APLAZAMIENTO DE VERI*FACTU HASTA 2027

/en ,

En el B.O.E de hoy 3 de diciembre de 2025, se publica el Real Decreto-ley 15/2025, aprobado ayer por el Consejo de Ministros, que modifica el Real Decreto 1007/2023 para posponer un año la entrada en vigor del Reglamento VERI*FACTU dando así un mayor plazo de adaptación a empresas, profesionales y desarrolladores de software.

 

Los nuevos plazos aplicables son los siguientes:

  • 1 de enero de 2027: Contribuyentes del Impuesto sobre Sociedades.
  • 1 de julio de 2027: Empresarios y profesionales que tributen en IRPF.

Consulta el texto de la norma aprobada en el siguiente enlace: https://www.boe.es/boe/dias/2025/12/03/pdfs/BOE-A-2025-24446.pdf.

EL BANCO DEBE VERIFICAR EL BENEFICIARIO DE UNA CUENTA BANCARIA AL REALIZAR TRANSFERENCIAS SEPA

/en ,

 

Desde el 9 de octubre de 2025 está en vigor en toda la Unión Europea la nueva obligación de verificar el titular de una cuenta bancaria al realizar transferencias SEPA.

El Reglamento (UE) 2024/886, (http://data.europa.eu/eli/reg/2024/886/oj) impone a los bancos, proveedores de servicios de pagos, la obligación de verificar que el nombre del beneficiario coincide con el IBAN, antes de autorizar una transferencia en euros; el Reglamento lo denomina “servicio de garantía de la verificación”.

Este cambio responde a la necesidad de frenar el fraude de suplantación, muy extendido en los últimos años, ya que, hasta ahora, era suficiente introducir un IBAN válido para ejecutar una transferencia, sin que se comprobara la identidad real del titular de la cuenta destinataria. Con esta nueva medida, las entidades bancarias deben realizar una verificación automática y alertar al cliente si hay discrepancia entre los datos proporcionados y la identidad real, permitiendo cancelar o rectificar la operación antes de autorizarla. Si el banco no cumple con esta obligación o lo hace de forma defectuosa, será considerado responsable, debiendo compensar al ordenante por el perjuicio financiero causado por tal incumplimiento.

Además, el servicio de verificación debe ser gratuito y estar disponible independientemente del canal empleado para efectuar la transferencia, fortaleciendo así la seguridad en los pagos digitales y la responsabilidad de las entidades financieras hacia sus clientes. Esta medida armoniza la práctica bancaria en la UE.

Por tanto, desde el 9 de octubre de 2025, las transferencias SEPA cuentan con un filtro de seguridad adicional que evita fraudes y errores, mejorando la protección y confianza en los pagos electrónicos.

 

HACIENDA CONOCERÁ LOS INGRESOS DE LOS AUTÓNOMOS RECIBIDOS POR BIZUM Y TARJETA

/en ,

Se ha aprobado la Orden HAC/747/202[1]  en virtud de la cual se aprueban, entre otros, los modelos de declaraciones informativas mensuales sobre operaciones realizadas por empresarios o profesionales adheridos al sistema de gestión de cobros a través de tarjetas y pagos asociados al número de teléfono móvil (BIZUM) mediante el modelo 170.

La entrada en vigor es enero de 2026 y será de aplicación, por primera vez, en relación con las declaraciones informativas correspondientes a 2026 que deban presentarse a partir de dicha fecha.

El plazo de presentación tendrá carácter mensual, y se realizará durante el mes natural siguiente al que se refiera la declaración.

Los sujetos obligados a presentar la declaración informativa mensual son:

a) Las entidades bancarias o de crédito y demás entidades que, de acuerdo con la normativa vigente, presten el servicio de gestión de cobros a través de tarjetas, con soporte físico o virtual, que ofrezcan funciones de efectivo, débito, débito diferido, crédito y dinero electrónico, en cualquier moneda, así como a través de pagos asociados a un número de teléfono móvil, a empresarios y profesionales establecidos en España.

b) Las entidades de dinero electrónico, las entidades de pago y demás entidades que faciliten la instalación de terminales de venta y la ejecución de operaciones de cobro por empresarios y profesionales establecidos en España.

c) Las sucursales en territorio español de las entidades señaladas en las letras a) y b) de otros Estados miembros de la Unión Europea o de terceros países, así como las mismas entidades que operen en España en régimen de libre prestación de servicios por los servicios de gestión de cobro y de instalación de terminales de venta a empresarios y profesionales establecidos en España.

