La Unión Europea planea flexibilizar el RGPD en materia de inteligencia artificial y ‘cookies’
La Comisión Europea está preparando una reforma del Reglamento General de Protección de Datos (RGPD) que podría modificar de forma significativa la manera en que las empresas manejan la información personal. Los ajustes afectarían tanto al seguimiento de cookies como al uso de datos para entrenar modelos de inteligencia artificial, dos temas en el centro del debate sobre la privacidad digital.
De acuerdo con un borrador filtrado por el grupo alemán Netzpolitik.org, el nuevo paquete legislativo —llamado Digital Omnibus— eliminaría la obligación de pedir consentimiento explícito antes de instalar cookies y permitiría entrenar sistemas de IA con datos personales cuando se justifique por los “intereses legítimos” de las compañías.
La propuesta oficial se presentará el 19 de noviembre.
Fin al consentimiento previo para las “cookies”
El texto propone añadir un artículo 88 bis al RGPD para regular directamente el “tratamiento de datos personales en dispositivos”, trasladando la regulación de cookies desde la Directiva de privacidad electrónica al propio reglamento europeo.
Hoy, esa directiva exige que los sitios web pidan permiso antes de guardar o leer cookies no esenciales en los dispositivos de los usuarios. Según la Comisión, esta obligación ha generado confusión y altos costes de cumplimiento, ya que distintos países aplican reglas diferentes.
Con la reforma, los sitios podrían recopilar y procesar datos a través de cookies si lo hacen por motivos considerados de “bajo riesgo” o con alguna de las bases legales previstas por el RGPD, incluido el interés legítimo. En la práctica, esto permitiría que las páginas rastreen a los usuarios por defecto, dejando que sean ellos quienes luego se opongan al seguimiento.
Tal y como se puede leer en el borrador, “el consentimiento garantiza el control de las personas, pero no siempre es la base jurídica más adecuada”, que critica la duplicidad de marcos legales entre el RGPD y la Directiva de privacidad electrónica.
Diversos grupos de privacidad sostienen que la Comisión está usando la llamada “fatiga de las cookies” —el cansancio ante los constantes avisos de consentimiento— como excusa para debilitar las garantías. Para la red European Digital Rights (EDRi), “el RGPD, la normativa de privacidad electrónica y la Ley de IA no son un obstáculo para la innovación, sino la base del modelo digital europeo centrado en las personas”, y añade: “Pero con el pretexto de la coherencia, la Comisión parece dispuesta a reducir la protección de la privacidad”.
El documento también propone que los navegadores y sistemas operativos transmitan automáticamente las preferencias de privacidad de los usuarios, lo que podría acabar con los molestos avisos de cookies en cada página. No obstante, el borrador contempla una excepción para los medios de comunicación, que podrían seguir pidiendo consentimiento para proteger su “base económica”.
Entrenamiento de IA con datos personales
El proyecto aborda uno de los temas más sensibles de la legislación europea: si las empresas pueden usar datos personales para entrenar modelos de inteligencia artificial.
El borrador permitiría hacerlo basándose en el “interés legítimo”, siempre que las compañías apliquen medidas de seguridad como la minimización de datos, la transparencia y el derecho del usuario a oponerse. Según se señala en el documento, “el tratamiento de datos personales para entrenar sistemas de IA puede realizarse por interés legítimo”, además de pedir a los desarrolladores asegurar que el proceso sea “beneficioso para la persona y la sociedad”.
Bruselas argumenta que esto permitiría detectar sesgos y mejorar la precisión de los modelos. Sin embargo, expertos en privacidad advierten que abrir esa puerta podría facilitar la recolección masiva de datos sin consentimiento, algo que el RGPD pretendía evitar.
El texto también plantea una excepción limitada para los llamados datos sensibles (como salud, religión u orientación sexual) que aparezcan de forma accidental en los conjuntos de entrenamiento. Si eliminarlos exige un “esfuerzo desproporcionado”, las empresas podrían conservarlos bajo medidas que impidan su uso o difusión.
Menor protección para los datos sensibles
Otro cambio controvertido reduciría el alcance de la definición de “datos sensibles” del artículo 9 del RGPD. Las reglas más estrictas sólo aplicarían cuando la información revele directamente características personales —como raza, religión o salud—, no cuando éstas se deduzcan mediante análisis o inferencias.
Tal y como se afirma en el texto, “para la mayoría de los datos personales del artículo 9 no existen riesgos significativos cuando los datos no son intrínsecamente sensibles”.
Críticos señalan que esta modificación permitiría a las empresas inferir rasgos protegidos —como orientación sexual o ideología política— a partir de datos aparentemente neutros, sin activar las protecciones más severas del RGPD. El Instituto Europeo de Derecho ha reconocido que se podrían necesitar algunas actualizaciones, pero ha advertido de que “las mejoras no deben hacerse a costa de los derechos fundamentales”.
Una reforma que divide a Europa
Si se aprueba, el paquete Digital Omnibus marcaría un cambio importante en la gobernanza de datos personales en Europa. Las empresas ya no necesitarían complejos sistemas de consentimiento para la mayoría de las cookies, aunque deberían justificar detalladamente el uso de datos bajo el principio del “interés legítimo”.
La red European Digital Rights ya ha criticado el proceso de consulta por su falta de apertura, plazos muy cortos y excesivo peso de la industria tecnológica. Para los defensores de la privacidad, esta revisión del RGPD sería el cambio más profundo desde su entrada en vigor en 2018. Tal y como defienden, el nuevo enfoque pondrá a prueba el equilibrio entre innovación, competitividad y derechos fundamentales en la era de la inteligencia artificial.
(computerworld.es)
Les estaremos informando con mucho más detalle, en el marco del informe especial: “Soluciones de infraestructura de Data centers y edge computing, componentes activos (UPS, AAC, generadores, tableros eléctricos, PDU) y pasivos (cables, gabinetes, pisos, accesorios, conectores). Climatización. IA y Ciberseguridad. Buenas prácticas ambientales», que estamos preparando para nuestra edición 216 y publicaremos en el mes de noviembre.
Mantente conectado a nuestra revista Channel News Perú, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario
