Los tratamientos específicos de Datos Personales como límite a los derechos reconocidos por el RGPD. El artículo 89 RGDP.

 

LOS TRATAMIENTOS ESPECÍFICOS DE DATOS PERSONALES COMO LÍMITE A LOS DERECHOS RECONOCIDOS EN EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS. 

Artículo 89 RGPD. Tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

Arnau Gómez Echeverría - Entrada Nº5.

Introducción.

    El Capítulo IX del RGPD prevé una serie de “disposiciones relativas a situaciones específicas de tratamiento”. (Arts. 85 y ss. RGPD) En ellas se contienen previsiones normativas relativas a tratamientos de datos personales en distintos contextos: tratamiento y libertad de expresión e información (art. 85); tratamiento y acceso al público de documentos oficiales (art. 86); tratamiento del número nacional de identificación (art. 87) etc. Esta quinta entrada del Blog se centrará en el tratamiento previsto en el artículo 89 del RGPD, su fundamento, virtualidad y sentido. En especial, se analizará cómo el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica, o fines estadísticos (art. 89 RGPD), puede suponer un límite a los derechos que el RGPD reconoce a los interesados del tratamiento, habiendo de manterse vigentes, en todo caso, los principios inspiradores de la Protección de Datos de carácter personal. 

El artículo 89 RGPD. Fundamento y justificación de los distintos tratamientos específicos.

    El Reglamento General de Protección de Datos se ocupa de justificar y fundamentar la necesidad del artículo 89 RGPD en los considerandos 156 y ss. del texto. Resumiendo, en ellos se contiene la siguiente lógica argumental: Los Estados Miembros, en el marco del artículo 89, y atendiendo a la importancia de los fines perseguidos por los tratamientos específicos de datos personales que en el citado artículo se contienen, pueden establecer excepciones y limitaciones a los derechos reconocidos por el RGPD. Del análisis de cada uno de los considerandos, así como de cada uno de los tratamientos específicos previstos en el art. 89 RGDP, se extrae lo siguiente:

• Combinando información procedente de registros, los investigadores pueden obtener nuevos conocimientos de gran valor sobre condiciones médicas extendidas, como las enfermedades cardiovasculares, el cáncer y la depresión. Partiendo de registros, los resultados de las investigaciones pueden ser más sólidos, ya que se basan en una población mayor. (…) Los resultados de investigaciones obtenidos de registros proporcionan conocimientos sólidos y de alta calidad que pueden servir de base para la concepción y ejecución de políticas basada en el conocimiento, mejorar la calidad de vida de numerosas personas y mejorar la eficiencia de los servicios sociales. - Considerando 157) del Reglamento General de Protección de Datos. 

• Las autoridades públicas o los organismos públicos o privados que llevan registros de interés público deben ser servicios que están obligados, con arreglo al Derecho de la Unión o de los Estados miembros, a adquirir, mantener, evaluar, organizar, describir, comunicar, promover y difundir registros de valor perdurable para el interés público general y facilitar acceso a ellos (…) a fin de ofrecer información específica relacionada con el comportamiento político bajo antiguos regímenes de Estados totalitarios, el genocidio, los crímenes contra la humanidad, en particular el Holocausto, o los crímenes de guerra. - Considerando 158) del Reglamento General de Protección de Datos. 

• El presente Reglamento también debe aplicarse al tratamiento datos personales que se realice con fines de investi­gación científica. El tratamiento de datos personales con fines de investigación científica debe interpretarse, a efectos del presente Reglamento, de manera amplia, que incluya, por ejemplo, el desarrollo tecnológico y la demostración, la investigación fundamental, la investigación aplicada y la investigación financiada por el sector privado. - Considerando 159) del Reglamento General de Protección de Datos.

• El presente Reglamento debe aplicarse asimismo al tratamiento datos personales que se realiza con fines de investigación histórica. Esto incluye asimismo la investigación histórica y la investigación para fines genealógicos. - Considerando 160) del Reglamento General de Protección de Datos.

    En definitiva, y con todo, los tratamientos específicos de datos personales del artículo 89 RGPD son tratamientos que, dada su naturaleza y trasfondo, pueden dotar a la sociedad de un valor añadido, en tanto de los mismos se reportan una serie de beneficios que, en última instancia, son favorecedores para el conjunto de los ciudadanos. (Beneficios que se mencionan y analizan en los considerandos 156 y ss. RGPD)

Virtualidad y dicotomía del art. 89 RGPD. Limitación de derechos vs. efectivo e íntegro cumplimiento de los principios inspiradores del RGPD. 

