El rápido avance de la IA en los últimos tiempos ha suscitado en la sociedad un amplio debate sobre los peligros que puede traer un uso ilimitado de la misma, y la necesidad de una regulación de esta.

Esto ha provocado que los legisladores de todo el mundo hayan empezado a evaluar la necesidad de establecer marcos legales para su desarrollo y uso.

Lo anterior ha llevado a la UE a aprobar la primera normativa sobre Inteligencia artificial del mundo, la Ley de Inteligencia Artificial (AIA, por Artificial Intelligence Act), que entró en vigor en la Unión Europea el pasado miércoles 13 de marzo de 2024.

Su ámbito de aplicación se extiende a: proveedores de sistemas de IA que se pongan en servicio o comercialicen dentro de la UE o cuya salida se utilice en la UE, independientemente de su origen; y a usuarios de los mismos, considerando usuarios a quienes explotan esos sistemas, y no a los afectados.

Su objetivo es proteger los derechos fundamentales de los ciudadanos, así como otros valores como la democracia, el Estado de derecho y la sostenibilidad medioambiental  frente al crecimiento acelerado y carente de regulación que la IA ha experimentado en los últimos tiempos, y que ha llegado a causar alarma social por los peligros que un crecimiento así podía llegar a suponer.

Así, la ley de inteligencia artificial establece diferentes niveles de riesgo con distintas medidas de control para cada nivel.

• Se habla de un riesgo inaceptable cuando se trata de sistemas que constituyen amenazas para las personas.

Estos sistemas quedan prohibidos por el reglamento. Dicho sistema incluyen la manipulación cognitiva del comportamiento de personas o grupos vulnerables específicos, los sistemas de identificación biométrica en tiempo real y a distancia como los sistemas de reconocimiento facial o de identificación de sentimientos, quedando como única excepción el uso del reconocimiento facial que pudieran realizar las Fuerzas y Cuerpos de Seguridad con posterioridad  a la comisión de un delito.

• En segundo lugar, están los sistemas de alto riesgo que son aquellos que afecten negativamente a la seguridad y a los derechos fundamentales.

Dentro de los sistemas de alto riesgo existen dos categorías:

a) los sistemas que se utilizan en productos sujetos a la legislación de la unión europea sobre seguridad de productos.

b) los sistemas de inteligencia artificial pertenecientes a 8 ámbitos específicos que deberán registrarse en una base de datos de la Unión Europea y que incluyen la identificación biométrica y categorización de personas físicas la gestión explotación de infraestructuras críticas la educación y formación profesional y de empleo y gestión del acceso y disfrute de servicios privados esenciales la aplicación de la ley de la gestión de inmigración asilo y control de fronteras y resistencia en la interpretación jurídica y aplicación de la ley todos estos sistemas de inteligencia artificial de alto riesgo serán evaluados antes de comercializarse y a lo largo de su ciclo de vida.

• Por otro lado, la inteligencia artificial generativa como chat GPT no se considera un riesgo pero se la obliga a cumplir requisitos y transparencia y con la legislación de la Unión Europea en materia de derechos de autor.

En esta línea, se obligará a revelar que el contenido ha sido generado por inteligencia artificial; a diseñar un modelo para evitar que genere contenidos ilegales y a publicar resúmenes de los datos protegidos por derechos de autor utilizados para el entrenamiento.

En suma, el reglamento sobre inteligencia artificial de la UE supone una regulación pionera a nivel mundial a la hora de establecer unos límites a la inteligencia artificial, si bien se necesitará la colaboración de todos los agentes sociales para que la norma resulte efectiva y llegue a proteger efectivamente a los ciudadanos y no quede como un simple brindis al sol.

“[El escaneo del iris] conlleva la comunicación de un dato personal considerado como una categoría especialmente sensible. Es un dato biométrico que permite la identificación inequívoca de la persona a través de una característica física que no se puede variar a lo largo de la vida.”

De este modo la Autoridad Catalana de Protección de Datos (APDCAT) informaba, a través de un comunicado el pasado 20 de febrero raíz de las informaciones recogidas por varios medios, sobre una supuesta campaña de recogida de este dato personal por parte de una empresa privada supuestamente vinculada con OpenAI, creadora de ChatGPT.