La declaración informativa a Hacienda contendrá información detallada sobre los cobros realizados vía Bizum y tarjeta y, en particular:

 a) La identificación completa de los empresarios o profesionales adheridos al sistema de gestión de cobros a través de cualquier tipo de tarjetas o de pagos asociados a un número de teléfono móvil.

b) Número de comercio con el que éstos operan en el sistema.

c) Los terminales de venta, con independencia de que se encuentren o no en territorio español.

d) El importe mensual facturado, distinguiendo entre los cobros con tarjetas y con pagos asociados a un número de teléfono móvil.

e) La identificación de las cuentas bancarias o de pago a través de las que se efectúen los cobros, o cualquier otro destino de dichos cobros.

Se elimina el umbral de 3.000 euros anuales que limitaba la obligación de informar, lo que comporta que cualquier operación, por pequeña que sea, será comunicada.

[1] https://www.boe.es/boe/dias/2025/07/15/pdfs/BOE-A-2025-14600.pdf

 EL SECRETO EMPRESARIAL Y MEDIDAS DE PROTECCIÓN

/en ,

Recientemente, un director de RRHH ha sido condenado penalmente por fotocopiar información confidencial de la empresa, balance de situación con datos correspondientes a clientes, proveedores, facturación, libro mayor, balance de situación, cuenta de pérdidas y ganancias y panel de análisis de la cuenta de explotación, considerada como información empresarial reservada con valor comercial porque afecta potencialmente a la capacidad para competir de la empresa.

El concepto de secreto empresarial se encuentra definido en la Ley 1/2019 de 20 de febrero de 2019 de Secretos empresariales (LSE) y, matizado por la jurisprudencia.

Tu empresa protege sus secretos empresariales. ¿Tienes habilitado un protocolo de protección?  A continuación, algunas recomendaciones:

1.CONCEPTO DE SECRETO EMPRESARIAL

La LSE establece el concepto de secreto empresarial que debe reunir tres requisitos simultáneos:

  • Secreto: información confidencial no divulgada, no fácilmente accesible y no generalmente conocida en el sector.
  • Valor Empresarial: aporta ventaja competitiva real o potencial.
  • Objeto de protección: requiere medidas razonables adecuadas y efectivas para mantenerse en secreto.

La jurisprudencia prevé que los secretos de empresa son los propios de la actividad empresarial con suficiente entidad, qué de ser conocidos contra la voluntad de la empresa, pueden afectar a la capacidad competitiva de la empresa. No reviste la condición de secreto empresarial las experiencias o conocimientos adquiridos por los trabajadores de forma honesta en el desarrollo de sus funciones.

2.IDENTIFICACIÓN Y CATEGORIZACIÓN

Para crear un adecuado proceso de gestión de los secretos empresariales es necesario identificar y categorizar aquella información que reviste el carácter de secreto empresarial de manera interna o externa.

Algunos ejemplos:

  • Información Técnica: fórmulas, procesos, diseños, métodos de fabricación, productos y especificaciones técnicas.
  • Información Comercial: información comercial, estrategias, planes de negocio, información sobre clientes, proveedores.
  • Información Organizativa: estructura interna, know-how, fuentes de financiación, contratos, costes de producción.

Su materialización puede producirse en todo género de soporte, tanto papel como electrónico, y tanto en original como copia, y aún por comunicación verbal

3.FASES Y RIESGOS

Se han de diferenciar las fases del secreto empresarial y los riesgos asociados a cada una de ellas. A modo de ejemplo meramente informativo y, sin carácter exhaustivo:

Fase 1. Identificación y Categorización.

Riesgos: Falta de definición del secreto empresarial; Insuficiente documentación sobre la naturaleza del secreto y su valor estratégico.Error en la clasificación del nivel de confidencialidad. Acceso inadecuado a información confidencial debido a una falta de segmentación

Fase 2. Acceso y Uso.

Riesgos:  Accesos no autorizados; Filtraciones accidentales; Uso inadecuado de la información para beneficio propio; Brechas informáticas.

Fase 3. Conservación.

Riesgos: Almacenamiento inadecuado; Falta de almacenamiento seguro; Pérdida o deterioro; Falta de copias de seguridad; Uso de dispositivos inseguros.

Fase 4. Eliminación.

Riesgos: Eliminación incorrecta; Recuperación de datos borrados.

4.MEDIDAS RAZONABLES

  • Organizativas: Políticas internas, etiquetado de la información, formación y capacitación, NDA, roles definidos y autorizaciones de acceso, avisos periódicos, entrevistas de salida y obligaciones
  • Técnicas: Contraseñas, cifrado en local y en envíos por correo electrónico, control de accesos físico y digital, segmentación de la información, copias de seguridad destrucción y borrado seguros, monitorización de accesos y usos con auditorías.
  • Jurídicas: Contratos, cláusulas de confidencialidad, cláusulas de no competencia procedimientos detección y denuncia, acciones legales.

