Carlos B Fernández. El Gobierno británico ha presentado en el Parlamento la Data Protection and Digital Information Bill, o Proyecto de ley por el que se regula el tratamiento de los datos personales y la información digital.
Según su título oficial completo, se trata de un texto que pretende regular los servicios que utilizan información para determinar y verificar hechos sobre personas físicas; el acceso a datos de clientes y datos comerciales; la intimidad y las comunicaciones electrónicas; los servicios de prestación de firmas electrónicas, sellos electrónicos y otros servicios fiduciarios; la divulgación de información para mejorar la prestación de servicios públicos; la aplicación de acuerdos sobre el intercambio de información con fines policiales; la conservación y el mantenimiento de los registros de nacimientos y defunciones; las normas de información para la atención sanitaria y social. Además, se establecen disposiciones sobre la supervisión de los datos biométricos y se crea la Comisión de Información (Information Commission, que sustituirá al actual Information Commissioner’s Office).
El texto se presentó por primera vez el verano pasado y se detuvo en septiembre de 2022 para que los ministros pudieran participar en un proceso de co-diseño con líderes empresariales y expertos en datos, a fin de asegurar que el nuevo régimen se basara en los altos estándares del Reino Unido para la protección de datos y la privacidad, y también para garantizar una protección de los datos alejada del enfoque de "talla única" que, según defienden, sostiene el Reglamento General de Protección de Datos de la Unión Europea (LA LEY 6637/2016). En este sentido, la norma se orienta a reducir el papeleo inútil de las empresas y las molestas ventanas emergentes de cookies.
Debe tenerse en cuenta, además, que, según el Gobierno británico, el comercio impulsado por los datos generó el 85% de las exportaciones totales de servicios del Reino Unido y contribuyó a la economía del país con un importe estimado de 259.000 millones de libras esterlinas en 2021.
Según el anuncio hecho público por Gobierno, este proyecto de ley mejorado:
- Introduce un marco simple, claro y amigable para las empresas que no será difícil ni costoso de implementar. Para ello toma los mejores elementos del RGPD, brindando a las empresas más flexibilidad sobre cómo cumplir con la nueva ley.
- Garantiza que el nuevo régimen mantenga la adecuación con la normativa sobre protección de datos de la UE y una mayor confianza internacional en las exhaustivas normas de protección de datos del Reino Unido.
- Reducirá la cantidad de papeleo que las organizaciones deben completar para demostrar el cumplimiento de esta normativa.
- Apoyará el comercio internacional sin crear costes adicionales para las empresas si ya cumplen con la normativa de datos actual.
- Proporcionará a las organizaciones una mayor certidumbre sobre cuándo pueden tratar datos personales sin consentimiento del interesado.
- Aumentará la confianza del público y las empresas en las tecnologías de IA aclarando las circunstancias en las que se aplican salvaguardias sólidas a la toma de decisiones automatizada.
El Gobierno ha destacado también que espera que esta reforma permita un ahorro de 4.700 millones de libras esterlinas para la economía británica en los próximos 10 años.
Facilitar la investigación científica
La actual legislación sobre datos no aclara cómo los científicos pueden tratar datos personales con fines de investigación, lo que les impide llevar a cabo investigaciones vitales que pueden mejorar la vida de las personas en todo el país.
Por ello, el proyecto de ley ha actualizado la definición de investigación científica para aclarar que las organizaciones comerciales gozarán de las mismas libertades que las académicas para llevar a cabo investigación científica innovadora, como facilitar la reutilización de datos con fines de investigación. Esto reducirá el papeleo y los costes legales de los investigadores y fomentará la investigación científica en el sector comercial. La definición de investigación científica del nuevo proyecto de ley no es exhaustiva, en el sentido de que sigue siendo cualquier tratamiento que "pueda describirse razonablemente como científico" y podría incluir actividades como la investigación innovadora en desarrollo tecnológico.