Posteriormente, el pasado 6 de marzo la AEPD decretó medidas cautelares para que la empresa en cuestión no pudiera seguir tratando los datos personales recogidos por un periodo máximo de tres meses, que incluye el cese del tratamiento y el bloqueo de aquellas que hubiera recogido con anterioridad.

Estas informaciones se suman al reciente cambio de criterio de la Agencia Española de Protección de Datos (AEPD) respeto el uso de datos biométricos (especialmente la huella dactilar) por los controles de presencia y de acceso, raíz de la publicación a finales del año pasado de la Guía sobre tratamientos de control de presencia mediante sistemas biométricos.

En este sentido, la AEPD considera que cualquier tratamiento de datos biométricos destinado tanto a la identificación (el procedimiento para reconocer a un individuo particular dentro de un grupo) como la autenticación (el procedimiento para verificar que la identidad reclamada por un individuo es cierta comparando sus datos con los datos asociados a su identidad) de una persona, supone un tratamiento de alto riesgo, y por tanto, le son de aplicación las máximas garantías previstas por la normativa de aplicación.

Para poner un poco de contexto normativo, el artículo 4.14) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD) define datos biométricos como aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativas a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de esta persona, como imágenes faciales o datos dactiloscópicos.

Cuando el tratamiento de estos datos biométricos tenga como finalidad identificar de manera unívoca a una persona física, estas tendrán la consideración de “categorías especiales de datos personales” y por tanto, sujetas al cumplimiento de las máximas garantías establecidas por los legisladores.

Estas medidas se traducen en el siguiente: en primer lugar y por defecto, en una prohibición general del tratamiento de estos datos; complementada eso sí por una serie de excepciones que permiten levantar la mencionada prohibición. En estas excepciones la normativa contempla el consentimiento del titular, el cumplimiento de obligaciones y el ejercicio de derechos en el ámbito del derecho laboral, seguridad y protección social, la protección los intereses vitales del interesado o de un tercero, o por la razones de interés público, entre otros.

Pues bien, como hemos visto, a nivel estatal la AEPD especifica que en el marco de una relación laboral el consentimiento del titular por el tratamiento de datos biométricos con fines de control de presencia o acceso no cumple con los requisitos legales establecidos debido al desequilibrio de poder entre las dos partes. Tampoco existe por ahora una norma con rango de ley que habilite el tratamiento de estos datos por estas finalidades.

Es importante destacar que la AEPD establece que la misma consideración tiene que tener el tratamiento que se pueda hacer de estos datos a partir de una plantilla biométrica, es decir, aunque no se pueda reconstruir el dato original (una huella dactilar, el iris, la cara, etc.), el simple hecho de disponer de un identificador único que singulariza el individuo unívocamente ya es suficiente para considerarse una categoría especial de datos.

Si volvemos al presunto tratamiento del iris de una persona, hay que recordar que, en el marco de un estudio científico o tecnológico, a día de hoy el consentimiento sigue siendo válido para acreditar la licitud del tratamiento, siempre y cuando se cumplan todos los requisitos formales para que se considere que se han dado las condiciones necesarias por su formación, entre otros, cumplir con los deberes de información y transparencia regulados al RPGD. Complementariamente, la normativa obliga al responsable del tratamiento a llevar a cabo una evaluación de impacto en protección de datos atendido el alto impacto que este puede tener en los derechos y libertades de las personas, especialmente si se vincula su aplicación a tecnologías de reconocimiento facial.

Y es en este último punto donde consideramos que es esencial una mayor concienciación de la sociedad en general, desde todos los ámbitos, públicos y privados, y en especial al sector educativo, sobre el impacto que el uso, el tratamiento y la cesión a terceros de los datos biométricos de una persona puede llegar a tener en su día a día.

Hablamos del riesgo a la suplantación de la identidad en métodos de identificación y autenticación para acceder a los dispositivos portátiles (smartphones, tabletes, etc.), para abrir la puerta de un vehículo, acceder a instalaciones restringidas, abanica de datos a terceros, etc.