5.CONTROL DE CUMPLIMIENTO

Periódicamente, y como mínimo con carácter anual se revisarán las medidas propuestas y los protocolos existentes para todas y cada una de las fases del ciclo de vida del secreto empresarial para valorar su efectividad. A título meramente enunciativo:

  • Auditorías periódicas.
  • Seguimiento de accesos y usos.
  • Actualización constante de medidas.

#secretoempresarial#protocolo#medidasrazonables#capacidadcompetitivaempresa.

 

RESPONSABILIDAD DEL BANCO POR TRANSFERENCIA ERRÓNEA DE DINERO

/en ,

*** Esta noticia ha sido actualizada en nuestro blog , ver publicación de 13.10.2025, a través del siguiente enlace:

https://www.crconsultoreslegales.com/nueva-obligacion-de-verificar-el-beneficiario-de-una-cuenta-bancaria-al-realizar-transferencias-sepa/

Lamentablemente es una práctica habitual que cuando se ordenan transferencias entre cuentas bancarias de dos empresas se cometan errores, de forma que el dinero no se transfiera a la cuenta de la entidad deseada sino a otra diferente con las consecuencias que ello comporta, entre otras, la dificultad de la retrocesión del dinero agotados unos plazos y la responsabilidad derivada por las disposiciones efectuadas.

En este contexto, nos preguntamos, si el banco puede responder en su condición de proveedor de servicios de pago, si nos confundimos de número de cuenta al ordenar la transferencia, además, hemos identificado al destinatario y, los datos del IBAN e información adicional son contradictorios.

La respuesta la encontramos en la sentencia del Tribunal Supremo, STS 27-03-2025  que delimita la responsabilidad de los bancos por operaciones de pago y transferencias erróneas.  Esta sentencia, establece que dicha responsabilidad se limita a verificar el identificador único proporcionado por el ordenante, sin necesidad de comprobar la coincidencia entre el beneficiario y el titular de la cuenta.

El origen del caso es que una sociedad  Alvipre Factory, S.L., ordenó la transferencia de dinero desde su cuenta abierta en Bankinter, en concreto 130.000 euros, a la misma sociedad identificada en la orden de pago pero con otro número de cuenta abierta en otro banco (CaixaBank). Sin embargo, se confundióen el número de cuenta designado  lo que ocasionó que el  ingreso de dinero fuera a parar a una cuenta equivocada abierta a nombre de otra entidad diferente a la suya Lleida Elevación, S.L. en otra entidad bancaria (Sabadell) y en la que la ordenante no tenía cuenta abierta y donde  aquella realizó diversas disposiciones del dinero recibido, sin haber podido recuperar la sociedad ordenante el dinero transferido.

La sociedad perjudicada Alvipre Factory, S.L ejercitó una acción de responsabilidad extracontractual frente al Banc Sabadell que fue desestimada en primera instancia y en segunda instancia,  porque : » la entidad de la cuenta destinataria de una transferencia no es responsable si el dinero se ingresa en la cuenta con el código IBAMN o CCC consignado en la misma, aunque esa cuenta no sea de la titularidad del beneficiario especificado en dicha orden y sin que el proveedor de los servicios de pago del ordenante o del beneficiario vengan obligados a comprobar la correspondencia del beneficiario con el titular de la cuenta».

En el caso de autos, el Banco verificó el identificador único proporcionado por el ordenante sin comprobar la coincidencia entre el beneficiario y el titular de la cuenta y la Sentencia establece que no es necesario verificar información adicional para que el banco se exonere de responsabilidad y que basta con verificar el identificador único, para identificar al usuario en una operación de pago.

En particular, destaca el Fundamento de Derecho Segundo que  a modo de conclusión señala : “no cabe sino compartir la interpretación realizada en las sentencias de primera instancia y de apelación, en consonancia con la doctrina del Tribunal de Justicia, a saber, el suministro de información adicional al identificador único por parte del usuario no entraña nuevas obligaciones ni el deber de realizar otras comprobaciones para el proveedor de los servicios de pago”.

No obstante, menciona una excepción en relación con la responsabilidad y la diligencia bancaria:  “Por esta razón, la interpretación expuesta no exime de responsabilidad al proveedor de los servicios de pago cuando se constate la concurrencia de circunstancias, ajenas al suministro de datos adicionales, que pudieren haber influido en la ejecución defectuosa de la operación, sea porque se hubiere estipulado expresamente entre el usuario y el proveedor algún requisito o exigencia añadida (v.gr. la identificación del beneficiario), sea porque el proveedor de servicios de pago del ordenante o del beneficiario hubieren aprovechado el error en beneficio propio, sea porque, comunicada sin demora la existencia del error, uno u otro no hubieran adoptado las medidas que imponía la diligencia de un comerciante experto para permitir la retroacción o, en su caso, minimizar el daño”.

