el incidente). y registre por qué no informa a un DPA en un documento que las APD siempre pueden pedir ver).
"Debe asegurarse de contar con procedimientos sólidos para detectar infracciones, investigaciones e informes internos" es la guía para ICO sobre esto. "Esto facilitará la toma de decisiones sobre si se debe o no notificar al supervisor relevante y a las personas afectadas"
y las reglas generalmente hacen hincapié en la seguridad de los datos y en la necesidad de que los controladores de datos garanticen que los datos personales se procesen solo de forma que se garantice su protección.
Una vez más, los requisitos de GDPR están respaldados por el riesgo de multas sobreexplotadas. De repente, una seguridad descuidada podría costarle mucho a su compañía, no solo en términos de reputación, como ahora, sino también en términos de rentabilidad. Entonces esto debe ser una preocupación de C-suite ahora.
Tampoco es la subcontratación una forma de evadir las obligaciones de seguridad de datos. Más bien lo contrario. Tener un contrato escrito entre un controlador de datos y un procesador de datos era un requisito antes de GDPR, pero los requisitos contractuales son más amplios ahora y hay algunos términos específicos que deben incluirse en el contrato, como mínimo.
Las obligaciones de notificación de infracciones también deben establecerse en el acuerdo de controlador del procesador. Si un controlador de datos está utilizando un procesador de datos y es el procesador el que sufre una violación, se le exige que informe al controlador tan pronto como tenga conocimiento de ello. Por lo tanto, el controlador tiene las mismas obligaciones de divulgación que de costumbre.
Básicamente, los controladores de datos siguen siendo responsables de su cumplimiento con GDPR. Y ICO advierte que solo tienen que nombrar procesadores que puedan proporcionar "garantías suficientes" con respecto al cumplimiento de los requisitos reglamentarios y la protección de los derechos de los datos.
tl; Dr., tenga cuidado de quién y cómo subcontratos.
a la revisión humana para algunas decisiones sobre IA
El artículo 22 de la GDPR plantea algunas restricciones a las decisiones totalmente automáticas basadas en perfiles individuales, pero solo en los casos en que tales actos carecen de personalidad humana tener un efecto legal o similar en las personas involucradas. [19659003] También hay algunas excepciones a las restricciones, donde se requiere un procesamiento automatizado para estipular (o ejecutar) un contrato entre una organización y el individuo; o donde está autorizado por la ley (por ejemplo para detectar fraude o evasión de impuestos); o cuando una persona ha consentido explícitamente al tratamiento.
En su guía, el ICO especifica que la restricción se aplica solo cuando la decisión tiene "un grave impacto negativo en un individuo".
Ejemplos sugeridos de decisiones solo de tipo AI que enfrentarán restricciones son la denegación automática de una solicitud de crédito en línea o una contratación electrónica sin intervención humana.
Tener una disposición sobre decisiones automatizadas no es un derecho nuevo, ya que fue presentado por la Directiva de Protección de Datos de 1995. Pero ha atraído nueva atención, dado el aumento desenfrenado de la tecnología de aprendizaje automático, como una ruta potencial para que GDPR controle el poder de las cajas negras de IA para determinar la trayectoria de la humanidad.
Sin embargo, el impacto del mundo real probablemente sea algo más prosaico. Y los expertos sugieren que parece poco probable que la regulación, tal como se describe, equivalga a un derecho de las personas a recibir explicaciones detalladas sobre cómo funcionan los algoritmos.
Aunque la inteligencia artificial prolifera y toca cada vez más decisiones y su impacto en las personas y la sociedad se vuelve más evidente, la presión podría crecer para una adecuada supervisión reguladora de las cajas negras algorítmicas.
Mientras tanto, lo que hace GDPR en los casos donde las restricciones se aplican a las decisiones automatizadas requiere que los controladores de datos brinden cierta información a las personas sobre la lógica de una decisión automatizada.
También están obligados a tomar medidas para evitar errores, prejuicios y discriminación. Entonces hay un aliento de responsabilidad algorítmica. Aunque puede tomar en cuenta los juicios judiciales y reglamentarios para determinar qué tan rígidos deben ser esos pasos en la práctica.
Las personas también tienen derecho a impugnar y solicitar una revisión (humana) de una decisión automatizada en la clase restringida. [19659003] Una vez más, la intención es ayudar a las personas a comprender cómo se utilizan sus datos. Y ofrecer un grado de protección (en forma de revisión manual) si una persona se siente injusta y peligrosamente juzgada por un proceso de inteligencia artificial.
Il regolamento pone anche alcune restrizioni sulla pratica dell'uso dei dati per profilare individui se i dati stesso è dati sensibili – ad es dati sanitari, credenze politiche, affiliazioni religiose ecc. – richiedono un consenso esplicito per farlo. Altrimenti, il trattamento è necessario per sostanziali motivi di interesse pubblico e rientra nella legislazione dell'UE o degli Stati membri.
Sebbene la profilazione basata su altri tipi di dati personali non richieda il consenso degli interessati, esiste ancora un obbligo di trasparenza – il che significa che i fornitori di servizi dovranno informare gli utenti che vengono profilati e spiegare cosa significa per loro.