En este documento hablamos de las primeras solicitudes de información sobre el uso de sistemas de IA y algoritmos en el tratamiento de datos personales y de la resolución de la AEPD en relación con el uso de algoritmos y decisiones automatizadas en la evaluación del desempeño y la priorización en la asignación de servicios en función de la puntuación obtenida por las personas en la prestación del servicio.
Archivo de la categoría: AEPD
Agravantes desproporcionadas aplicadas por la AEPD
En este documento destacamos las circunstancias agravantes que la Audiencia Nacional ha considerado no aplicables en la sanción de la AEPD a CaixaBank por resultar desproporcionadas.
La Audiencia Nacional establece como base de su decisión el principio de proporcionalidad de las sanciones, que debe presidir el proceso de graduación de una sanción, garantizando la adecuación de la sanción a la gravedad del hecho constitutivo de la infracción.
La Audiencia Nacional también hace referencia al artículo 29.3 de la Ley 40/2015, de Régimen Jurídico del Sector Público, que establece que, en la imposición de sanciones por las Administraciones Públicas se deberá observar la debida idoneidad y necesidad de la sanción a imponer y su adecuación a la gravedad del hecho constitutivo de la infracción.
PRIMERA AGRAVANTE
La Audiencia Nacional no considera aplicable a este caso la agravante del artículo del RGPD 83.2.a, porque la gravedad de la infracción es consustancial al hecho típico que se sanciona.
SEGUNDA AGRAVANTE
La Audiencia Nacional no considera aplicable a este caso la agravante del artículo del RGPD 83.2.b, porque la negligencia o la intencionalidad son los elementos subjetivos consustanciales a la propia infracción, y para considerar apreciable esta circunstancia debe acreditarse un plus de intencionalidad o negligencia cuya acreditación no se ha producido por parte de la AEPD.
TERCERA AGRAVANTE
La Audiencia Nacional no considera aplicable a este caso la agravante del artículo del RGPD 83.2.k, porque el hecho de que la entidad imputada no tuviese implantados procedimientos adecuados de actuación en la recogida y tratamiento de datos es una cuestión consustancial a las infracciones cuestionadas por lo que no se considera apreciable en ninguna de las dos infracciones.
En conclusión, la Audiencia Nacional no considera aplicables estas tres circunstancias agravantes.
¿Todos los datos biométricos son categorías especiales?
En una reciente resolución de la AEPD se afirma que todos los datos biométricos de carácter personal que encajen en la definición del artículo 4.14 del RGPD serán considerados como datos personales de categoría especial. ¿Es correcta esta afirmación? En este documento lo valoramos.
ACTUALIZACIÓN:
En este otro documento se muestran múltiples ejemplos de tratamientos de datos biométricos que no van dirigidos a identificar de manera unívoca a una persona física, y que, por lo tanto, no cumplirían el requisito de la finalidad establecido en el artículo 9.1 del RGPD:
https://lnkd.in/d3s2g6WT
Datos biométricos – Cambios decisivos
Datos biométricos – Cambios decisivos que obligan a actualizar la guía de la AEPD de 2023 y ofrecen argumentos para excluir del artículo 9.1 del RGPD la verificación biométrica de la identidad con participación activa del interesado.
Contradicciones y paradojas que la AEPD o el legislador deberán resolver
Siguiendo con la opinión de que es necesario reducir el nivel de hiperregulación existente en Europa, recupero esta tabla comparativa del año pasado en la que puede verse la paradoja de un tratamiento que genera importantes riesgos para los derechos y libertades del interesado, como es la creación de una voz clonada o un avatar con datos biométricos, que no está previsto en el artículo 9.1 del RGPD.
En cambio, la verificación biométrica para control de accesos, que en el Reglamento de IA está excluida expresamente de la lista de supuestos de alto riesgo, sigue estando calificada como un tratamiento de alto riesgo por las AEPD.
Todo ello con los consiguientes costes en infraestructuras de control de acceso.