Reducir el papeleo innecesario
El Gobierno británico considera que la actual versión del RGPD adopta un enfoque muy prescriptivo y vertical de la normativa de protección de datos que puede limitar la flexibilidad de las organizaciones para gestionar los riesgos y supone una carga desproporcionada para las pequeñas empresas.
Por ello, en la versión presentada de la nueva norma, se ha mejorado el proyecto de ley para reducir aún más la cantidad de papeleo que las organizaciones deben cumplimentar para demostrar su conformidad. Ahora, sólo las organizaciones cuyas actividades de tratamiento puedan plantear riesgos elevados para los derechos y libertades de las personas tendrán que mantener registros de tratamiento. Esto puede ocurrir, por ejemplo, cuando las organizaciones procesan grandes volúmenes de datos sensibles sobre la salud de las personas.
Igualmente, la nueva norma proporcionará más claridad a las organizaciones sobre cuándo pueden tratar datos personales sin necesidad de consentimiento o de sopesar sus propios intereses en el tratamiento de los datos frente a los derechos de una persona para determinadas actividades de interés público. Esto podría incluir circunstancias en las que exista un interés público en compartir datos personales para prevenir delitos, salvaguardar la seguridad nacional o proteger a personas vulnerables.
Aumentar la confianza pública y empresarial en las tecnologías de IA
Por otra parte, el Gobierno británico recuerda que las tecnologías innovadoras como la IA y la computación cuántica, tienen el potencial de generar beneficios generalizados, como mejorar la prestación de servicios sanitarios y reducir el riesgo de fraude. Estas tecnologías se basan a menudo en la toma de decisiones automatizada, en la que se toman decisiones importantes sobre las personas sin intervención humana, o en la elaboración de perfiles, en la que un proceso automatizado analiza o predice aspectos sobre una persona, como sus capacidades o comportamientos.
En este sentido, considera que la actual legislación británica sobre protección de datos es compleja y carece de claridad en lo que respecta exclusivamente a la toma de decisiones automatizada y la elaboración de perfiles, lo que dificulta a las organizaciones el uso responsable de este tipo de tecnologías.
Por ello, el proyecto de ley garantiza que las organizaciones puedan recurrir a la toma de decisiones automatizada con más confianza y que se establezcan las salvaguardias adecuadas para las personas sobre las que se toman esas decisiones. Esto significa que las personas serán informadas cuando se tomen tales decisiones y podrán impugnarlas y solicitar una revisión humana cuando puedan ser inexactas o perjudiciales.
Además, las nuevas medidas que se acaban de presentar aclaran que la elaboración de perfiles está sujeta al mismo conjunto de salvaguardias sólidas para la toma de decisiones automatizada que cuando se toma una decisión importante sobre una persona sin participación humana significativa.
Por ejemplo, si a una persona se le deniega un empleo o un préstamo porque se ha tomado una decisión automatizada sin intervención humana significativa, puede impugnar esa decisión y solicitar que un ser humano revise el resultado en su lugar.
Se considera que gracias a estas reformas, las empresas, los desarrolladores de IA y los particulares tendrán más claro cuándo deben aplicarse estas importantes salvaguardias para la toma de decisiones exclusivamente automatizada, manteniendo los altos estándares de protección de datos del Reino Unido a la vez que se ayuda a proporcionar más transparencia y responsabilidad para las decisiones tomadas por algoritmos informáticos.
Apoyo al intercambio internacional de datos
Por último, se destaca que el Reino Unido se ha comprometido a mantener altos estándares de protección de datos y a continuar el libre flujo de datos personales entre países afines, que impulsan servicios como la navegación GPS, la tecnología doméstica inteligente y los servicios de transmisión de contenidos.
Por ello, el proyecto de ley que se acaba de presentar garantiza que las empresas puedan seguir utilizando sus actuales mecanismos de transferencia internacional de datos para compartir datos personales en el extranjero si ya cumplen la legislación británica vigente en materia de datos, de forma que se garantice que las empresas británicas no tengan que pagar más costes ni realizar nuevos controles para demostrar que cumplen las normas actualizadas.