Tecnología de Consumo
Tecnología de Consumo
Noticias del año con tres leyes que van a cambiar el sector en los próximos meses
Xataka
En Tecnología de Consumo de "Ganbara" Eva Rodríguez (Xataka) nos habla de las noticias más relevantes de 2023 a nivel tecnológico.
-
Las noticias más relevantes de 2023 a nivel tecnológico.
11:51 min
Nos encaminamos a cerrar este 2023 que si me preguntas a mí, ha sido revolucionario a nivel tecnológico. Sí, es cierto que ChatGPT se presentó en noviembre de 2022, pero ha sido este año cuando se ha popularizado, extendido su uso o simplemente, han surgido alternativas como Google Bard. Y cuando la tecnología se agita, la sociedad cambia y como consecuencia, toca regulaciones. Así que cerramos esta sección de noticias del año con tres leyes que van a cambiar el sector en los próximos meses.
Las claves de la primera ley de regulación de la inteligencia artificial
Empezamos con una noticia importantísima para la humanidad, pero especialmente Europa, pionera en el mundo con la primera ley de regulación de IA.
El acuerdo provisional se cerró en la noche del viernes y ya te adelanto que falta tiempo para que entre en vigor. Concretamente, el calendario es el siguiente: ahora los estados miembros y el Parlamento Europeo deberán ratificar el texto final y previsiblemente comenzará a ser efectiva allá por 2026, aunque algunos puntos clave estarán operativos antes.
Al llegar al acuerdo, la presidencia española del Consejo de la UE explicaba en Twitter que su objetivo es 'garantizar que los sistemas de IA comercializados y usados en la UE sean seguros y respeten los derechos fundamentales y los valores UE.'
Dicho esto, vamos a los puntos clave, polémicos y peliagudos.
La transparencia va a ser imprescindible para su uso en el día a día para la ciudadanía. Es decir, que Chatbots, deepfakes y otros contenidos generados por inteligencia artificial deberán ser claramente etiquetados, de forma que usuarios y usuarias sepan que están frente a una inteligencia artificial. Aquellos contenidos made in IA, además deberán estar marcados para que sea detectado como tal. Asimismo, en caso de usar sistemas de categorización biométricas o reconocimiento de emociones, las personas deberán ser informadas.
A partir de aquí, se van a clasificar las aplicaciones de IA en tres niveles en función de su riesgo:
- las de mínimo riesgo que en la práctica son la mayoría y sirva como ejemplo los sistemas de recomendación o filtros de spam. Aquí no habrá obligaciones extra.
- Las de alto riesgo, por su potencial daño a la salud, la seguridad, los derechos fundamentales, el medio ambiente, la democracia y el Estado de derecho. Es el caso de infraestructuras energéticas, dispositivos médicos, control de fronteras, administración de justicia, sistemas biométricos. Aquellas que se clasifiquen en este nivel tendrán que cumplir una serie de requisitos como registro de actividad, documentación detallada, información clara del usuario, supervisión humana y un alto nivel de robustez, precisión y ciberseguridad. La ciudadanía podrá presentar quejas sobre estos sistemas y recibir explicaciones sobre decisiones basadas en IA de alto riesgo que afecten a sus derechos.
- De riesgo inaceptable, ya que se consideren una clara amenaza a los derechos fundamentales de las personas. Estas directamente estarán prohibidas.
Y vamos a esas aplicaciones prohibidas porque creo que son las más interesantes y las que ciudadanos y ciudadanas debemos tener claro:
- Sistemas de categorización biométrica que utilizan características sensibles (como puede ser credo, religión, orientación sexual o raza).
- Sistemas de extracción para bases de datos captando información indiscriminadamente a través de internet, TV o CCTV.
- Reconocimiento de emociones en el lugar de trabajo y en instituciones educativas.
- Social scoring, o lo que es lo mismo, la puntuación social basada en comportamiento social o características personales.
- Sistemas de IA que manipulan el comportamiento humano para alterar su libre voluntad o las vulnerabilidades humanas, por ejemplo, la edad, discapacidad, situación social o económica.
Atención porque hay una excepción importante. La identificación biométrica es un tema peliagudo ya que no está totalmente prohibida: podrá usarse con fines policiales previa autorización judicial y para una serie de delitos claramente estipulados. Así, se emplearía incluso en tiempo real para búsqueda selectiva de una persona sospechosa o condenada, víctimas (secuestro, trata, explotación sexual) o amenaza terrorista, entre otros casos.
¿Qué pasa si no se cumple con la ley? Multas y cuantiosas: van desde 7,5 millones o el 1,5% del volumen de negocios hasta los 35 millones de euros o el 7% del volumen, en función del tipo de infracción cometida y el tamaño de la empresa.