    Precisamente, es esto último que se ha puesto de relieve lo que permite que los tratamientos específicos previstos en el artículo 89 RGPD hagan de “limite” a los derechos reconocidos y garantizados por el propio texto, en sus artículos 15, 16, 17, 18, 19 20 y 21. (Adjunto esquema/imagen al final del texto). En este sentido, el artículo 89.2 RGPD dice lo siguiente: 

“Cuando se traten datos personales con fines de investigación científica o histórica o estadísticos el Derecho de la Unión o de los Estados miembros podrá establecer excepciones a los derechos contemplados en los artículos 15, 16, 18 y 21, (…) siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines científicos y cuanto esas excepciones sean necesarias para alcanzar esos fines.”

 Lo mismo es aplicable, ex art. 89.3 al tratamiento de datos personales con fines de archivo en interés público: 

“Cuando se traten datos personales con fines de archivo en interés público, el Derecho de la Unión o de los Estados miembros podrá prever excepciones a los derechos contemplados en los artículos 15, 16, 18, 19, 20 y 21, (…) siempre que esos derechos puedan imposibilitar u obstaculizar gravemente el logro de los fines científicos y cuanto esas excepciones sean necesarias para alcanzar esos fines.”

    Tenemos, por tanto, en los artículos 89.2 y 89.3, dos realidades que limitan sobremanera los derechos reconocidos en el RGPD, y sobre los que la normativa de Protección de Datos se estructura, en tanto son el salvoconducto, o si se prefiere, la herramienta que el interesado del tratamiento tiene para protegerse, efectivamente, de posibles vulneraciones en materia de PD.

    No obstante, esta limitación que parece operar en detrimento de los derechos reconocidos por el RGPD, y a favor de los tratamientos de datos específicos en el marco del art. 89, no es aplicable a los principios inspiradores de la Protección de Datos. Es decir, independientemente de la naturaleza “específica” de los tratamientos que puedan efectuarse en virtud del artículo 89 RGPD, los principios que inspiran y sobre los que se estructura la normativa de protección de datos han de cumplirse íntegra, total y efectivamente, para lo cual, los responsables del tratamiento, deberán implementar medidas técnicas y organizativas óptimas, a fin de garantizar el cumplimiento de los ya referidos principios. Así se extrae de la lectura del considerando 156 (última parte) y del propio artículo 89, apartado primero: 

• Considerando 156 RGPD: Las condiciones y garantías en cuestión pueden conllevar procedimientos específicos (…) junto con las medidas técnicas y organizativas destinadas a minimizar el tratamiento de datos personales atendiendo a los principios de proporcionalidad y necesidad.

• Artículo 89.1 RGPD: El tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos estará sujeto a las garantías adecuadas, con arreglo al presente Reglamento (…) Dichas garantías harán que se disponga de medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimi­zación. 

    Es decir, la dicotomía que nace del artículo 89 del Reglamento, y que ha de tenerse en especial consideración a la hora de abordar los tratamientos específicos de datos personales, es la que sigue: Es cierto, al así decirlo la propia norma, que los derechos previstos en el Capítulo III, Sección segunda del RGPD (arts.15 y ss.) se verán, o podrán verse limitados en el marco de los tratamientos específicos del art. 89, pero, tal limitación, en ningún caso podrá extenderse a los principios del tratamiento de datos personales (principios de minimización, proporcionalidad y necesidad), debiendo el responsable acreditar el cumplimiento y respeto de los mismos, mediante medidas técnicas y organizativas óptimas. (Seudonimización) 

Los Regulatory Sandbox en la Propuesta Inicial de Reglamento de Inteligencia Artificial.

 

LOS REGULATORY SANDBOX EN LA PROPUESTA INICIAL DE REGLAMENTO DE INTELIGENCIA ARTIFICIAL DEL PARLAMENTO EUROPEO

Arnau Gómez Echeverría - Entrada Nº4.

