La Red Iberoamericana de Protección de Datos (RIPD) ha aprobado por unanimidad una nueva versión de los Estándares de Protección de Datos para los Estados Iberoamericanos. El objetivo es modernizar las legislaciones nacionales de protección de datos, la construcción de reglas comunes para toda la región y la cooperación entre las autoridades.
Los nuevos Estándares, aprobados durante el Encuentro de la RIPD celebrado en Cartagena de Indias (Colombia), actualizan el marco regional de protección de datos para responder a los desafíos derivados de la transformación digital. Entre ellos, la inteligencia artificial (IA), la automatización, la biometría, los neurodatos, la protección de la infancia y la adolescencia en entornos digitales, la gobernanza algorítmica y la calidad de los datos utilizados por sistemas automatizados.
Los nuevos Estándares reflejan un cambio de paradigma. La protección de datos pasa a integrarse en un modelo más amplio de gobernanza digital, orientado a garantizar que la innovación tecnológica se desarrolle con respeto a la dignidad, la autonomía personal, la igualdad y los derechos fundamentales.
Tras esta aprobación, los nuevos Estándares serán remitidos a la Secretaría General Iberoamericana para su posible adopción en el marco de la próxima Cumbre Iberoamericana de Jefes de Estado y de Gobierno, prevista para el 4 y 5 de noviembre en Madrid.
Neurodatos y protección reforzada
El texto incorpora por primera vez referencias específicas a los neurodatos dentro de las categorías especiales de datos sensibles. Los define como aquellos relacionados con el funcionamiento, la actividad o la estructura del cerebro humano que permitan identificar o hacer identificable a una persona o inferir información relativa a su fisiología, salud o estados mentales.
Los Estándares establecen que el tratamiento de neurodatos deberá ser objeto de medidas especiales de responsabilidad reforzada y que deberá prestarse especial atención al cumplimiento de principios como la minimización, la exactitud, la transparencia, la seguridad y la responsabilidad proactiva.
Además, el documento identifica como tratamientos de alto riesgo aquellos destinados a inferir estados mentales o convicciones íntimas, modificar indebidamente la voluntad o el comportamiento de las personas, realizar vigilancia masiva en contextos laborales, educativos o gubernamentales o identificar personas mediante patrones neuronales.
Los Estándares señalan expresamente que este tipo de tratamientos podrían ser objeto de prohibiciones en las legislaciones de los Estados iberoamericanos.
Límites de la IA en la protección de derechos
El texto incorpora referencias a los tratamientos automatizados y a los sistemas de IA. Entre otras cuestiones, promueve mecanismos de gobernanza algorítmica, trazabilidad, supervisión humana efectiva, evaluación continua de riesgos y auditoría periódica de sistemas automatizados y de IA. Además, refuerza de forma significativa el principio de calidad y su proyección al ámbito de la IA. En sistemas automatizados o de IA, la calidad ya no se limita a que los datos sean exactos o estén actualizados.
Uno de los cambios más relevantes es la evolución desde la idea clásica de decisiones «exclusivamente automatizadas» hacia decisiones «exclusiva o esencialmente automatizadas«. Este matiz reconoce que muchos sistemas actuales incorporan intervención humana solo de forma aparente o residual. Por ello, los Estándares exigen una intervención humana calificada, significativa y efectiva, con capacidad real para comprender el sistema, evaluar críticamente sus resultados y apartarse de ellos.
Asimismo, se refuerza el derecho de las personas a no ser objeto de decisiones basadas exclusiva o esencialmente en tratamientos automatizados cuando produzcan efectos jurídicos o impactos significativos. En estos casos, las personas tendrán derecho a obtener intervención humana, así como información clara sobre la lógica aplicada y los criterios principales utilizados en la decisión automatizada.
Además, el texto establece referencias específicas a evaluaciones de impacto vinculadas a tecnologías disruptivas, sistemas de IA, biometría, sistemas predictivos y neurotecnologías, especialmente cuando puedan implicar un alto riesgo para los derechos y libertades de las personas.
Protección de datos: garantías especiales para menores
La nueva versión de los Estándares fortalece las garantías específicas para la protección de la infancia y adolescencia en el entorno digital. El texto establece que el tratamiento de datos personales de menores deberá regirse por el principio del interés superior del niño/a, así como por criterios de autonomía progresiva y protección integral.
Los Estándares prevén, además, que el tratamiento de datos personales de menores sea objeto de medidas especiales de responsabilidad reforzada. Entre las medidas figuran las configuraciones de protección por defecto, las limitaciones de acceso, las restricciones a perfiles y publicidad comportamental, la verificación efectiva de edad y herramientas para bloquear, silenciar y controlar grupos.
Con esta actualización, la Red Iberoamericana de Protección de Datos consolida un marco regional orientado a fortalecer la protección de los derechos fundamentales en un contexto de acelerada transformación tecnológica y creciente circulación internacional de datos.
Archivado en:
