La tecnológica española Paradigma Digital ha analizado recientemente las novedades legislativas que este año las empresas deberían tener en cuenta en materia de protección de datos tras la gran actividad legislativa que se ha producido en 2022, así como alguna otra pendiente de aprobación.
Según Carmen Troncoso, Delegada de Protección de Datos en Paradigma Digital entre las principales novedades y tendencias que pueden afectar a la protección de datos en 2023 destaca las siguientes que forman parte de la estrategia de ciberseguridad de la Unión Europea:
1. Ley Europea de Inteligencia Artificial
En abril de 2022 se aprobó una propuesta de reglamento por el que se establecen normas armonizadas sobre Inteligencia Artificial en la Unión Europea. Esta normativa insta al uso de la IA y el desarrollo de su industria bajo “estándares democráticos” con el fin de que “la tecnología complete al trabajo humano”.
Será aplicable a todos los usos de la IA que afecten a los ciudadanos de la UE, independientemente de la sede del proveedor de servicios o del lugar donde se desarrolle o ejecute el sistema, dentro o fuera de las fronteras de la UE, como ya ocurre con el Reglamento Europeo de Protección de datos.
En ella se abordan los riesgos de usos específicos de la IA, clasificándolos en cuatro niveles diferentes: riesgo inaceptable, riesgo alto, riesgo limitado y riesgo mínimo, para garantizar que los europeos puedan confiar en la IA que están utilizando. El reglamento también es clave para construir un ecosistema de excelencia en IA y posicionar a Europa para desempeñar un papel de liderazgo a nivel mundial, pues sería la primera potencia mundial en disponer de este tipo de regulación.
2. Ley de Mercados Digitales y la Ley de Servicios digitales
Por otro lado, el 1 de noviembre de 2022 han entrado en vigor, aunque comenzarán a ser aplicables a partir del 2 de mayo de 2023, dos normas determinantes en la UE para las plataformas en línea:
Por un lado, la Ley de Mercados Digitales (Digital Markets Act, o DMA). Esta norma busca poner fin a las prácticas desleales de las empresas que actúan como guardianes de la economía de las plataformas en línea.
Define cuándo una gran plataforma en línea califica como «guardián». Estas son plataformas digitales que brindan una puerta de entrada importante entre los usuarios comerciales y los consumidores, cuya posición puede otorgarles el poder de actuar como un creador de reglas privado y, por lo tanto, crear un cuello de botella en la economía digital.
En cuanto a la Ley de Servicios Digitales (Digital Services Act, o DSA), busca crear un entorno en línea más seguro y responsable, ofreciendo nuevas protecciones a los usuarios y seguridad jurídica a las empresas en todo el mercado único al regular los intermediarios en línea, convirtiéndose así en referencia internacional al ser pionera en establecer una regulación de este tipo.
3. Nuevo acuerdo de protección de datos entre Europa y EEUU
Tras la anulación del anterior acuerdo en 2020 y dos años de negociaciones, se ha aprobado un nuevo acuerdo cuyo objetivo es restaurar una base legal importante para los flujos de datos transatlánticos, en el que se pretenden abordar las cuestiones que planteó el Tribunal de Justicia de la Unión Europea, tratando así de evitar que lo vuelva a anular al considerar que Estados Unidos no daba garantías suficientes para proteger la privacidad de los datos.
“Este acuerdo explica cómo se permitirá el flujo de datos entre la UE y EE. UU. de forma predecible, fiable, equilibrando la seguridad, el derecho a la privacidad y la protección de datos» señala Carmen Troncoso de Paradigma Digital.
4. Directiva NIS 2
En diciembre de 2022 entró en vigor la Directiva NIS 2, Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2).
Esta directiva establece obligaciones de ciberseguridad para los estados miembros, medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación, obligaciones relativas al intercambio de información sobre ciberseguridad, así como obligaciones de supervisión y ejecución para los Estados miembros.
5. Propuesta de reglamento de ciberseguridad en productos con elementos digitales
Por otro lado, en septiembre de 2023 se aprobó por la Comisión Europea la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre requisitos de ciberseguridad horizontal para productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020.
El reglamento propuesto tiene como objetivo establecer requisitos de ciberseguridad en toda la UE para una amplia gama de productos de hardware y software y sus soluciones de procesamiento de datos remotos. Estos incluyen, por ejemplo, navegadores, sistemas operativos, firewalls, sistemas de administración de redes, medidores inteligentes o enrutadores.