1.- Introducción

    Hace no más de 3 semanas, el Parlamento Europeo (PE) alcanzó un compromiso sobre el borrador de enmiendas de la Propuesta inicial de Reglamento de Inteligencia Artificial. (Propuesta inicial de Reglamento IA, que os adjunto al final del Post)

    Para los agentes económicos del mercado, la regulación propuesta por la Unión Europea, basada, fundamentalmente, en el riesgo de los distintos sistemas de IA, puede llegar a constituir una barrera o un límite a la innovación. De esta dicotomía que, principalmente, preocupa a empresas desarrolladoras de IA, (Innovación vs. Regulación basada en parámetros de riesgo), nacen los Regulatory Sandbox, de los que hablaremos y sobre los que reflexionaremos en esta cuarta Entrada del Blog. ¿Qué son? ¿Cuál es su origen? ¿Qué pueden aportar? ¿Cómo funcionan?… Son algunas de las preguntas a las que, a lo largo del Post, trataremos de dar respuesta. 

2.- Los Regulatory Sandbox en la Propuesta Inicial de Reglamento de Inteligencia Artificial del PE. Art. 53.

    El artículo 53 de la Propuesta del PE (en relación con los apartados 71, 72, 72a y 72b) bajo el Título (V) “Medidas para dar soporte a la Innovación”, recoge la obligación, dirigida a cada uno de los 27, de “establecer, al menos, un Sandbox Regulatorio de IA a nivel estatal, al tiempo que la regulación de IA sea aplicable en los Estados Miembro.”

    Pero, ¿qué es y cómo funciona exactamente un Regulatory Sandbox? Se trata, como bien dice la Propuesta del Parlamento Europeo de IA en sus apartados 71 y ss., de un “espacio para experimentar”, y al mismo tiempo una manera de “facilitar el desarrollo y las pruebas de sistemas innovadores de Inteligencia Artificial bajo una estricta supervisión reglamentaria antes de su comercialización o puesta en servicio.” En Derecho Comparado, se trata de una práctica muy extendida, sobre todo, en los Estados Unidos. Por ejemplo: En 2018, se habilitaron determinadas carreteras en el estado de Arizona para que, bajo la supervisión y control de las autoridades, pudieran circular coches de conducción autónoma. (Compañías como Uber o Toyota se valieron de esta iniciativa del gobierno de Arizona para testear sus proyectos)

    En un plano más teórico, Dragos Tudorache, eurodiputado del Grupo Renew Europe en el Parlamento Europeo, y miembro del Comisión de Libertades Civiles, Justicia y Asuntos de Interior, define los Regulatory Sandbox como grandes impulsores de la innovación tecnológica, que tienen, principalmente, 3 objetivos (¿Para qué sirven? ¿Cuál es su virtualidad?) 

• Permitir y facilitar la interacción directa con la autoridad en un entorno cuya base la constituye una filosofía de ensayo-error. 

• Llegar a un producto que dé confianza, tanto al desarrollador como al consumidor, con anterioridad de su puesta en el mercado. 

• Garantizar el cumplimiento de las normas en materia de Inteligencia Artificial, detectando, especialmente, cuales son los riesgos que se derivan de la implantación de dichos sistemas, y evitando materializarlos.

Los objetivos sobre los que, ilustrativa y muy claramente, reflexiona Dragos Tudorache, están previstos en el apartado 72 de la Propuesta del Parlamento Europeo del Reglamento de IA, al decir que “los objetivos de los Regulatory Sandbox deben ser:

• Para las autoridades de establecimiento comprender mejor los avances técnicos, mejorar los métodos de supervisión y orientar a los desarrolladores y proveedores de sistemas de IA para lograr (efectivamente) el cumplimiento normativo del Reglamento, o en su caso, de otra legislación de la Unión y de los Estados Miembros, así como con la Carta de los Derechos Fundamentales. 

• Para los proveedores y desarrolladores, permitir y facilitar el ensayo y desarrollo de soluciones innovadoras relacionados con los sistemas de IA.”

• Y, en general, fomentar “el desarrollo de soluciones innovadoras relacionadas con los sistemas de IA en la fase previa a la comercialización; aumentar la seguridad jurídica; permitir un mayor aprendizaje normativo estableciendo autoridades en un entorno controlado para desarrollar mejores orientaciones e identificar posibles mejoras futuras del marco jurídico a través del procedimiento legislativo ordinario”. 

