Comprensión del negocio
Home » IA » Estudio de casos » Segundo escenario: IA para la Predicción y Prevención del Crimen » Comprensión del negocio

Descripción

“La fase inicial de comprensión del negocio se centra en entender los objetivos del proyecto desde una perspectiva empresarial, convertir este conocimiento en una definición del problema de minería de datos y, a continuación, desarrollar un plan preliminar diseñado para alcanzar los objetivos. Para entender qué datos deben ser analizados más tarde, y cómo, es vital para los profesionales de la minería de datos entender completamente el negocio para el que están buscando una solución. La fase de comprensión del negocio implica varios pasos clave, incluyendo la determinación de los objetivos del negocio, la evaluación de la situación, la determinación de los objetivos de minería de datos, y la producción del plan del proyecto.”[1]

En el contexto de la I+D sobre tecnologías de predicción y prevención de la delincuencia realizada en el marco de H2020, la descripción general y la estructura de las tareas deben ajustarse consecuentemente. Esto puede implicar que tanto la terminología como el contenido concreto de la tarea deben interpretarse y modificarse para ajustarse a los objetivos particulares.

Los objetivos generales mencionados anteriormente implican cuatro tareas principales:

  1. Determine los objetivos del proyecto. Esto significa:
    • Descubrir los objetivos principales, así como las cuestiones relacionadas que el proyecto (la solución prevista) quiere abordar
    • Determinar la medida del éxito.
  2. Evaluar la situación
    • Identificar los recursos disponibles para el proyecto, tanto materiales como personales.
    • Identifique los datos disponibles para cumplir el objetivo principal.
    • Enumere los supuestos que se han hecho en el proyecto.
    • Enumerar los riesgos del proyecto, enumerar las posibles soluciones a esos riesgos, crear un glosario de términos del proyecto y del tratamiento de datos, y construir un análisis de costes y beneficios para el proyecto.
  3. Determinar los objetivos del procesamiento de datos: decidir qué nivel de precisión predictiva se espera para considerar que el proyecto es exitoso.
  4. Elaborar un plan de proyecto: Describa el plan previsto para alcanzar los objetivos de procesamiento de datos, incluyendo la descripción de los pasos específicos y un calendario propuesto. Proporcione una evaluación de los riesgos potenciales y una evaluación inicial de las herramientas y técnicas necesarias para apoyar el proyecto.

Principales acciones a abordar

Definir los objetivos del proyecto

Para nuestro escenario, los objetivos generales están definidos por la respectiva convocatoria. Los proyectos mencionados anteriormente pertenecen a la convocatoria SEC-12-FCT-2016-2017: Tecnologías para la prevención, investigación y mitigación en el contexto de la lucha contra la delincuencia y el terrorismo.[2] El reto específico se radica en que “La delincuencia organizada y las organizaciones terroristas suelen estar a la vanguardia de la innovación tecnológica a la hora de planificar, ejecutar y ocultar sus actividades delictivas y los ingresos derivados de ellas. Los organismos encargados de la aplicación de la ley (LEA) a menudo se quedan atrás a la hora de hacer frente a las actividades delictivas apoyadas por tecnologías “avanzadas”.

El alcance de esta convocatoria comprende:

  • Nuevos conocimientos y tecnologías específicas para luchar contra las antiguas y nuevas formas de delincuencia y los comportamientos terroristas apoyados por tecnologías avanzadas;
  • Pruebas y demostraciones de la tecnología recién desarrollada por parte de las LEA que participan en las propuestas;
  • Planes de estudio, entrenamiento y ejercicios (conjuntos) innovadores que se utilizarán para facilitar la adopción de estas nuevas tecnologías en toda la UE, en particular en los ámbitos de los siguientes subtemas:
    1. ciberdelincuencia: desanonimización/rastreo/impedimento de monedas virtuales/criptos cuando apoyen mercados clandestinos en la darknet.
    2. detección y neutralización de drones ligeros/sospechosos que sobrevuelen zonas restringidas, implicando como beneficiarios, en su caso, a los operadores de infraestructuras
    3. análisis de vídeo en el contexto de la investigación legal
    4. y un cuarto subtema abierto.

