Microlab Hard S.L.

En los últimos meses hemos sufrido un verdadero auge de la Inteligencia Artificial (IA), en el que gran cantidad de programas utilizan esta tecnología como carácter diferenciador. Y es que la IA ya no es una idea futurista, sino que en la actualidad está presente en numerosos servicios, como asistentes virtuales, herramientas de segmentación de clientes, selección de personal, etc.

Es difícil imaginar el alcance que puede tener esta tecnología, si a día de hoy se puede utilizar para la toma de decisiones automatizadas sin intervención humana, la elaboración de perfiles que pueden afectar derechos fundamentales, o la aplicación de sesgos que pueden derivar en discriminación, entre otros usos. Por ello, el uso de esta tecnología precisa de un análisis jurídico antes de su implementación, con el ánimo de garantizar que no se incumpla la normativa.

La evaluación de impacto como obligación esencial

Uno de los pilares para un correcto cumplimiento de la normativa ante el uso de la IA es la Evaluación de Impacto en la Protección de Datos (EIPD). Esta evaluación es obligatoria cuando el tratamiento incluye un alto riesgo para los derechos y libertades de las personas y, en particular, cuando el tratamiento conlleve el uso de nuevas tecnologías, por lo que se es legalmente exigible cuando una empresa decide implementar cualquier herramienta que utilice IA.

Según la Agencia Española de Protección de Datos (AEPD), esto se aplica especialmente si se utilizan algoritmos que:

• Realizan deducciones sobre el comportamiento o características de las personas.
• Automatizan decisiones significativas (como conceder un crédito o contratar a alguien).
• Tratan categorías especiales de datos; como salud, religión o preferencias sexuales.

La AEPD enfatiza que esta evaluación no es solo un requisito legal, sino una herramienta de gobernanza responsable que permite anticipar problemas éticos, técnicos y jurídicos.

Esta EIPD debe garantizar la licitud y proporcionalidad del tratamiento, así como otorgar al responsable la información necesaria para incorporar medidas de seguridad específicas que garanticen la seguridad de la información y el cumplimiento del principio de minimización de datos.

Responsabilidad

En caso de incumplimiento de la normativa de protección de datos, la responsabilidad recae en quienes deciden implementar IA en sus procesos; esto es, la empresa que decide contratar un software que utiliza IA. No basta con confiar en proveedores o en el propio software, sino que es necesario realizar un análisis por parte del responsable que garantice el cumplimiento de los principios del RGPD y la proporcionalidad del tratamiento.

En este contexto, si su empresa está considerando implementar soluciones basadas en inteligencia artificial o ya las utiliza en sus procesos, es fundamental asegurarse de que dichas herramientas cumplan con la normativa vigente en materia de protección de datos. En Microlab, contamos con una sólida experiencia en asesoramiento legal relacionado con nuevas tecnologías, privacidad y cumplimiento del RGPD. Nuestro equipo ofrece un enfoque personalizado para evaluar los riesgos, realizar la correspondiente Evaluación de Impacto (EIPD) y adaptar sus procesos a los requisitos legales actuales.

No dude en ponerse en contacto con nosotros. En Microlab estamos a su disposición para ayudarle a incorporar la inteligencia artificial en su negocio con total seguridad jurídica, protegiendo tanto los intereses de su organización como los derechos de sus usuarios y clientes.

La Agencia Española de Protección de Datos ha impuesto recientemente una cuantiosa sanción a un centro odontológico madrileño por realizar una llamada comercial a una persona que se encontraba registrada en un sistema de exclusión publicitaria. El procedimiento sancionador, que fue iniciado tras la denuncia de la persona que recibió la llamada comercial, finalizó con la imposición de una multa de 5.000 euros, reducida finalmente a 3.000 euros.

¿Qué es un sistema de exclusión publicitaria?

Un sistema de exclusión publicitaria es un mecanismo diseñado para que las personas puedan ejercer su derecho a no recibir publicidad no deseada. Se trata de un registro en el que los interesados pueden inscribirse voluntaria y gratuitamente para evitar que sus datos personales sean utilizados con fines de prospección comercial.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD), obliga a las empresas que realicen acciones comerciales a consultar estos sistemas de forma previa a dichas acciones, con la finalidad de evitar enviar publicidad a los interesados que hubieran manifestado su oposición.

En España, el sistema más conocido es la Lista Robinson, gestionada por la Asociación Española de Economía Digital (Adigital).

La importancia de escoger proveedores de confianza

En las labores de inspección, la AEPD pudo determinar que el número que emitió la llamada comercial pertenecía a una empresa de publicidad digital, la cual reconoció haber realizado la llamada con motivo de la campaña concertada entre esta y el centro odontológico.

Además, la empresa de publicidad reconoció que los datos del reclamado fueron obtenidos de una base de datos adquirida de un tercero y que realizaron las acciones comerciales sin tomar la precaución de revisar por su cuenta la lista Robinson para corroborar estos datos.

No obstante, el proceso sancionador se dirigió contra el centro odontológico como responsable del tratamiento y no contra la empresa de publicidad, pues es aquel quien debe escoger a proveedores de confianza que aporten suficientes garantías de cumplimiento.