Los puntos clave de la sentencia son:

El identificador único, es suficiente para identificar al usuario en una operación de pago, sin requerir información adicional.  No se le puede exigir a los bancos para valorar su diligencia que esta se extienda a comprobar que el beneficiario coincide con quien aparece como titular del número de cuenta indicada en la transferencia ni aun cuando se le añadan datos adicionales.

-La jurisprudencia europea y española respaldan que el identificador único exime de responsabilidad al banco sino se demuestran circunstancias adicionales de negligencia. En consecuencia, la responsabilidad del banco se limita a la operación de pago según el identificador único sin exigir comprobaciones manuales o adicionales aún cuando el usuario de los servicios de pago facilite información adicional y, sin qque dicha información adicional implique una mayor diligencia exigible ni nuevas obligaciones.

La limitación de responsabilidad del proveedor de servicios de pago se aplica tanto al proveedor de servicios de pago del ordenante como al proveedor de servicios de pago del beneficiario.

– El banco en su condición de proveedor de servicios de pago podría ser responsable si muestra falta de diligencia en otras circunstancias específicas. No obstante, en todo caso debe hacer esfuerzos razonables por recuperar los fondos de la operación de pago.

transferenciaerronea#responsabilidad#pagos#banco#identificadorunico#información adicional#

MODIFICACIONES EN EL IMPUESTO DE TRANSMISIONES PATRIMONIALES EN CATALUÑA

/en ,

MODIFICACIONES EN EL IMPUESTO DE TRANSMISIONES PATRIMONIALES EN CATALUÑA

El Decreto Ley 5/2025, de 25 de marzo[1], por el cual se adoptan medidas urgentes en materia fiscal, de gastos de personal y otras administrativas, que establece importantes novedades en relación con el Impuesto sobre Transmisiones Patrimoniales (ITP) y Actos Jurídicos Documentados (AJD), así como, otros impuestos. A continuación, las principales novedades en materia de ITP:

  1. Principales novedades ITP
  • Se amplía la tarifa progresiva del Impuesto sobre Transmisiones Patrimoniales que grava la transmisión de inmuebles y la cesión de derechos reales de dos a cuatro tramos, con tasas que van del 10% al 13%, según el valor del inmueble.

-600.000 euros  al 10% .

-de 600.000 euros a 900.000 euros al 11%.

-de 900.000 euros a 1.500.000 euros al 12%.

-Más de 1.5000.000 euros al 13%.

  • Los grandes tenedores persona física o jurídica pagan un tipo único del 20%, aplicable bajo ciertos criterios específicos. A estos efectos se considera gran tenedor:

– Propietario persona física o jurídica con más de 10 inmuebles de uso residencial o con una  superficie  construida   de  más de 1.500 m2 de uso residencial en Cataluña.
– Propietario de 5 o más inmuebles de uso residencial ubicados en zona de mercado residencial tensionado declarado por la Generalitat de Cataluña.

  • Cuando se adquiera la totalidad de un edificio, con o sin división horizontal, se establece el tipo incrementado del 20% salvo que se cumplan las siguientes circunstancias de forma cumulativa:

i) que el adquirente sea persona física;

ii) que el edificio tenga un máximo de 4 viviendas

iii) las viviendas del edificio se destinen a vivienda habitual del adquirente y sus familiares,   debiendo  entrar a vivir desde los 12 meses de la adquisición y mantenerlo durante un plazo de 3 años como vivienda habitual.

  • Se establecen excepciones y bonificaciones para adquisiciones destinadas a vivienda habitual o casos sociales.
  1. Tipos reducidos

El tipo reducido al 5% para jóvenes de hasta 35 años y para víctimas de violencia de género, bajo ciertos requisitos.

  1. Bonificaciones eliminadas y nuevas bonificaciones modalidad Transmisiones Patrimoniales Onerosas (TPO)
  • Se elimina la bonificación del 70% aplicable a empresas inmobiliarias (Disposición Derogatoria).
  • Bonificación del 100% para transmisiones de obras de arte, antigüedades para empresarios dedicados a compraventa, y cooperativas de vivienda sin ánimo de lucro.
  • Bonificación del 50% para inmuebles destinados a sedes sociales o centros de trabajo, si están sujetas a IVA.
  1. Impuesto de Actos Jurídicos Documentados (AJD)
  • Se eleva al 3,5% para renuncias a la exención de IVA en transmisiones inmobiliarias.
  • Bonificación del 100% en la escritura pública de adquisición de vivienda habitual para contribuyentes de hasta 35 años con ingresos anuales inferiores a 36.000 euros.
  1. Entrada en vigor

Entrada en vigor el 27 de marzo de 2025, no obstante, las modificaciones relacionadas con el Impuesto sobre Transmisiones Patrimoniales y Actos Jurídicos Documentados tienen un período de adaptación de tres meses.

