El principio de responsabilidad del RGPD se basa en el riesgo: cuanto mayor sea el riesgo del tratamiento de datos para los derechos y libertades fundamentales de los interesados, mayores serán las medidas necesarias para mitigar esos riesgos.[1] (Véase la sección “Principio de responsabilidad” dentro de “Principios” en la Parte II de estas Directrices). El principio de responsabilidad se basa en todos los deberes de cumplimiento de los responsables del tratamiento, entre los que se incluyen: los deberes de transparencia (artículos 12 a 14); la garantía del ejercicio de los derechos de protección de datos (artículos 15 a 22); el mantenimiento de registros de las operaciones de tratamiento de datos (artículo 30); la notificación de posibles violaciones de datos a una autoridad nacional de control (artículos 33) y a los interesados (artículo 34); y, en los casos de mayor riesgo, la contratación de un RPD y la realización de una EAD (artículo 35).
Dado que el tratamiento de datos personales en los sistemas de IdCpuede considerarse a menudo de alto riesgo,[2] los desarrolladores de IA necesitarán a menudo contar con un DPD y realizar una EIPD. Asimismo, los responsables del tratamiento deberían crear una política de protección de datos que permita la trazabilidad de la información. Por último, si existen códigos de conducta aprobados, estos también podrían aplicarse (véase la subsección “Economía de escala para el cumplimiento y su demostración” en la sección “Responsabilidad” de los “Principios” de la Parte II de estas Directrices).
Recuadro 8: La dificultad de rendir cuentas en el desarrollo de la IdC La rendición de cuentas es un requisito esencial dados los riesgos inherentes a la IdC, como la “naturaleza opaca de los flujos de datos distribuidos; los mecanismos de consentimiento inadecuados y la falta de interfaces que permitan al usuario final controlar los comportamientos de los dispositivos habilitados para Internet”[3]. Otra cuestión particularmente compleja es el hecho de que la IdCpermite muchas herramientas y tecnologías que tienen sus propios riesgos de protección de datos. En particular, la IA, el aprendizaje automático, el big data, la computación en la nube, “con datos personales recogidos por los dispositivos de la IdCque suelen distribuirse a la nube para su procesamiento y análisis”[4]. El CEN y el CENELEC están elaborando normas Vea la lista aquí: |
- Véanse los artículos 24, 25 y 32 del RGPD, que exigen que los responsables del tratamiento tengan en cuenta los “riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas” al adoptar medidas específicas de protección de datos. ↑
- Véase, en particular, el artículo 35, apartado 3, letra a), según el cual el tratamiento de datos se considera de alto riesgo en los casos, entre otros, de “una evaluación sistemática y amplia de los aspectos personales relativos a las personas físicas que se base en un tratamiento automatizado, incluida la elaboración de perfiles, y en la que se basen decisiones que produzcan efectos jurídicos sobre la persona física o que la afecten significativamente de manera similar”. ↑
- Urquhartet L. et al, La rendición de cuentas demostrable en el Internet de las cosas, Revista Internacional de Derecho y Tecnologías de la Información, 2019, 27, 1-27 ↑
- Ibid. ↑