Las condiciones establecidas en esta convocatoria permiten cierta, aunque limitada, discreción para diseñar el proyecto. Los solicitantes son libres de elegir el tipo de tecnologías; sin embargo, las estrategias de soluciones no técnicas parecen no ser elegibles para la financiación. Aunque el abanico de tecnologías permanece abierto, la convocatoria exige claramente soluciones técnicas, excluyendo así los enfoques para resolver los problemas de seguridad específicos abordados sin la participación de tecnologías que son potencialmente muy intrusivas. El término tecnologías avanzadas sugiere al menos que se investigue el desarrollo y el uso de tecnologías de inteligencia artificial y aprendizaje automático. También existe una elección limitada en cuanto al objetivo, por ejemplo, en cuanto a las formas de delincuencia o los comportamientos terroristas a los que se dirige el proyecto. Por lo tanto, es esencial implicar a los usuarios finales, es decir, a las fuerzas del orden, ya en la fase de toma de decisiones sobre los objetivos y los medios para alcanzarlos.

La selección de tecnologías específicas o, en un contexto más general, de métodos específicos, también influye en el abanico de cuestiones de ética o de cumplimiento legal que implica el proyecto. En el caso de la investigación en materia de seguridad, las tecnologías específicamente seleccionadas, en nuestro caso enfoques particulares de IA o aprendizaje automático, pueden, aparte de las cuestiones éticas habituales como el tratamiento de datos personales, plantear además problemas éticos relacionados con el doble uso, el enfoque exclusivo de la investigación en aplicaciones civiles o el uso indebido, lo que exige tener en cuenta la normativa particular correspondiente.

Optar por las soluciones técnicas explicables y transparentes

Mientras que la explicabilidad y la transparencia constituyen requisitos genéricos para las herramientas de IA, constituyen condiciones obligatorias en el caso de las tecnologías de IA aplicadas a los seres humanos o que tienen consecuencias para ellos (véase también la sección sobre Licitud, lealtad y transparencia en el capítulo Principios). En el caso de la IA utilizada para la elaboración de perfiles o el apoyo a la toma de decisiones en un contexto de seguridad, estos principios son fundamentales. Las herramientas de IA son propensas a los sesgos; la explicabilidad y la transparencia pueden ayudar a detectar y eliminar los sesgos de los algoritmos creados por dichos métodos. Las tecnologías que apoyan la prevención, la detección y la persecución de la delincuencia deben proporcionar resultados demostrables y atestiguables como pruebas válidas, también ante los tribunales. Los resultados inexactos pueden tener graves consecuencias para las personas, especialmente en forma de falsos positivos o resultados fatales en el caso de falsos negativos. Por lo tanto, puede ser necesario implementar la herramienta de IA como apoyo a las decisiones de los humanos, junto con medidas obligatorias que acompañen al empleo. De este modo, se garantiza que los responsables no se limitan a seguir la sugerencia del sistema que concuerda con su propia decisión, sino que entienden que tienen que justificar su decisión, tanto cuando siguen la sugerencia como cuando se oponen a una sugerencia del sistema. Para que los humanos entiendan la sugerencia de una herramienta de IA, estos sistemas tienen que ser muy transparentes en cuanto a los factores que influyen en el resultado de un cálculo. Al final, los humanos deben asumir la responsabilidad de una decisión. La transparencia también es esencial para garantizar una comprensión suficiente del modelo y de los datos utilizados y de los resultados producidos, especialmente en caso de reclamaciones o de necesidad de pruebas.

Los desarrolladores de las herramientas de IA utilizadas en este contexto podrían facilitar la implementación programando aplicaciones de apoyo para todo el proceso de decisión, como por ejemplo tener un campo obligatorio que rellenar cuando se toma una decisión a partir de la sugerencia del sistema antes de que el resultado pueda seguir procesándose.