[1] https://dogc.gencat.cat/ca/document-del-dogc/?documentId=1009990

 

CONCLUSIONES COMISIÓN EUROPEA DIRECTRICES DEFINICIÓN SISTEMA DE INTELIGENCIA ARTIFICIAL- ARTIFICIAL INTELLIGENCE SYSTEM

/en ,

CONCLUSIONES DIRECTRICES DE LA COMISIÓN EUROPEA SOBRE LA DEFINICIÓN DE SISTEMA DE INTELIGENCIA ARTIFICIAL Definition of an artificial intelligence system

La Comisión Europea ha publicado un borrador de directrices sobre la de definición de sistema de inteligencia artificial establecido en el Reglamento de IA (RIA).

El objetivo de estas directrices es ayudar a los proveedores y otras personas relevantes a interpretar cuando un sistema de inteligencia artificial (sistema de IA) constituye un sistema de IA en los términos del artículo 3 (1) del Reglamento de Inteligencia Artificial (RIA) y considerando 12. Las directrices no son vinculantes y la última interpretación la tiene el Tribunal de Justicia de la Unión Europea.

Los puntos clave del documento:

1. La definición de un sistema de sistema de IA se compone de siete elementos: sistema basado en máquinas; con capacidad de operar con varios niveles de autonomía; que puede tener capacidad de adaptación tras el despliegue; para objetivos implícitos y explícitos; que infiere de la información de entrada que recibe la manera de generar resultados de salida como predicciones, contenidos, recomendaciones o decisiones y que puede influir en entornos físicos y virtuales.

2. En relación con la autonomía: es un elemento clave y se asocia a operar con cierto grado de independencia en sus acciones respecto a la actuación humana y que tienen ciertas capacidades para funcionar sin supervisión humana directa. En principio, todos los sistemas diseñados para operar con un grado razonable de independencia en sus acciones cumplen con la condición de autonomía en la definición del RIA.

3. En relación con la adaptación: no es un elemento clave y decisivo para calificar al sistema como un sistema de IA. Se asocia a aprender automáticamente; descubrir nuevos patrones e identificar relaciones en los datos más allá de su entrenamiento inicial.

4. En relación con los objetivos implícitos y explícitos: diferencia entre el objetivo del sistema y el propósito previsto. Los objetivos son internos relacionados con las tareas y resultados. P.e. responder preguntas de los usuarios con precisión. Los propósitos son externos relacionados con el contexto de uso del sistema y, como debe operar. P.e. ayudar a un departamento concreto en tareas específicas. Los objetivos explícitos están definidos y codificados por el desarrollador P.e. sistema para optimizar una función de costes, y los implícitos se pueden deducir del comportamiento del sistema. P.e. sistema que puede identificar patrones de comportamiento de los usuarios sin estar programado específicamente para ello.

5. En relación con la inferencia en la generación de resultados: es un factor clave que distingue los sistemas de IA de otros tipos de sistemas que puede darse en la fase de construcción y en la de uso del sistema. La inferencia se asocia al proceso de obtener resultados como predicciones, contenido, recomendaciones o decisiones que pueden influir en entornos físicos y virtuales y que en función de la técnica usada para desarrollar el sistema se determina como el sistema infiere.

6. La inferencia puede ser mediante enfoques de aprendizaje automático y o mediante enfoques basados en lógica y conocimiento con capacidad en ambos casos de manejar relaciones y patrones complejos en los datos lo que les diferencia de los sistemas no basados en IA. Los primeros, incluyen aprendizaje automático supervisado, no supervisado, auto supervisado, por refuerzo, profundo (pone ejemplos de cada uno de ellos). Los segundos, incluyen bases de conocimiento estructuradas, sistemas expertos, métodos de razonamiento simbólico.

7. En relación con los resultados que pueden influir en entornos físicos y virtuales: se asocian a predicciones, contenido, recomendaciones y decisiones.

Una predicción es una estimación sobre un valor desconocido (la salida) a partir de valores conocidos suministrados al sistema (la entrada). Los sistemas de IA que emplean aprendizaje automático son capaces de generar predicciones que descubren patrones complejos en los datos y hacer predicciones precisas en entornos altamente dinámicos y complejos. Por ejemplo, los sistemas de IA para el consumo de energía están diseñados para estimar el consumo energético analizando datos de medidores inteligentes, pronósticos meteorológicos y patrones de comportamiento de los consumidores.

El contenido se refiere a la generación de nuevo material por parte de un sistema de IA, puede incluir texto, imágenes, videos, música y otras formas de salida. Por ejemplo, sistemas de IA que utilizan modelos de aprendizaje automático (por ejemplo, basados en tecnologías de Transformador Generativo Preentrenado –GPT–) para generar contenido.

