Cross-jurisdictional data protection and AI overview – second edition 

Cross-jurisdictional data protection and AI overview – second edition

En la economía digital actual, la gobernanza estratégica de datos es crucial para negocios de todos los tamaños y sectores. El Reglamento General de Protección de Datos (GDPR), establecido en 2018, creó un marco legal uniforme que mejoró procedimientos y relaciones contractuales. Sin embargo, los estados miembros de la UE aún tienen discreción en su implementación. El GDPR ahora se ve reforzado por nuevos Actos Europeos bajo el plan de transformación digital de la UE, moldeando el futuro digital de la UE. El hilo conductor en este marco en evolución es la protección de datos, un pilar en la UE. Después de cinco años de efectividad del GDPR, han surgido mejores prácticas, guiadas por interpretaciones legales y experiencia del sector. Lograr una gestión efectiva de datos y cumplimiento requiere un enfoque integrado, donde Deloitte Legal destaca como un socio estratégico. Este documento proporciona un resumen de leyes de protección de datos, actualizaciones recientes de IA y próximos desarrollos predichos por equipos de Deloitte Legal en 16 jurisdicciones, facilitando la toma de decisiones informadas en un panorama legal complejo. Siendo así se proporciona una descripción de las 16 jurisdicciones acerca de la información previamente mencionada.

En Albania, el país se encuentra en proceso de revisar su marco legal de protección de datos para incorporar plenamente los principios del Reglamento General de Protección de Datos (GDPR). Actualmente, la Ley No. 9887 del 10 de marzo de 2008 «Sobre la protección de datos personales» y las decisiones/guías del Comisionado de Información y Protección de Datos (IDPC, por sus siglas en inglés) regulan la protección de datos de acuerdo con los principios del GDPR. El IDPC emitió la Decisión No. 53 del 22 de noviembre de 2023, imponiendo multas y emitiendo recomendaciones a una empresa por violaciones como la falta de determinación de límites de almacenamiento de datos, falta de transparencia en el procesamiento de datos y medidas de seguridad inadecuadas. Además, el IDPC emitió la Decisión No. 22 del 29 de mayo de 2023, imponiendo multas a una empresa postal por violaciones similares, como la falta de determinación de límites de almacenamiento, avisos de privacidad incompletos y declaraciones inexactas al IDPC. También se emitió la Decisión No. 03 del 15 de febrero de 2023, encontrando violaciones en una compañía de seguros después de una investigación. Se espera que Albania apruebe una nueva ley de protección de datos dentro del próximo año para incorporar plenamente el GDPR. La ley actual y la supervisión del IDPC generalmente regulan la protección de datos de acuerdo con los principios del GDPR.

En Australia, se han producido varias actualizaciones y desarrollos importantes en protección de datos. La Ley de Privacidad se modificó para ampliar su alcance extraterritorial y aumentar las multas por incumplimientos de privacidad. Esto incluye aplicar la ley a empresas extranjeras que operan en Australia. Un caso importante encontró que una empresa estadounidense violó la Ley de Privacidad al recopilar imágenes faciales de australianos de Internet sin consentimiento. Se presentaron múltiples demandas colectivas contra grandes organizaciones en Australia por grandes brechas de datos, lo que podría sentar precedentes legales. Australia consultó sobre las reglas de «IA segura y responsable» y recibió muchas presentaciones públicas, pero el gobierno aún no ha respondido. Microsoft invertirá $5 mil millones en Australia para expandir las capacidades de IA y nube, y capacitar australianos en habilidades digitales. Australia firmó una declaración internacional para colaborar en la seguridad de la IA. Es probable que el gobierno realice más cambios en las leyes de privacidad después de respaldar la mayoría de las recomendaciones de su revisión de leyes de privacidad. También se proporcionó financiamiento adicional a organismos reguladores como la OAIC.

En Bélgica, durante 2023, la Autoridad Belga de Protección de Datos (BDPA) se centró en cookies, el rol del oficial de protección de datos, ciudades inteligentes y protección de jóvenes de intermediarios de datos. La BDPA también publicó una lista de verificación para organizaciones sobre el uso adecuado de cookies. Un nuevo decreto flamenco proporciona una base legal para compartir datos personales entre trabajadores sociales, policía y justicia en investigaciones criminales relacionadas con la protección de personas y prevención de crímenes de organizaciones criminales. Casos recientes clave incluyeron un fallo de enero de 2023 que permitió a terceros apelar decisiones de la Cámara de Disputas de la BDPA, y una decisión de mayo de 2023 que prohibió la transferencia de datos fiscales de belgas-estadounidenses a las autoridades fiscales de EE. UU. bajo el acuerdo FATCA hasta que la legislación nacional cumpla con las normas de protección de datos.

En Bulgaria, se implementó la Directiva de Denunciantes de la UE al aprobar la nueva Ley de Protección de Denunciantes, que entró en vigor el 4 de mayo de 2023. Su objetivo es proteger a los denunciantes que informan violaciones de leyes de protección de datos y laborales. Las empresas con más de 249 empleados deben establecer un sistema de denunciantes, mientras que aquellas con más de 50 empleados tienen esta obligación a partir del 17 de diciembre de 2023. Una Ordenanza sobre el mantenimiento de un registro de denunciantes según la Ley de Protección de Denunciantes entró en vigor el 4 de agosto de 2023. Proporciona claridad sobre los requisitos para que las empresas mantengan un registro interno de denunciantes y procesen informes recibidos a través de canales internos de acuerdo con las leyes de protección de datos. La Comisión de Protección de Datos Personales emitió una opinión el 24 de noviembre de 2023 sobre la legalidad de usar videovigilancia para evaluar el desempeño de los empleados. Concluyó que dicha vigilancia generalmente no está permitida bajo las leyes de protección de datos sin el consentimiento de los empleados.

En Francia, la autoridad de protección de datos (CNIL) se centrará en cuatro áreas principales para controles en 2023: el uso de cámaras inteligentes por entidades públicas, acceso a registros digitales de pacientes en establecimientos de salud, el uso de la base de datos de incidentes de pago crediticio (FICP) por parte de bancos y el seguimiento de usuarios por aplicaciones móviles. Para las cámaras inteligentes, la CNIL verificará el cumplimiento con el marco legal mediante auditorías. Sobre los registros digitales de pacientes, la CNIL continuará los controles iniciados en 2022 en respuesta a quejas sobre accesos no autorizados. En cuanto a la base de datos FICP, la CNIL examinará cómo los bancos acceden, extraen y actualizan datos después de que se resuelvan los incidentes de pago. Respecto a las aplicaciones móviles, la CNIL verificará el cumplimiento con los requisitos de consentimiento del usuario para recopilar y compartir datos personales.

En Alemania, se han realizado actualizaciones importantes en las leyes y regulaciones de protección de datos, así como acciones de cumplimiento por parte de las autoridades. El país implementó la nueva Ley de Protección de Denunciantes y la Ley de Utilización de Datos de Salud para regular el tratamiento de datos de manera más precisa. Además, la Conferencia de Protección de Datos de los Estados Federales y del Gobierno Federal (DSK) emitió orientaciones sobre el uso de herramientas de inteligencia artificial (IA) en el ámbito de la salud para garantizar la protección de datos y la transparencia en su aplicación. Estas medidas reflejan el compromiso de Alemania con la protección de la privacidad y la seguridad de los datos, al tiempo que fomentan la innovación y el desarrollo tecnológico dentro de un marco legal claro y coherente.

En Grecia, se observan desarrollos significativos en la legislación de protección de datos. El país adoptó la Ley de Protección de Datos Personales, que entró en vigor en noviembre de 2023, y estableció la Autoridad de Protección de Datos Personales como la autoridad nacional independiente responsable de la aplicación de la ley. La autoridad está facultada para emitir multas y sanciones por violaciones de protección de datos, y se espera que realice auditorías y controles para garantizar el cumplimiento de la ley. Además, se han desarrollado directrices y normas para empresas y organizaciones con el fin de ayudarlas a cumplir con los requisitos de protección de datos de manera efectiva. Estos avances muestran el compromiso de Grecia con la protección de la privacidad y la seguridad de los datos en línea, fortaleciendo la confianza de los ciudadanos y empresas en el uso de servicios digitales y plataformas en línea.

En Italia, se han producido avances notables en la protección de datos. El país ha trabajado en la implementación de disposiciones del GDPR, incluyendo la designación de la Autoridad de Protección de Datos (Garante per la protezione dei dati personali) como la autoridad competente en esta área. La autoridad ha emitido directrices y recomendaciones para empresas y ciudadanos sobre cómo cumplir con las normas de protección de datos y garantizar la privacidad de la información personal. Además, se han llevado a cabo investigaciones y acciones de cumplimiento para abordar las violaciones de protección de datos y garantizar un entorno digital seguro para todos los ciudadanos. Estos esfuerzos demuestran el compromiso de Italia con la protección de la privacidad en línea y la aplicación efectiva de las leyes de protección de datos para salvaguardar los derechos de los individuos y promover la confianza en el uso de tecnologías digitales.