    Los Regulatory Sandbox son, en definitiva, una suerte de “oasis normativos”, o si se prefiere, entornos normativamente más flexibles, en los que, bajo la supervisión de Autoridades de Control, y en una interacción y cooperación directa con ellos, se permiten prácticas de determinados Proyectos (bien de IA, bien de cualquier otra naturaleza) antes de su lanzamiento o comercialización. De esta manera, se fomenta la innovación, y las empresas y agentes del mercado pueden testear sus Proyectos, detectar debilidades de los mismos, y saber, de la mano de las Autoridades de Control, si su funcionamiento se adecúa a las disposiciones normativas vigentes en ese momento. Por decirlo de otra manera: Los Regulatory Sandbox son espacios que permiten a las empresas y agentes económicos no acudir “a ciegas” al mercado. 

3. La propuesta de España. El borrador de Real-Decreto que establece un entorno controlado de pruebas en materia de Inteligencia Artificial (Sandbox)

    El pasado 29 de mayo el Ministerio de Asuntos Económicos y Transformación Digital publicó un borrador de Real-Decreto, en el que se prevé un entorno controlado de pruebas (Sandbox), dirigido, fundamentalmente, a determinar como se van a aplicar, controlar, y en definitiva, utilizar, los sistemas de Inteligencia Artificial que el Reglamento IA (Propuesta del Parlamento Europeo) prevé en su articulado.

    La Propuesta de Sandbox IA del Ministerio tiene como objeto “estudiar la operatividad de los requisitos establecidos en la propuesta de Reglamento europeo, así como la autoevaluación de cumplimiento y la prueba de sistemas de supervisión de los sistemas de inteligencia artificial de alto riesgo de los participantes durante su funcionamiento.” (Art. 1 del borrador Real-Decreto)

    Entre otros, el borrador de Real-Decreto establece un procedimiento de acceso al espacio del entorno controlado de pruebas, abierto a los proveedores de sistemas de Inteligencia Artificial ubicados en España. (Arts. 6 y ss. RD, en los que se prevén figuras como “órgano instructor, etc.) 

    Además, el artículo 11 del texto establece una serie de requisitos que los sistemas de IA deberán cumplir para participar del sistema de Sandbox previsto, (en línea con lo que prevé la Propuesta de Reglamento de IA del PE) entre los que destacan especialmente, los siguientes:  

• Establecimiento, implementación, documentación y mantenimiento de un sistema de gestión de riesgo que se refiera al proyecto de Inteligencia Artificial en cuestión.

• Registros automáticos de eventos. “Logs”.

• Instrucciones de uso del sistema de Inteligencia Artificial en formato electrónico, que además, deberán incluir información técnica, información sobre las características y prestaciones del sistema, etc. Todo ello de manera clara, actualizada, concisa, accesible y comprensible para los usuarios (finales) del sistema.

    Así, las inicativas en materia de Sandbox Regulatorios en los distintos Estados Miembros permitirán conectar a las autoridades competentes con las entidades desarrolladoras de inteligencia artificial para definir de forma conjunta buenas prácticas y obtener conclusiones que puedan servir de base para la implementación del futuro Reglamento europeo de Inteligencia Artificial.

Fuentes consultadas: (Links abajo)

- Borrador RD Ministerio de Asuntos Económicos y Transformación Digital. 

- Vídeo de Youtube: Dragos Tudorache & IA Act.

- Propuesta Reglamento IA PE. 

Enlaces a Bibliografía: 

- Borrador RD Ministerio de Asuntos Económicos y Transformación Digital: https://portal.mineco.gob.es/RecursosArticulo/mineco/ministerio/participacion_publica/audiencia/ficheros/Proyecto_RD_Sandbox_IA-1.pdf

- Vídeo de Youtube: Dragos Tudorache & IA Act: https://www.google.es/url?sa=i&rct=j&q=&esrc=s&source=web&cd=&ved=0CAIQw7AJahcKEwiYwILyq6T_AhUAAAAAHQAAAAAQAg&url=https%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3DBBmq4T_550U&psig=AOvVaw2rWm6reS_0ciepcCaNhlak&ust=1685786942988663 

- Propuesta de Reglamento IA PE: https://www.europarl.europa.eu/resources/library/media/20230516RES90302/20230516RES90302.pdf