Volviendo a la noticia sobre la presunta cesión de datos biométricos a una empresa privada mediante el escaneo del iris de las personas voluntarias que se prestaron, únicamente una reflexión final: ¿dejaríamos hacer una copia de nuestras claves de casa y de los códigos de nuestras tarjetas de crédito a un tercero, aunque supuestamente nos garantice que únicamente se usarán por un estudio poblacional? Y, antes de contestar la pregunta, recordar que cuando hablamos en términos de un dato biométrico, la cerradura de la puerta de casa y el código PIN de las tarjetas siempre será el mismo, nunca se podrá modificar ni sustituir por otro de nuevo, y por tanto, en caso pérdida o robo, no se podrá nunca poner una cerradura nueva ni cambiar el número PIN, por ahora..

Por último, mencionar que dependerá de la evolución del texto final que se acabe aprobando de la actual Propuesta de Reglamento del Parlamento Europeo y del Consejo, por el cual se establecen normas armonizadas en materia de inteligencia artificial para conocer realmente el ámbito de protección de nuestros datos biométricos durante los próximas décadas.

​Desde la implementación de la Orden del Ministerio de Trabajo y Seguridad Social, de 27 de enero de 1982, hasta el día de hoy, el Global Mobility ha ido creciendo considerablemente. El constante crecimiento del desplazamiento de trabajadores al extranjero, la movilidad internacional como prácticas habituales en las empresas y los diversos acontecimientos que han ocurrido a lo largo de estos últimos años, han convertido muchos de los preceptos incluidos en la citada norma, en obsoletos.

Es por ello, que después de más de cuarenta años, se ha llevado a cabo una nueva regulación en este ámbito que entró en vigor el 1 de noviembre 2023. Se trata de la “Orden ISM/835/2023, de 20 de julio, por la que se regula la situación asimilada a la de alta en el sistema de la Seguridad Social de las personas trabajadoras desplazadas al extranjero al servicio de empresas que ejercen sus actividades en territorio español”.

La norma abarca la regulación de los desplazados cuando estos se ven obligados, de acuerdo con la normativa del país de destino, a romper su afiliación con la Seguridad Social española, para continuar cotizando en España. Los nuevos supuestos de situación asimilada a la de alta, que se aplican a los trabajadores desplazados son:

• A países sin convenio bilateral
• A países con convenio bilateral, pero sin cobertura subjetiva (como pueden ser Chile, Filipinas, México, Marruecos, Ucrania, Rusia…)
• A países con convenios bilaterales que no contemplan la figura del desplazamiento
• Que han agotado el Convenio bilateral por el tiempo máximo de desplazamiento, habiendo ya prorrogado el mismo

Para cada una de estas situaciones cabrá la posibilidad de seguir cotizando en España, a pesar de la regla general lex loci laboris, siempre y cuando se respeten los plazos y las formalidades pensadas para cada uno de los supuestos y según el límite de la acción protectora marcado por Ley.

Su propósito es cubrir las situaciones que no quedaron cubiertas con la anterior normativa, dispensando la acción protectora de una forma más flexible y sin duda favorable tanto para las empresas como para los trabajadores, sobre todo para aquellos colectivos que hasta ahora se encontraban desincentivados al desplazamiento, como los trabajadores más cercanos a la jubilación.

De hecho, si hasta ahora la aceptación, por parte de los trabajadores, de las ofertas empresariales que preveían un desplazamiento al extranjero, podía verse rechazada a causa de las deficiencias en el sistema de cobertura de la Seguridad Social española; ahora estos casos se verían resueltos, ya que muy a menudo estas ofertas incluyen condiciones laborales y económicas más favorables, y ya no habrá más inseguridad en cuanto a la acción protectora social.

Ahora más que nunca, es importante coordinar las actuaciones de las empresas y de los trabajadores en el ámbito del desplazamiento, para que se hagan de una forma ordenada y conjunta, y para asegurar una acción protectora efectiva.

En Audiconsultores ETL GLOBAL, disponemos de un departamento de Global Mobility que te podrá asesorar sobre el cumplimiento de tales formalidades.

Nuestro derecho penal ha evolucionado de un sistema en el que la sociedad no podía ser sujeto activo de delitos a un sistema en el que se reconoce que la persona jurídica puede cometer determinados delitos, tasados dentro del propio Código Penal.

Lo anterior abrió  la puerta a que las sociedades pudieran ser sancionadas con penas que van desde multas a la disolución de la persona jurídica en todos aquellos casos en los que se cometa un delito dentro de la compañía, y esta obtenga con éste un beneficio, directo o indirecto.