Estos hechos ponen de manifiesto la importancia de acudir únicamente a proveedores de confianza que aporten garantías concretas de cumplimiento. En caso de subcontratar acciones comerciales directas, es altamente recomendable que contractualmente el proveedor aporte las siguientes garantías:

• Los datos han de ser obtenidos lícitamente.
• Los destinatarios de las acciones comerciales han tenido que consentir previamente recibir esta clase de publicidad.
• El proveedor debe consultar previamente los sistemas de exclusión publicitaria.

Obligaciones incumplidas

Por todo lo anterior, el reclamado vulneró dos imperativos legales:

• El derecho de los usuarios a no recibir llamadas no deseadas con fines de comunicación comercial, consagrado en el art. 66.1 b) de la Ley General de Telecomunicaciones.
• La obligación de consultar los sistemas de exclusión publicitaria de forma previa la realización de las acciones comerciales directas, dispuesto en la LOPD-GDD.

La Agencia determinó que los hechos descritos constituían una infracción tipificada como leve, imponiendo una multa administrativa de 5.000 euros, aunque posteriormente y tras aplicar dos reducciones, por asunción de la responsabilidad y pago voluntario, se estableció una sanción de 3.000 euros.

En este contexto, si su empresa realiza campañas de marketing directo o subcontrata servicios de prospección comercial, es imprescindible asegurarse de que se cumplen todas las obligaciones en materia de protección de datos. En Microlab, le ayudamos a garantizar que sus prácticas comerciales respeten los derechos de los usuarios y eviten riesgos legales innecesarios.

No dude en consultarnos. En Microlab estamos a su disposición para que su empresa pueda llevar a cabo acciones comerciales con plena seguridad jurídica, reforzando la confianza de sus clientes y evitando sanciones por incumplimiento.

La filtración de unas imágenes captadas a través de un sistema de videovigilancia de la Princesa de Asturias, Leonor de Borbón y Ortiz, en un centro comercial chileno, ha provocado un intenso debate acerca de la importancia de la seguridad en el tratamiento de estas imágenes.  En este supuesto, el incumplimiento no deriva de la captación de las imágenes, pues todas las empresas tienen un interés legitimo en velar por la seguridad de sus bienes, instalaciones y personas, sino por no aplicar medidas técnicas y organizativas que impidan su acceso a terceros.

Si bien los hechos ocurrieron en territorio chileno y no es de aplicación la normativa de protección de datos europea, este suceso recuerda a otro caso muy mediático ocurrido en España en el 2018, cuando se difundió un vídeo en el que la expresidenta de la Comunidad de Madrid, Cristina Cifuentes, aparecía retenida por un vigilante de seguridad tras presuntamente sustraer dos cremas faciales en un supermercado en 2011. En este supuesto, la Agencia Española de Protección de Datos (AEPD) sancionó a la cadena de supermercados con una multa de 150.000 euros por no garantizar la seguridad de las imágenes.

En definitiva, compartir imágenes captadas por cámaras de seguridad con terceros sin la debida autorización puede suponer una grave infracción de la normativa de protección de datos.

Regulación y obligaciones legales

La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) y el Reglamento General de Protección de Datos (RGPD) establecen que las imágenes obtenidas a través de sistemas de videovigilancia son consideradas datos personales, en la medida en que permitan identificar a los interesados. Esto significa que su tratamiento, almacenamiento y divulgación deben cumplir con estrictas garantías legales para proteger la privacidad de las personas captadas.

Según la normativa, las imágenes solo pueden ser utilizadas para la finalidad específica para la que fueron obtenidas, generalmente la seguridad de los bienes instalaciones y personas de un negocio. Difundirlas a terceros sin una base legal adecuada o sin el consentimiento de los afectados puede conllevar un incumplimiento grave.

Además, el artículo 32 del RGPD obliga a las empresas a aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.

Buenas prácticas para cumplir con la normativa

Informar debidamente

Se debe colocar cartelería visible indicando la presencia de cámaras, así como las características del tratamiento de las imágenes, de acuerdo con el art. 13 del RGPD. Estos carteles deben de colocarse en los accesos a la zona videovigilada, para que el interesado conozca que será grabado antes de entrar a la zona videovigilada.

Restringir el acceso a las imágenes

Solo el personal autorizado debe tener acceso a las grabaciones. Para ello, se pueden proteger los sistemas de grabación con credenciales de acceso y cifrado de datos. Además, es una buena práctica mantener un registro de quienes accedan a las imágenes.

Eliminar las imágenes en el tiempo adecuado

La LOPD-GDD comprende un plazo máximo de 30 días para su conservación, salvo excepciones justificadas.

Realización de un análisis de riesgos

Se trata de un procedimiento para identificar, evaluar y mitigar los riesgos asociados a un tratamiento de datos personales. Su objetivo es garantizar el cumplimiento de la normativa de protección de datos y evitar brechas de seguridad que puedan comprometer la privacidad de las personas.

Proteger las imágenes captadas por videovigilancia no solo es una obligación legal, sino también una muestra de respeto hacia la privacidad de empleados, clientes y visitantes. En Microlab, ayudamos a tu empresa a implementar sistemas de videovigilancia que cumplan con el RGPD y la LOPDGDD, garantizando su legalidad, seguridad y buen uso.

Contáctanos y evita riesgos innecesarios: estaremos encantados de asesorarte para asegurar el cumplimiento normativo en materia de protección de datos.