Implementar programas de formación

En nuestro caso, “el entrenamiento y los ejercicios (conjuntos) que se utilizarán para facilitar la asimilación de estas nuevas tecnologías en toda la UE” ya están incluidos en la descripción de la convocatoria. Estos ejercicios de entrenamiento no deben limitarse al uso de las tecnologías desarrolladas, sino que deben comenzar desde el principio de las actividades de investigación y, en particular, abarcar a todas las personas que participan en el diseño de las tecnologías de IA (por ejemplo, diseñadores de algoritmos, desarrolladores, programadores, codificadores, científicos de datos, ingenieros). Esta acción es uno de los consejos esenciales que hay que tener en cuenta desde el primer momento de un proyecto de predicción y prevención de la delincuencia. Es probable que los diseñadores de algoritmos, que ocupan el primer eslabón de la cadena algorítmica, no sean conscientes de las implicaciones éticas y legales de sus acciones. Uno de los principales problemas de las herramientas de IA dedicadas a la lucha contra la delincuencia y el terrorismo es que a menudo utilizan datos personales incluidos en grandes conjuntos de datos, que comprenden grandes fracciones de ciudadanos, por ejemplo, los usuarios de determinadas redes sociales. Mientras que el análisis de datos de vigilancia masiva por parte de las herramientas de IA puede ser permisible bajo jurisdicciones nacionales específicas o transposiciones de la Directiva de Aplicación de la Ley de Protección de Datos (Directiva 2016/680), sigue siendo muy problemático por varias razones. En primer lugar, el cumplimiento legal puede ser una condición necesaria para la conformidad con los principios éticos, pero nunca puede considerarse una condición suficiente. Un documento informativo de la Comisión Europea sobre “Ética y protección de datos”[3] afirma claramente que “el hecho de que algunos datos estén disponibles públicamente no significa que no haya límites para su uso” (véase el recuadro 4 en la página 13). En segundo lugar, el cumplimiento de la legislación nacional o de la UE no implica necesariamente el cumplimiento legal de los derechos fundamentales. La Directiva sobre Conservación de Datos[4] es un ejemplo destacado relacionado, ya que fue anulado por el Tribunal de Justicia de la Unión Europea (TJUE) en una sentencia de 8 de abril de 2014[5] que consideró que la Directiva “supone una injerencia amplia y especialmente grave en los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales, sin que dicha injerencia se limite a lo estrictamente necesario”. En tercer lugar, debe respetarse la opinión pública y la aceptación por parte de los ciudadanos. Las consultas a gran escala a los ciudadanos sobre las tecnologías de vigilancia revelaron que los ciudadanos en general aceptan las intromisiones graves en su vida privada si se basan en sospechas concretas y plausibles, pero rechazan las medidas de vigilancia masiva no selectiva.[6] Aplicar la minería de datos para detectar actividades delictivas o terroristas puede compararse con encontrar la aguja en el pajar [7]. Esto significa también que el tratamiento incluirá datos personales de interesados que no están actualmente o no han estado en el pasado implicados en ninguna actividad delictiva o terrorista. Dependiendo de la orientación de los datos analizados, los datos tratados pueden referirse predominantemente o casi exclusivamente a personas inocentes. Este tratamiento de datos viola la presunción de inocencia, modifica la relación entre los ciudadanos y el Estado y puede tener graves consecuencias sociales e individuales (en caso de falsos positivos).