No obstante, el propio C.P. recoge en el artículo 31bis.2 una vía para que las empresas puedan protegerse de esta responsabilidad, adoptando un sistema que puede actuar como paraguas para la persona jurídica ante posibles incumplimientos por parte de los trabajadores o colaboradores de la empresa.

Este sistema es el denominado “programa de compliance” o “programa de prevención de riesgos penales”, y supone adoptar un sistema de gestión previo a la comisión del delito, idóneo y eficaz para reducir riesgos, y establecer un órgano de supervisión del modelo de prevención, con poderes autónomos. Además, este sistema debe venir acompañado de una voluntad de cumplimiento activa, lo que se denomina “cultura de cumplimiento” dentro de la empresa, que debe fomentarse por parte de la dirección.

Un elemento fundamental del programa es el antes denominado “canal de denuncias”, que es un instrumento o canal puesto por la empresa a disposición de los trabajadores para que puedan poner de manifiesto conductas potencialmente constitutivas de delitos.

Este canal se configura como el elemento esencial del sistema de compliance, puesto que para poder detectar y corregir los potenciales riesgos en la empresa es esencial la comunicación de quienes trabajan dentro de esta, y que tienen conocimiento de primera mano de los eventuales incidentes.

Pero la problemática que existía inicialmente era que los trabajadores se resistían a usar dicho canal, o a denunciar conductas potencialmente delictivas ante el miedo a represalias.

Para fomentar el uso del canal, se ha publicado recientemente la Ley 2/2023, de 20 de febrero, conocida como la Ley “Whistleblowing”, que regula el Sistema Interno de Información de las empresas (SII), antes conocido como ‘Canal de denuncias’, con el fin de proteger al informante.

Esta Ley contempla la protección del informante que haga uso del SII para denunciar conductas contrarias a la Ley, en especial las que puedan constituir infracción penal o administrativa, regulando además cómo debe gestionarse el Canal Interno y estableciendo la posibilidad de acudir a canales externos de denuncia, así como estableciendo la figura de la Autoridad Independiente de Protección del informante. También impone a la Administración Pública la obligación de establecer este tipo de canales.

Todo esto tiene como objetivo facilitar la transparencia en las empresas, fomentando que se tenga un sistema ágil y efectivo para conocer aquellas conductas que puedan suponer un riesgo para la empresa.

Al ser una ley de cumplimiento obligatorio para las empresas de más de 50 trabajadores, y al haberse establecido unos plazos perentorios para la adaptación de la ley, la mayoría de las empresas de volumen medio están implementando este tipo de canales, o en el caso de las empresas con un programa de cumplimiento previo, lo están adaptando.

El problema viene en aquellos casos en que las empresas implementan el SII, porque es obligatorio, pero sin tener el correspondiente programa de compliance, ya que esto equivale a abrir la puerta de entrada a que se visibilicen los eventuales incumplimientos que puedan producirse en la empresa, pero sin tener un paraguas como el programa de prevención de riesgos que pueda proteger a la empresa en caso de que se detecte la comisión de un ilícito penal.
Además, en tanto que la Ley 2/2023 amplía la posibilidad de usar este canal a toda aquella persona que tenga relación con la empresa, y también habilita canales externos al de la propia empresa, se amplifican las posibilidades de detectar riesgos, con lo que se hace más necesario aún protegerse ante estos riesgos.

Por todo esto, a la hora de implementar la Ley del SII en la empresa, es importante analizar previamente si se han adoptado las medidas necesarias para protegerla penalmente de las consecuencias de este sistema.

El rápido crecimiento de las cifras de delitos informáticos en los últimos tiempos es un reflejo de la incorporación de las nuevas tecnologías en la sociedad, y hace necesaria una respuesta adecuada por parte del Código Penal.

Sucesos como el ataque informático al Hospital Clínic de Barcelona a través de ‘ransomware’, que ha tenido como resultado el secuestro de los datos de miles de pacientes del centro, han puesto el foco en la transformación que están experimentando los medios de comisión de los delitos, ya que los delincuentes están utilizando cada vez más las nuevas tecnologías y las oportunidades que les brindan las Redes Sociales para delinquir.