Las recomendaciones se refieren a sugerencias de acciones específicas, productos o servicios para los usuarios en función de sus preferencias, comportamientos u otros datos de entrada.

Las decisiones se refieren a conclusiones o elecciones realizadas por un sistema. Implica un proceso completamente automatizado en el que se produce un resultado en el entorno que rodea al sistema sin ninguna intervención humana

8. En relación con los sistemas de IA no incluidos ,se excluyen entre otros, los sistemas de mejora de la optimización matemática, los sistemas de tratamiento de datos básicos, los sistemas basados en la heurística clásica y los sistemas de predicción sencillos basados en máquinas con regla básica de aprendizaje estadístico que pueden estar clasificado como enfoque de aprendizaje automático pero que no encaja en la definición debido a su rendimiento. Por ejemplo, el uso de la temperatura media de la última semana para predecir la temperatura de mañana. Este sistema de referencia solo estima promedios, pero no alcanza el rendimiento de sistemas más complejos de predicción de series temporales que requerirían modelos más sofisticados.

9. En este contexto, se ha publicado una respuesta escrita del Parlamento sobre algunas preguntas relacionadas con lo sistemas de inteligencia artificial y exclusiones donde se señala que las características clave de los sistemas de IA es su capacidad de inferencia y que la capacidad de un sistema de IA para inferir trasciende el tratamiento básico de datos permitiendo el aprendizaje, el razonamiento o la modelización, y que no se basa sólo en reglas definidas por humanos para ejecutar automáticamente operaciones.

https://digital-strategy.ec.europa.eu/es/library/commission-publishes-guidelines-ai-system-definition-facilitate-first-ai-acts-rules-application

 

 LA ALFABETIZACION EN MATERIA DE INTELIGENCIA ARTIFICIAL

/en ,

 LA ALFABETIZACIÓN EN INTELIGENCIA ARTIFICIAL

 Según el Reglamento de Inteligencia Artificial el artículo 4 impone una obligación de alfabetización en materia de IA a los proveedores y responsables del despliegue. Los proveedores y responsables del despliegue deben garantizar que su personal y demás personas que intervienen en su nombre en el funcionamiento y la utilización de sistemas de IA tengan un nivel suficiente de alfabetización en la materia, atendiendo a determinadas circunstancias, como conocimientos técnicos, experiencia, educación y formación, contexto de uso IA y las personas o los colectivos de personas impactados (empleados, clientes, comunidades)

La alfabetización en IA es crucial para el uso responsable de los sistemas de IA en nuestra sociedad y para determinar el nivel de alfabetización se consideran factores clave, evaluar los riesgos, el contexto de uso y los recursos disponibles.

A continuación, algunos aspectos clave del documento de alfabetización publicado por la autoridad de protección de datos danesa 

La alfabetización en IA es de importancia capital por varios motivos:

  1. Esencial para Todos 🌍
  • Ciudadanos: Necesitan conocimientos básicos sobre IA, especialmente cuando los sistemas de IA intervienen en la toma de decisiones que pueden afectarles directamente.
  • Responsables de Políticas: Deben tener un alto nivel de comprensión para tomar decisiones adecuadas.
  1. Responsabilidad Organizacional 🏢
  • A partir del 2 de febrero de 2025, las organizaciones deben asegurar que su personal esté alfabetizado en IA, comprendiendo su funcionamiento, riesgos y oportunidades y dicha alfabetización debe estar garantizada por los proveedores y responsables del uso de sistemas de IA.
  • La alfabetización en IA se refiere al funcionamiento técnico de los sistemas de IA, a los aspectos sociales, éticos y prácticos. Y el personal debe sabe como interpretar los resultados generados por un sistema de IA y como las decisiones tomadas con IA afectan a las personas involucradas.
  • El contenido y nivel de alfabetización en cuanto a conocimiento, habilidades y comprensión dependen del rol específico del empleado en la organización y del contexto en el que se usa el sistema de IA, así como, de los recursos económicos.
  1. Enfoque Estructurado y personalizado 🛠️
  • Para alcanzar un nivel maduro de alfabetización se requiere un enfoque estructurado y personalizado que considere el contexto de uso de los sistemas de IA y los roles de cada individuo en la organización.
  1. Plan de Acción 📅La implementación de un plan de alfabetización en IA requiere:

Tener un plan a nivel de gestión.

⚠️Asignar un presupuesto.

⚠️Definir responsabilidades y organizativas y de control

⚠️ Evaluar, controlar y documentar.