En los Países Bajos, se ha avanzado en la implementación y cumplimiento del GDPR. La Autoridad de Protección de Datos de los Países Bajos (Autoriteit Persoonsgegevens) ha desempeñado un papel clave en la supervisión y aplicación de las normas de protección de datos. Se han emitido multas y sanciones significativas a empresas que no cumplen con las disposiciones del GDPR, lo que demuestra un enfoque firme en la protección de la privacidad de los datos personales. Además, se han proporcionado orientaciones y recursos para empresas y ciudadanos para comprender y cumplir con las normas de protección de datos de manera efectiva. Estos avances reflejan el compromiso de los Países Bajos con la protección de la privacidad en línea y el fortalecimiento de la seguridad de los datos para todos los usuarios de servicios digitales y plataformas en línea.

En Noruega, se han realizado esfuerzos importantes para fortalecer la protección de datos y la privacidad de los ciudadanos. El país ha implementado medidas para cumplir con las disposiciones del GDPR y ha establecido la Autoridad de Protección de Datos de Noruega (Datatilsynet) como la autoridad responsable de supervisar y hacer cumplir las normas de protección de datos. La autoridad ha emitido directrices y recomendaciones para empresas y organizaciones sobre cómo manejar y proteger los datos personales de manera adecuada. Además, se han llevado a cabo acciones de cumplimiento para abordar las violaciones de protección de datos y garantizar un tratamiento justo y seguro de la información personal.

En Dinamarca, la protección de datos está regulada por el Reglamento General de Protección de Datos (GDPR), que se aplica de manera rigurosa para garantizar la privacidad de los ciudadanos y el manejo adecuado de la información personal. La Autoridad Danesa de Protección de Datos (Datatilsynet) desempeña un papel crucial en la supervisión y aplicación de estas regulaciones. Datatilsynet emite directrices detalladas y proporciona asesoramiento a empresas y organizaciones sobre cómo cumplir con las normativas de privacidad. Además del GDPR, Dinamarca ha implementado la Estrategia Nacional de Ciberseguridad, que aborda aspectos clave como la protección de infraestructuras críticas, la prevención de ciberataques y la concienciación pública sobre la importancia de la seguridad digital.

En Rumania, la protección de datos personales se rige por el GDPR y la Ley de Protección de Datos Personales, que establecen los estándares para el tratamiento de la información personal y los derechos de privacidad de los individuos. La Autoridad Nacional de Supervisión en Materia de Protección de Datos Personales (ANSPDCP) es la entidad encargada de hacer cumplir estas regulaciones y garantizar que las empresas y organizaciones cumplan con las normativas de privacidad. ANSPDCP emite orientaciones detalladas, realiza auditorías y puede imponer sanciones en caso de infracciones graves a las leyes de protección de datos. Además, Rumania ha fortalecido su enfoque en la ciberseguridad mediante la implementación de medidas de prevención, detección y respuesta ante amenazas cibernéticas, así como la promoción de la concienciación sobre buenas prácticas en seguridad digital.

En España, la Agencia Española de Protección de Datos (AEPD) ha desempeñado un papel destacado en el ámbito de la protección de datos y la privacidad. Durante el período analizado, la AEPD emitió varias directrices y recomendaciones para empresas y organizaciones sobre el cumplimiento de las leyes de privacidad, especialmente en áreas como el uso de datos biométricos, el consentimiento para el procesamiento de datos personales y la seguridad de la información. Además, la AEPD llevó a cabo numerosas investigaciones y procedimientos sancionadores contra entidades que infringieron las normativas de protección de datos, imponiendo multas significativas en algunos casos para garantizar el cumplimiento efectivo de la legislación. En cuanto a la ciberseguridad, España ha fortalecido la cooperación entre entidades públicas y privadas, promoviendo la concienciación sobre amenazas digitales y fomentando la adopción de medidas de seguridad robustas en diferentes sectores económicos.