Por lo tanto, usted, como diseñador de algoritmos, debe ser capaz de comprender las implicaciones de sus acciones, tanto para los individuos como para la sociedad, y ser consciente de sus responsabilidades, aprendiendo a mostrar una atención y vigilancia continuas. Seguir estos consejos puede ayudarle a evitar o mitigar muchos problemas éticos y legales. En este sentido, un entrenamiento óptimo para todos los sujetos implicados en el proyecto, incluso antes de que éste comience, podría ser una de las herramientas más eficaces para ahorrar tiempo y recursos en cuanto al cumplimiento de la protección de datos, la ética, la legislación nacional y de la UE o la aceptabilidad por parte de la sociedad. Esto también implica la participación de expertos en ética y derecho tanto en las actividades de entrenamiento como en la ejecución del proyecto. Las medidas adecuadas para garantizar la confidencialidad también merecen una atención especial (véase la subsección Medidas de apoyo a la confidencialidad en la sección Integridad y confidencialidad del capítulo Principios). La seguridad y la confidencialidad de los datos procesados, por un lado, es esencial; el conocimiento general sobre los tipos de datos extraídos, las personas afectadas o los algoritmos aplicados, por otro lado, es obligatorio para garantizar el cumplimiento de los derechos humanos y los valores europeos. El cumplimiento del estado miembro más restrictivo también apoya los objetivos empresariales, permitiendo la implementación y el uso de los sistemas desarrollados sin necesidad de ajustes individuales.

Utilizar el marco jurídico aplicable al tratamiento de datos

En el caso de los proyectos de I+D relacionados con la seguridad, este paso es especialmente complejo y difícil. Para el proyecto de investigación como tal se aplican las normas del RGPD; para las implementaciones posteriores deben seguirse las normas y disposiciones de la Directiva de Aplicación de la Ley de Protección de Datos (Directiva 2016/680). Además, hay que tener en cuenta las posibles legislaciones divergentes de los Estados miembros implicados. Por lo tanto, las tecnologías y los sistemas desarrollados deben prever, como mínimo, la adaptabilidad y la flexibilidad para hacer frente a las diferentes normativas. Desde el punto de vista de los derechos humanos y la ética, debe incorporarse a las tecnologías creadas el cumplimiento de las más restrictivas, apoyando así el máximo respeto de los derechos fundamentales y los valores relacionados, al mismo tiempo, como ya se ha mencionado, reduciendo o eliminando la necesidad de modificaciones si se aplican en países con normativas divergentes.

Según el artículo 5, apartado 1, letra a) del RGPD, los datos personales “se recogerán con fines determinados, explícitos y legítimos y no se tratarán posteriormente de manera incompatible con dichos fines”. El concepto de legitimidad no está bien definido en el RGPD, pero el Grupo de Trabajo del Artículo 29 afirmó que la legitimidad implica que los datos deben tratarse “de conformidad con la ley”, y que “ley” debe entenderse como un concepto amplio que incluye “todas las formas de derecho escrito y común, la legislación primaria y secundaria, los decretos municipales, los precedentes judiciales, los principios constitucionales, los derechos fundamentales, otros principios jurídicos, así como la jurisprudencia, ya que dicha “ley” sería interpretada y tenida en cuenta por los tribunales competentes.”.[8]

Por lo tanto, es un concepto más amplio que el de legalidad. Implica el cumplimiento de los principales valores de la normativa aplicable y de los principales principios éticos en juego. Por ejemplo, algunas herramientas concretas de IA necesitarán la intervención de un comité de ética. En otros casos, pueden aplicarse directrices o cualquier otro tipo de normativa blanda. Deberá garantizar el cumplimiento adecuado de este requisito diseñando un plan para esta etapa preliminar del ciclo de vida de la herramienta (véase la parte `Legitimidad y legalidad en el capítulo de licitad, lealtad y transparencia en “Principios”). Para ello, deberá tener especialmente en cuenta los requisitos que plantea la normativa aplicable a nivel nacional. El desarrollo de algoritmos relacionados con la predicción y prevención de la delincuencia requiere claramente la participación de los Comités de Ética desde una fase temprana y de acuerdo con el Art. 35 del RGPD para llevar a cabo una evaluación del impacto de la protección de datos. Como ya se ha mencionado, el art. 10 del RGPD exige comprobar si el tratamiento está autorizado por el Derecho de la Unión o de los Estados miembros en el caso del tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad relacionadas. Asegúrese de que su plan de investigación se ajusta a todos estos requisitos para ambas fases, la realización del proyecto de investigación y las futuras implementaciones de los sistemas desarrollados.

