Diego Cardona

Partner nei settori della concorrenza e della tecnologia, dei media e delle telecomunicazioni

Philippi Prietocarrizosa Ferrero DU & Uría (PPU)

Natalia Castilla

Associato in Concorrenza e Tecnologia, Media e Telecomunicazioni

Philippi Prietocarrizosa Ferrero DU & Uría (PPU)

Nell’ottobre 2023 saranno trascorsi 11 anni dalla pubblicazione della legge 1581 del 2012, che costituiva l’asse principale del regime di protezione dei dati personali in Colombia. Tuttavia, dopo più di 10 anni di attuazione e dopo un ruolo importante nella sensibilizzazione sulla protezione dei dati, vale la pena chiedersi se gli strumenti e i meccanismi previsti dalla normativa colombiana stiano iniziando a diventare obsoleti e a perdere la loro efficacia. informazioni, soprattutto tenendo conto dello sviluppo di nuove tecnologie il cui funzionamento si basa proprio sull’utilizzo dei dati. In che modo le nuove tecnologie influiscono sulla nostra protezione dei dati?

I neurodati sono informazioni raccolte direttamente dal sistema nervoso di una persona (cervello e sistema nervoso), con l’obiettivo di trarre conclusioni su quell’individuo. Negli ultimi anni sono stati sviluppati dispositivi e procedure per consumatori, aziende e assistenza sanitaria, sia invasivi che non invasivi, per registrare ed elaborare dati neuronali ai fini della raccolta di informazioni, del controllo dei dispositivi e della modulazione dell’attività neurale.

Questa neurotecnologia è una realtà nel settore sanitario da diversi anni. Tuttavia, questi strumenti vengono ora sviluppati rapidamente per essere utilizzati nei settori della salute personale, dello sport, del marketing e della pubblicità, compreso il monitoraggio delle persone al lavoro. In particolare, l’Ufficio del Commissario britannico per l’informazione prevede che l’uso delle neurotecnologie diventerà diffuso nel prossimo decennio.

Aumenta il rischio

Questo tipo di tecnologia, insieme alle nuove piattaforme di intelligenza artificiale e allo sviluppo di nuovi prodotti intelligenti, tra gli altri, ha avuto un impatto significativo sulla velocità di raccolta ed elaborazione dei dati personali. A sua volta, l’emergere di nuovi attori i cui processi sono supportati da tecnologie dirompenti che solitamente comportano lo scambio di informazioni a livello globale e l’evoluzione di strumenti che gestiscono e consumano grandi quantità di dati attraverso l’applicazione di algoritmi complessi aumenta i rischi per la nostra salute. dati personali. trattati per uso non autorizzato e anche accessibili da agenti esterni per scopi illegali.

Ad esempio, il 20 marzo la società OpenAI ha riscontrato il suo primo incidente di sicurezza sulla sua famosa applicazione ChatGPT. Secondo OpenAI, circa l’1,2% dei clienti ChatGPT Plus attivi in ​​quel momento (circa 1,2 milioni di utenti) avrebbero visto i propri dati esposti. Durante questo periodo, alcuni utenti potrebbero vedere il nome, il cognome, l’indirizzo e-mail, l’indirizzo di pagamento e alcuni dati della carta di credito di altri utenti.

In conseguenza di quanto sopra, e a causa delle preoccupazioni relative alla privacy in queste applicazioni, sia le aziende del settore privato che le autorità di protezione dei dati in alcuni paesi hanno adottato misure relative all’uso di questi strumenti. JPMorgan Chase, ad esempio, limita l’uso di ChatGPT da parte dei suoi dipendenti. Nel frattempo, la Federal Trade Commission ha aperto un’indagine su OpenAI per determinare se l’azienda ha violato le norme sulla protezione dei consumatori compromettendo la privacy dei dati, mentre le autorità italiane responsabili dei dati hanno deciso di bloccare temporaneamente l’uso dell’app in tutto il Paese.

Situazioni come quelle descritte, insieme alle preoccupazioni espresse da vari esperti internazionali riguardo alla sicurezza dei dati personali in questo ambiente tecnologico, hanno portato a tendenze normative in tutto il mondo, come la “legge sull’intelligenza artificiale” attualmente proposta dalla Commissione. .Europa.

Conto

Nel caso della Colombia, il 22 agosto è stato presentato un progetto di legge “in base al quale si emanano disposizioni per il regime generale di protezione dei dati personali”, che mira a sviluppare ed espandere la portata del diritto fondamentale alla habeas datiriconoscere e tutelare il diritto fondamentale alla privacy stabilendo nuovi obblighi volti a garantire che i dati personali siano trattati in modo adeguato, in linea con l’era digitale.

Innanzitutto, il disegno di legge all’esame della Prima Commissione Permanente per la Costituzione del DPR mira a stabilire regole chiare riguardo a scenari attualmente non disciplinati dalla normativa vigente. Ad esempio, i neurodati e i trattamenti eseguiti mediante neurotecnologia saranno soggetti a determinati parametri comportamentali che cercano di garantire la sicurezza e la privacy dei loro proprietari, tenendo conto dei rischi inerenti.

Parimenti, tale iniziativa prevede l’obbligo di fornire informazioni chiare e trasparenti in merito alle procedure che comportano la profilazione. Questi trattamenti comportano rischi significativi per gli individui, che di solito non sono consapevoli delle loro implicazioni.

D’altro canto, la proposta prevede nuove linee guida per i responsabili e gli autorizzati che trattano dati personali al di fuori del territorio nazionale, uno degli aspetti che suscita maggiori preoccupazioni ai sensi della normativa attuale. Da un lato, questo progetto introduce il concetto di applicazione delle leggi extraterritoriali ai titolari o ai responsabili del trattamento che non sono stabiliti in Colombia, quando l’attività di trattamento è correlata all’offerta di beni o servizi a proprietari residenti in Colombia, o quando si tratta di un controllo sul loro comportamento (profilazione). Questa disposizione estende la protezione prevista dalla legge colombiana a situazioni in cui i titolari dei diritti residenti in Colombia non erano precedentemente protetti, e questo è comune per gli strumenti di elaborazione dei dati che consentono gli sviluppi tecnologici nell’era digitale.

Sicurezza della privacy

Infine, tra le altre disposizioni, il progetto cerca di presentare una soluzione al problema della sicurezza della privacy nel contesto attuale, “dove le informazioni personali circolano indiscriminatamente in sistemi informatici interconnessi la cui caratteristica principale è la loro ubiquità”.

Pertanto, il regolamento stabilisce diverse disposizioni volte a garantire la sicurezza dei dati, tra cui: protezione dei dati fin dalla progettazione e per impostazione predefinita; l’obbligo di effettuare valutazioni d’impatto in situazioni che possono comportare un rischio per la privacy; la figura del compliance officer (ormai obbligatorio per alcune organizzazioni); procedure di consultazione preventiva in cui l’autorità fornirà servizi di consultazione riguardanti trattamenti che pongono un rischio elevato per i diritti e le garanzie dei proprietari, e la descrizione di un codice di condotta, che sarà parametri chiari fissati dall’ispettore industriale. e Commercio per la corretta applicazione della legge. Quest’ultimo tiene conto delle caratteristiche specifiche dei diversi settori di trasformazione e delle esigenze specifiche delle micro, piccole e medie imprese.