Suecia ha sido un actor importante en el ámbito de la protección de datos y la privacidad, con la Autoridad Sueca de Protección de Datos (IMY) desempeñando un papel clave en la supervisión y aplicación de las leyes de privacidad. Durante el período examinado, IMY ha emitido directrices detalladas sobre el uso de cookies y tecnologías de seguimiento en línea, así como sobre el tratamiento de datos personales en el contexto de la inteligencia artificial y el aprendizaje automático. Además, IMY ha llevado a cabo investigaciones exhaustivas sobre posibles violaciones de datos y ha impuesto sanciones significativas a empresas que no cumplen con las normativas de protección de datos. Suecia también ha promovido la colaboración internacional en materia de ciberseguridad, participando en iniciativas para compartir información sobre amenazas y mejores prácticas de seguridad entre países europeos y a nivel global.

En Suiza, la implementación del nuevo Federal Act on Data Protection (nFADP) ha marcado un hito en la actualización de las leyes de protección de datos para adaptarse a las condiciones sociales y tecnológicas actuales, alineándose con la normativa europea como el GDPR. Esta nueva legislación, junto con la Data Protection and Electronic Communications Act, ha proporcionado un marco legal más claro y armonizado para la gestión de datos personales y la privacidad en el país. La Autoridad Federal de Protección de Datos e Información (FDPIC) ha desempeñado un papel crucial en la supervisión de la implementación de estas leyes, emitiendo orientaciones detalladas sobre el uso de cookies y tecnologías similares, así como sobre el tratamiento de datos en el contexto de la inteligencia artificial. Además, Suiza ha fortalecido su enfoque en la concienciación y capacitación en ciberseguridad, trabajando en estrecha colaboración con el sector privado y las instituciones gubernamentales para mejorar las prácticas de seguridad digital en todos los niveles.

El Reino Unido ha legislado su propia versión del GDPR, conocida como UK GDPR, para garantizar la protección de datos y la privacidad de los ciudadanos. La Information Commissioner’s Office (ICO) es la autoridad competente en materia de protección de datos en el Reino Unido y tiene la responsabilidad de supervisar el cumplimiento de las regulaciones de privacidad. ICO emite directrices, investiga reclamaciones y puede imponer sanciones en caso de infracciones graves a las leyes de protección de datos. El Reino Unido también ha intensificado sus esfuerzos en ciberseguridad, colaborando con diversos actores para fortalecer las defensas digitales y promover la concienciación sobre amenazas cibernéticas.

 

En general, el panorama global de protección de datos y ciberseguridad muestra una evolución significativa hacia regulaciones más robustas y medidas de seguridad más sólidas. La implementación del Reglamento General de Protección de Datos (GDPR) en Europa ha marcado un hito en la protección de la privacidad, influyendo en la adopción de leyes similares en otros países. Este enfoque más riguroso se refleja en la creciente atención a la ciberseguridad, con países estableciendo estrategias nacionales, fortaleciendo la colaboración público-privada y aumentando la concienciación sobre amenazas digitales. Las autoridades de protección de datos, como la Agencia Española de Protección de Datos (AEPD) y la Information Commissioner’s Office (ICO) en el Reino Unido, desempeñan un papel clave al emitir directrices, investigar violaciones y aplicar sanciones, lo que contribuye a garantizar el cumplimiento de las leyes de privacidad. La colaboración internacional también es fundamental, dado que facilita la adopción de estándares comunes, el intercambio de información y la respuesta conjunta a amenazas transfronterizas. En resumen, el enfoque actual hacia la protección de datos y la ciberseguridad refleja una preocupación compartida por salvaguardar la privacidad y la seguridad en el entorno digital, destacando la importancia de regulaciones sólidas, medidas efectivas de seguridad y colaboración global para abordar los desafíos presentes y futuros en este ámbito.

Para leer más ingrese a:

 
¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Compartir artículo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Busca los documentos, noticias y tendencias más relevantes del sector eléctrico

Buscador de documentos
Buscador de noticias y tendencias

Banco de Información

Descripción del semáforo tecnológico

Los documentos se clasifican en varios colores tipo semáforo tecnológico que indican el nivel de implementación de la tecnología en el país

Tecnología en investigación que no ha sido estudiado o reglamentado por entidades del sector.

La tecnología se aplica de manera focal y se encuentra en estudio por parte de las entidades del sector.

La tecnología se aplica de manera escalable y se encuentran políticas y regulaciones focales establecidas.

La tecnología se aplica a través de servicios  y se encuentran políticas y regulaciones transversales establecidas.

La tecnología se aplica de manera generalizada  y se tiene un despliegue masivo de esta.

Para acceder a todos los documentos publicados y descargarlos ingresa aquí