 Los principales pasos para su implementación:

  • Paso 1: Identificar🔍: Hacer un inventario de sistemas de IA y evaluación de riesgos. Documentar qué personas y roles están involucrados en la organización. Realizar una evaluación inicial del conocimiento y habilidades del personal mediante encuestas.
  • Paso 2: Establecer Objetivos🎯: Definir metas y prioridades según el nivel de riesgo.  Determinar qué conocimientos y herramientas necesita cada empleado según su función. Los empleados que trabajan con los sistemas de IA deben tener suficiente conocimiento sobre los riesgos y resultados y como funciona el sistema.
  • Paso 3: Implementar🚀:  Crear conciencia a través de capacitaciones sobre aspectos éticos, técnicos y legales de la IA. Diseñar estrategias y acciones concretas para mejorar la alfabetización en IA. Designar un «responsable de IA» dentro de la organización para garantizar que el plan de alfabetización en IA no se quede sin seguimiento.
  • Paso 4: Evaluar📊: Medir el progreso y ajustar los planes según sea necesario mediante informes periódicos, auditorías internas o externas o mediciones iniciales. Alfabetizar de manera continua porque la tecnología evoluciona rápidamente.

      5. Evaluación Continua 🔄

  • La alfabetización en IA es un proceso constante, necesario para adaptarse a los rápidos avances tecnológicos.

Además, en el contexto de la alfabetización en IA es recomendable tener en cuenta el repositorio vivo de alfabetización en IA creado por la Comisión Europea donde la oficina de IA de la UE ha recopilado algunas prácticas en curso sobre alfabetización en IA entre los firmantes del Pacto de IA que han sido plenamente, parcialmente implementadas o se encuentran planificadas.

Las prácticas en curso recopiladas no tienen carácter exhaustivo, como tampoco comportan una presunción de cumplimiento automático del artículo 4 del RIA.

🔗Documento alfabetización agencia protección de datos danesa https://www.autoriteitpersoonsgegevens.nl/documenten/aan-de-slag-met-ai-geletterdheid

🔗Repositorio Comisión Europea alfabetización en materia de IA https://digital-strategy.ec.europa.eu/es/library/living-repository-foster-learning-and-exchange-ai-literacy

IA https//www.craiyon.com

RECOMENDACIONES ÚTILES PARA GARANTIZAR LA REUTILIZACIÓN LÍCITA DE BASES DE DATOS OBTENIDAS DE INTERNET O DE UN DATA BROKER

/en ,

La autoridad de protección de datos francesa (CNIL) ha publicado unas recomendaciones dirigidas a aquellos que pretendan reutilizar bases de datos de Internet o obtenidas de un Data Broker.

1️⃣Verificar la licitud de la constitución y el uso de dichas bases de datos, asegurándose de que no provengan de fuentes ilícitas como en los casos de datos robados, fugas de datos, violaciones de derechos de propiedad intelectual.

Ejemplos

  • Una base de datos cuya descripción explica que ha sido constituida a partir de publicaciones en una red social profesional cuyo nombre se especifica, se trata de una base de datos lícita.
  • Por el contrario, en caso de compra de una base de datos en la dark web que provenga, por ejemplo, de una fuga o de un robo de datos, no se puede ignorar su origen delictivo y, por lo tanto, la base de datos es manifiestamente ilícita

2️⃣Verificar la fuente de las bases de datos, su contexto de forma que el origen esté suficientemente documentados y no hay duda de la licitud de la base de datos, y en particular, la base legal.

Ejemplos:

  • En una plataforma de intercambio de bases de datos, usted encuentra un conjunto que compila los trayectos hogar-trabajo de miles de personas. Su descripción explica que se trata de datos de geolocalización precisos, no anónimos. En esta hipótesis, la difusión de una base de datos así en ausencia de consentimiento de las personas puede ser ilícita.
  • Por el contrario, sería posible constituir un conjunto de datos a partir de una base de datos cuya descripción no deje dudas flagrantes sobre su legalidad. Por ejemplo, una base de datos pseudonimizada, inicialmente publicada por las personas afectadas en un sitio web identificado y que no contenga datos sensibles

3️⃣Verificar que la base de datos no contiene datos sensibles o datos relativos a infracciones, y en caso afirmativo, realizar verificaciones adicionales para garantizar su legalidad (consentimiento, datos manifiestamente públicos).

4️⃣Las verificaciones precedentes no exoneran a que los responsables deben asegurar la conformidad de sus propios tratamientos de datos con el RGPD, incluyendo análisis de impacto y documentación adecuada.

5️⃣ Firmar acuerdos con los proveedores de datos para garantizar la licitud de su reutilización, especificando detalles como la fuente, la base legal y las finalidades y análisis de impacto en su caso.