La propuesta de esta ley se lanzó en septiembre de 2022 y hace unos días el Parlamento Europeo y lel Consejo la aprobaron, aunque falta la aprobación formal y publicación en el DOUE para que sea oficial, algo que se producirá previsiblemente en 2024. ¿Qué pasará a partir de ese momento? hay un plazo de tres años para que los fabricantes los adopten y que si un router o domótica se vende en la UE, cuente con una certificación de ciberseguridad.
Ojo porque nos pensamos que no somos muy tecnológicos y luego tenemos el robot aspirador, el smart TV, el reloj inteligente y por supuesto el router. La conectividad proporciona ventajas como poder controlar aparatos a distancia, pero también es una puerta abierta a ataques. Porque la realidad es que hay muchos fabricantes que juegan la batalla del precio, es decir, vender dispositivos baratos, pero una vez en casa, ¿qué? ¿Cuidan del soporte del producto? ¿Ofrecen actualizaciones? ¿Qué pasa cuando se queda obsoleto? Que nos lo comemos con patatas.
Así que esta ley de ciberresiliencia en ciernes se aplicará a la totalidad de dispositivos conectados directa o directamente a otro dispositivo o a la red, salvo el sofrware de código abierto o aquellos servicios ya cubiertos normas actuales, como dispositivos médicos, la aviación y los automóviles.
Con la ley en marcha, será requisito imprescindible integrar la seguridad desde el principio del desarrollo de un producto conectado. Una vez terminado y antes de su comercialización, tendrán que llevar a cabo un test de conformidad de ciberseguridad para, en caso de éxito, conseguir el marcado CE.
Un punto importante es que el fabricante tendrá responsabilidad sobre toda la vida útil del producto. Así, será obligatorio que identifiquen potenciales vulnerabilidades, actúen lo antes posible y de forma gratuita y que además estas sean documentadas públicamente una vez solucionadas.
Así, tendrán que vender productos con una configuración de base que sea segura y a la que sus clientes puedan retornar, deberán cifrar los datos personales en caso de trabajar con ellos y no pedirán más información privada de la que necesitan, tienen la obligación de minimizar la dependencia con servicios externos, para que nos entendamos, que si se cae el servidor de iRobot, yo pueda seguir usando mi Roomba, tendrán que reducir interfaces de entrada y se comprometen a un sistema de actualización automática.
Uno de los puntos más peliagudos es que el artículo 11 dice que será obligatorio que las empresas comuniquen a las entidades gubernamentales sus vulnerabilidades en un plazo inferior a 24 horas. ¿El problema? Dicen algunos fabricantes en una carta firmada que esta información privilegiada puede suponer un riesgo en manos inadecuadas, por ejemplo espionaje.
Wallapop, Vinted o eBay, bajo la lupa de hacienda
Miriam, ¿acostumbras a deshacerte de tu ropa o de cacharros que ya no usas en aplicaciones de compraventa de segunda mano? Seguro que gente que nos oye sí e incluso yo misma en mi última mudanza me saqué algún dinerillo vendiendo trastos.
Pues bien, atención máxima porque a partir del 1 de enero de 2024 entrará en vigor la nueva Directiva europea DAC7, relativa a la cooperación administrativa en el ámbito de la fiscalidad. Esta, obliga a las plataformas digitales a recopilar, verificar, actualizar y comunicar aquellos datos sobre las operaciones que hacen los vendedores de plataformas como eBay, Wallapop e incluso AirBNB: todas aquellas en las que haya venta, alquiler de bienes (de forma personal o profesional) u ofrecimiento de servicios.
Sean o no residentes en la UE, las plataformas deben informar sobre los ingresos obtenidos por vendedores. Entre las actividades objeto de reporte, denominadas por la directiva como "actividades pertinentes", se recogen las siguientes: arrendamientos de bienes inmuebles, servicios personales, venta de bienes, arrendamiento de cualquier medio de transporte.
¿Qué datos? Pues prácticamente no falta ninguno de los más jugosos: razón social, dirección, número de identidad fiscal , NIF/IVA, datos bancarios, total de dinero obtenido cada trimestre, ventas realizadas, tasas o comisiones.
Pero no va a aplicar a todo el mundo. Es decir, que este control se llevará a cabo si y solo si, somos residentes en la UE y en un año natural la contraprestación que obtienes por tus ventas es igual o superior a 2.000 euros (después de deducir tarifas, comisiones o impuestos) o bien si realizas más de 30 ventas independientemente del importe. Vamos, que si vendes un par de cosas no va a cambiar nada, pero hay gente que ha hecho de estos negocios su modo de vida o de ganarse un buen sobresueldo.
Si cumplimos ambos requisitos, se nos notificará mediante la aplicación o correo electrónico que es necesario rellenar la información legal de nuestro perfil, estando obligados a rellenarla en 60 días naturales. De lo contrario, las plataformas bloquearán nuestra cuenta. Es importante apuntar que la DAC7 no cambia las obligaciones fiscales de los vendedores. El principal cambio viene en que ahora, las plataformas estarán obligadas a comunicar nuestro datos para que la UE tenga bajo control estas transacciones relevantes.