Las orientaciones éticas proporcionadas para la investigación financiada por la UE constituyen un marco completo para comprobar el cumplimiento de las normas éticas, que debe consultarse además de los reglamentos éticos o códigos de conducta institucionales, independientemente de que su investigación reciba o no financiación de la UE. Tenga en cuenta que la evaluación de la ética no es una actividad de lista de control, sino que siempre comprende también una ponderación de normas potencialmente conflictivas. En particular, la aplicación de las nuevas TIC y la consideración de la privacidad desde el diseño en un área tan delicada, requiere una visión de futuro por ambas partes, los investigadores involucrados y los evaluadores de ética.

Incluso si su proyecto o su institución no están sujetos a normas éticas específicas, es esencial observar y cumplir las normas nacionales o de la UE pertinentes. En cuanto saque al mercado las tecnologías y sistemas desarrollados, el cumplimiento es esencial tanto para la aplicación dentro de la UE como para la obtención de licencias de exportación para la explotación comercial fuera de la UE.

Adoptar un enfoque basado en el riesgo

La creación de su algoritmo implicará probablemente el uso de varias categorías especiales de datos personales, por ejemplo, opiniones políticas, creencias religiosas o filosóficas o datos relativos a la vida sexual u orientación sexual de una persona física, en el caso de la extracción de datos de las redes sociales. Por lo tanto, debe asegurarse de aplicar las medidas adecuadas para minimizar los riesgos para los derechos, intereses y libertades de los interesados (véase el apartado sobre Integridad y confidencialidad en el capítulo “Principios”). Para ello, debe evaluar los riesgos para los derechos y libertades de los individuos que participan en el proceso de investigación y desarrollo y juzgar lo que es apropiado para protegerlos. En todos los casos, debe garantizar el cumplimiento de los requisitos de protección de datos.

En el contexto de las tecnologías de predicción, prevención, detección o investigación de la delincuencia, un enfoque basado en el riesgo hace obligatoria una EIPD (evaluación de impacto de la protección de datos), ya que al menos una de las tres condiciones específicas del art. 35(3) del RGPD:

“3. La evaluación de impacto sobre la protección de datos a que se refiere el apartado 1 se exigirá, en particular, en el caso de

(a) una evaluación sistemática y amplia de los aspectos personales relativos a las personas físicas que se base en un tratamiento automatizado, incluida la elaboración de perfiles, y en la que se basen decisiones que produzcan efectos jurídicos sobre la persona física o que afecten significativamente de manera similar a la persona física;

(b) el tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10; o

(c) una vigilancia sistemática a gran escala de una zona de acceso público.”

El análisis basado en el riesgo debe incluir también los posibles problemas éticos relacionados con los usos indebidos [9] de las tecnologías desarrolladas y el doble uso[10] las restricciones a la exportación que puedan aplicarse a los sistemas desarrollados.

Hay que tener en cuenta también que los riesgos no se limitan a la protección de datos y a los efectos de violación de la privacidad de los sistemas desarrollados. Los derechos constitucionales y otros derechos humanos, como la presunción de inocencia, la igualdad en el acceso a la justicia, la no discriminación o la libertad de expresión, también pueden ser violados o perjudicados. Además, estos efectos no se limitan a los posibles sospechosos, sino que afectan a toda la sociedad. Se ven agravados por la falta de transparencia y la imposibilidad de controlar a las personas de muchas herramientas de IA.

Preparar la documentación del tratamiento

Quienquiera que procese datos personales (incluyendo tanto a los responsables como a los encargados del tratamiento) debe documentar sus actividades principalmente para que las utilicen las Autoridades de Supervisión cualificadas/relevantes. Debe hacerlo a través de los registros de tratamiento que su organización mantiene de forma centralizada en todas sus actividades de tratamiento, y de la documentación adicional correspondiente a las actividades individuales de tratamiento de datos (véase la sección Documentación del tratamiento en el capítulo Acciones y herramientas). Esta fase preliminar es el momento perfecto para establecer una forma sistemática de recopilar la documentación necesaria, ya que será el momento en el que podrá concebir y planificar la actividad de tratamiento.

El desarrollo de tu herramienta de IA puede implicar el uso de diferentes conjuntos de datos. Los registros deben garantizar la trazabilidad del tratamiento, la información sobre la posible reutilización de los datos y el uso de datos pertenecientes a diferentes conjuntos de datos en diferentes o en las mismas etapas del ciclo de vida.

En el caso de los sistemas utilizados con fines policiales, la documentación del tratamiento debe incluir también la documentación del acceso al sistema una vez implantado, a fin de prevenir y detectar posibles usos indebidos, por ejemplo, el acceso no autorizado a los resultados generados.

Tal y como se indica en los Requisitos y pruebas de aceptación para la adquisición y/o el desarrollo del software, el hardware y la infraestructura empleados (subapartado de la sección Documentación del tratamiento), la evaluación de riesgos y las decisiones tomadas “deben documentarse para cumplir con el requisito de la protección de datos desde el diseño (del art. 25 del RGPD). En la práctica, esto puede adoptar la forma de:

Requisitos de protección de datos especificados para la compra (por ejemplo, una licitación) o el desarrollo de software, hardware e infraestructura,

Pruebas de aceptación que verifiquen que el software, los sistemas y la infraestructura elegidos son aptos para el propósito y proporcionan la protección y las garantías adecuadas.

Esta documentación debe formar parte de la EIPD.”

Por último, debe ser siempre consciente de que, según el art. 32(1)(d) del RGPD, la protección de datos es un proceso. Por lo tanto, debe probar, valorar y evaluar la eficacia de las medidas técnicas y organizativas con regularidad. Esta etapa es un momento perfecto para construir una estrategia destinada a afrontar estos retos.

Comprobar el marco normativo

El RGPD incluye normas específicas relativas al tratamiento con fines de investigación científica (véase la sección Protección de datos e investigación científica en el capítulo Conceptos). Su herramienta de IA podría clasificarse como investigación científica, independientemente de si se crea con fines de lucro o no. “El Derecho de la Unión o de los Estados miembros podrá prever excepciones a los derechos contemplados en los artículos 15, 16, 18 y 21, con arreglo a las condiciones y garantías contempladas en el apartado 1 del presente artículo, en la medida en que tales derechos puedan hacer imposible o perjudicar gravemente la consecución de los fines específicos, y dichas excepciones sean necesarias para el cumplimiento de dichos fines” (art. 89.2 del RGPD). Además, según el artículo 5 (b) “el tratamiento ulterior de los datos recogidos, de conformidad con el artículo 89 (1), no se consideraría incompatible con los fines iniciales (“limitación de la finalidad”). También deberían considerarse otras excepciones particulares al marco general aplicable al tratamiento con fines de investigación (como la limitación del almacenamiento)”.

Es posible que usted se beneficie de este marco favorable, dependiendo de los países en los que se lleve a cabo la investigación y de la forma jurídica de los socios implicados, por ejemplo, si son entidades académicas o comerciales. No obstante, debe conocer la normativa concreta (nacional) que se aplica a esta investigación (principalmente, las garantías que deben aplicarse). Pueden incluir requisitos específicos, dependiendo de las respectivas legislaciones nacionales.

Ser cuidadoso también implica que hay que tener en cuenta las limitaciones tanto legales como éticas de la investigación prevista. El hecho de que las normativas (nacionales) específicas permitan el tratamiento de datos previsto no implica que también sea aceptable o conforme desde el punto de vista ético. Por analogía, el cumplimiento de las normas éticas no debe utilizarse como una vía de escape de la ley.[11]

Definir las políticas de almacenamiento de datos

Según el artículo 5 (1) (e) del RGPD, los datos personales deben “conservarse en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que se tratan los datos personales” (véase la sección “Limitación del almacenamiento” en el capítulo “Principios”). Este requisito tiene una doble vertiente. Por un lado, se refiere a la identificación: los datos deben almacenarse en una forma que permita la identificación de los interesados durante un periodo no superior al necesario. En consecuencia, se deben aplicar políticas destinadas a evitar la identificación en cuanto no sea necesaria para el tratamiento. Dichas políticas implican la adopción de medidas adecuadas para garantizar que, en cualquier momento, sólo se utilice el grado mínimo de identificación que sea necesario para cumplir los fines (véase el subapartado sobre el aspecto temporal en la sección de limitación del almacenamiento en el capítulo de Principios).

Por otro lado, el almacenamiento de datos implica que los datos sólo pueden almacenarse durante un periodo limitado: el tiempo estrictamente necesario para los fines para los que se tratan los datos. Sin embargo, el RGPD permite “el almacenamiento durante períodos más largos si el único propósito es la investigación científica (que podría ser el caso de la fase de I+D).

La excepción de la investigación científica plantea el riesgo de que usted decida conservar los datos más tiempo del estrictamente necesario. Debe ser consciente de que, aunque el RGPD permita el almacenamiento durante períodos más largos, debe tener razones justificadas para optar por ese período ampliado. Para los sistemas desarrollados debe incluir precauciones organizativas y técnicas para poder cumplir con las diferentes normativas legales nacionales relativas a los períodos máximos de almacenamiento de datos. Este podría ser también un excelente momento para prever plazos para el borrado (automático) de diferentes categorías de datos y para documentar estas decisiones (véase Principio de responsabilidad proactiva en el capítulo Principios).

Designar un responsable de la protección de datos

De acuerdo con el Art. 37(1) del RGPD debe designar un DPD:

“1. Los responsables y el encargado del tratamiento designarán un delegado de protección de datos en cualquier caso en que:

(a) el tratamiento sea llevado a cabo por una autoridad u organismo público, con excepción de los tribunales que actúen en su capacidad judicial;

(b) las actividades principales del responsable o del encargado del tratamiento consistan en operaciones de tratamiento que, por su naturaleza, alcance y/o fines, requieran un control regular y sistemático de los interesados a gran escala; o

(c) las actividades principales del responsable o del encargado del tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos con arreglo al artículo 9 y de datos personales relativos a condenas penales e infracciones a que se refiere el artículo 10.”

 

 

  1. Shearer, Colin, The CRISP-DM Model: The New Blueprint for Data Mining, p. 14.
  2. https://ec.europa.eu/research/participants/data/ref/h2020/wp/2016_2017/main/h2020-wp1617-security_en.pdf
  3. https://ec.europa.eu/info/sites/default/files/5._h2020_ethics_and_data_protection_0.pdf
  4. DIRECTIVA 2006/24/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 15 de marzo de 2006 sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE, <https://www.boe.es/doue/2006/105/L00054-00063.pdf >
  5. https://www.europarl.europa.eu/legislative-train/theme-area-of-justice-and-fundamental-rights/file-data-retention-directive
  6. Strauß, S. (2015). D 6.10–Citizen Summits on Privacy, Security and Surveillance: Synthesis Report. <http://surprise-project.eu/wp-content/uploads/2015/02/SurPRISE-D6.10-Synthesis-report.pdf>
  7. Lo que también significa que la búsqueda de más datos sólo aumenta el pajar, no necesariamente el número de agujas.
  8. Grupo de Trabajo del Artículo 29 (2013) Dictamen 03/2013 sobre la limitación de la finalidad (2013). Comisión Europea, Bruselas. Disponible en: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf
  9. Véase: https://ec.europa.eu/research/participants/data/ref/h2020/other/hi/guide_research-misuse_en.pdf
  10. Véase: https://ec.europa.eu/research/participants/data/ref/h2020/other/hi/guide_research-dual-use_en.pdf
  11. Wagner, B. (2018). Ethics as an Escape from Regulation: From ethics-washing to ethics-shopping? In E. BayamlioĞLu, I. Baraliuc, L. Janssens, & M. Hildebrandt (Eds.), Being Profiled (pp. 84-89): Amsterdam University Press.

 

Ir al contenido