Imagen IA créditos: https:www.craiyon.com

🔗 https://www.cnil.fr/fr/reutilisation-de-bases-de-donnees-les-verifications-necessaires-pour-respecter-la-loi

 

LA DILIGENCIA DEBIDA DEL RESPONSABLE DEL TRATAMIENTO EN LA CADENA DE TRATAMIENTO (ENCARGADOS/SUBENCARGADOS)

/en ,

Recientemente, se ha publicado un dictamen del CEPD 22/2024*sobre las obligaciones de diligencia del responsable del tratamiento en la elección, documentación y control sobre los encargados y subencargados del tratamiento, reforzando la responsabilidad última en el responsable del tratamiento de la decisión de la contratación y la verificación de garantías suficientes en cuanto a medidas apropiadas ofrecidas por aquellos para cumplir con el RGPD y garantizar los derechos de los interesados.

El responsable del tratamiento debe ser diligente en la elección de los proveedores que tratan datos personales por su cuenta eligiendo únicamente a un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento cumpla con el RGPD y garantice la protección de los derechos del interesado.

La obligación de diligencia en cuanto a la elección del proveedor y la adopción de garantías suficientes se debe cumplir en todo caso y con independencia del riesgo asociado al tratamiento, aunque el grado de verificación y supervisión puede variar según la naturaleza y el nivel de riesgo de las actividades de tratamiento.

El responsable del tratamiento debe tener la información sobre la identidad de todos los encargados del tratamiento para cumplir con el RGPD y sus obligaciones de responsabilidad proactiva.

El encargado del tratamiento debe facilitar de forma proactiva al responsable del tratamiento toda la información sobre la identidad de todos los subencargados, que realicen el tratamiento por cuenta del responsable del tratamiento, y debe mantener actualizada en todo momento dicha información sobre todos los subencargados del tratamiento contratados. Cuando el responsable del tratamiento decida aceptar a determinados subencargados del tratamiento en el momento de la firma del contrato, deberá incluirse en el contrato o en un anexo al mismo una lista de subencargados del tratamiento aprobados que deberá estar permanentemente actualizada

A efectos de verificar las garantías ofrecidas, el responsable puede optar por elaborar un cuestionario como medio para recabar información de su encargado del tratamiento, solicitar la documentación pertinente, confiar en la información disponible públicamente y/o certificaciones o informes de auditoría de terceros confiables y/o realizar auditorías in situ.  Está claro que la adhesión de un encargado del tratamiento a un código de conducta o a un mecanismo de certificación de acuerdo con el RGPD puede utilizarse como elemento para demostrar garantías suficientes.

El responsable del tratamiento no tiene la obligación de solicitar sistemáticamente los contratos de subencargado del tratamiento para comprobar si las obligaciones de protección de datos previstas en el contrato inicial se han transmitido a lo largo de la cadena de tratamiento. No obstante, debe  evaluar, caso por caso, si es necesario solicitar una copia de dichos contratos o revisarlos en cualquier momento para poder demostrar el cumplimiento del principio de responsabilidad proactiva e incluso tiene la facultad de  realizar verificaciones por muestreo de los contratos con los subencargados del tratamiento a efectos de verificar que cumplen.

El responsable del tratamiento debe informar a los interesados sobre los destinatarios de los datos, incluyendo a los encargados y subencargados) de manera transparente.

En relación con las posibles transferencias de datos a terceros países fuera de la Unión Europea es responsabilidad del responsable del tratamiento evaluar la posible transferencia, verificando  por una lado,  la existencia de un mapeo de la transferencia realizada por el proveedor que trata datos por su cuenta y, por otro lado, el fundamento usado para la transferencia antes de que se realicen las transferencias, decisión de adecuación, garantías adecuadas, revisión de la  evaluación de impacto de la transferencia y la adopción de medidas complementarias.

En particular, cuando la transferencia se base en una decisión de adecuación, el responsable del tratamiento debe verificar si la decisión está en vigor, y si las transferencias realizadas por cuenta del responsable del tratamiento entran en el ámbito de aplicación de dicha decisión (por ejemplo, categorías de datos personales o sectores incluidos en el ámbito de aplicación).

En definitiva, tras la lectura de este dictamen se constata la necesidad de realizar dos acciones prioritarias. La primera, realizar una auditoría a los encargados y subencargados de tratamiento y la segunda, contar un protocolo que a modo de evidencia documental sirva para demostrar por parte del responsable un control sobre los encargados y subencargados del tratamiento antes, durante y después de su contratación. Como mínimo este protocolo debe reunir el siguiente contenido: conocimiento y control de la cadena de encargados y subencargados del tratamiento, registrarlos y actualizarlos; verificar y documentar las garantías suficientes aportadas; controlar y aprobar los subencargados del tratamiento; gestionar de forma adecuada las posibles transferencias internacionales de datos; facilitar el ejercicio de derechos de los interesados; controles y revisiones periódicas.

*https://www.edpb.europa.eu/system/files/2024-10/edpb_opinion_202422_relianceonprocessors-sub-processors_en.pdf