La función del derecho penal es la protección de los bienes jurídicos fundamentales del ciudadano y de la sociedad, y para garantizar su efectividad debe adaptarse a las nuevas necesidades surgidas de la evolución de la sociedad. Dicho en otras palabras, el derecho penal debe analizar la evolución de la sociedad civil y responder a las nuevas necesidades de protección, por lo que ante las nuevas amenazas  que puedan surgir se hace necesario que este actúe, si bien esta  actuación debe ser  siempre conforme a sus principios estructurales, y en especial al principio de última ratio, por el cual el derecho penal únicamente debe utilizarse para responder a los ataques más graves contra los bienes jurídicos protegidos, y siempre que no pueda recurrirse a otros medios de protección menos invasivos.

Cuando hablamos de’ cibercrímenes’, ‘ciberdelitos’ o ’delitos informáticos’ no nos referimos a una serie de delitos homogéneos entre sí, ni en cuanto al bien jurídico protegido, ni en cuanto a su forma de comisión, ni en cuanto a su sujeto activo o pasivo. Se trata más bien de una pluralidad de delitos cuya nota común es su vinculación con las nuevas tecnologías, tanto si el medio utilizado para su comisión es cibernético como si el ataque se dirige contra un ordenador, o cualquier nueva tecnología.

A nivel internacional, se han aprobado diversas normas, surgidas de la necesidad de regular este fenómeno a escala global, debido precisamente a que este tipo de delitos, por definición, tienen un marcado componente internacional. Entre estas normas, destaca por su relevancia el Convenio sobre la Ciberdelincuencia, hecho en Budapest el 23 de noviembre de 2001.

Por otra parte, a nivel interno los distintos países han optado por combatir este tipo de delitos utilizando distintas estrategias: bien a través de la aprobación de leyes penales especiales o bien tipificando los nuevos delitos dentro el código penal de cada país.

Este último sería el caso de España, que, aunque no recoge los delitos informáticos en un título específico, regula tipos penales para conductas ya tipificadas, cuando concurre algún elemento informático.

Aunque hay varias clasificaciones posibles de los delitos informáticos, la clasificación más extendida es la ya recogida en el citado Convenio de Budapest:

• Delitos contra la confidencialidad, integridad y disponibilidad de datos o sistemas informáticos
• Delitos asociados a la informática
• Delitos de contenido
• Delitos relativos a las infracciones contra la Propiedad intelectual y derechos conexos

A pesar de la regulación anterior, las cifras de crecimiento de los delitos informáticos crecen cada año y por ello, pone de manifiesto por un lado la insuficiencia de los medios utilizados hasta la fecha, tanto a nivel nacional como internacional, y por otro una necesidad de enfocar de forma distinta esta nueva realidad, incrementando la cooperación internacional para combatir este tipo de crímenes, de componente global, fomentando la formación en nuevas tecnologías de jueces, abogados, y en general de todos los operadores jurídicos, a fin de mejorar la capacidad de comprensión y reacción de dichos operadores ante el previsible crecimiento de este tipo de delitos, de forma paralela a la progresiva evolución de las nuevas tecnologías y a su incorporación cada vez mayor en la sociedad.

Todo esto presentará nuevos y crecientes retos para el derecho penal, ya que  este se verá obligado a evolucionar a un ritmo creciente, paralelo al de la sociedad, para evitar quedar desfasado y poder proteger debidamente a  ciudadanos y empresas.

Con este artículo se pretende aclarar el marco regulatorio del Nómada Digital, planteando las cuestiones críticas del primer trimestre de aplicación de la Ley 28/2022 sobre los teletrabajadores de carácter internacional.

Desde enero 2023, el Visado de Nómadas digitales se convirtió en una realidad, siendo un canal legal de entrada para todos aquellos ciudadanos extracomunitarios regulares, altamente cualificados, que, desde España, pretenden seguir realizando su actividad laboral o profesional (empezada anteriormente en su país de origen) con empresas extranjeras y con la modalidad “a distancia”.

Desde luego, cabe poner de manifiesto el potencial normativo: esta ley ha significado no solamente la introducción de la nueva autorización (de duración trienal), sino también la consiguiente extensión del régimen especial de tributación para los trabajadores desplazados (la conocida Ley Beckham) a los trabajadores o profesionales que vienen a teletrabajar desde España. Abarca, de esta manera, a todas las prerrogativas, cuestionándose sobre varios temas y dando a la luz un nuevo marco regulatorio de los recién-nacidos “trabajadores a distancia post-covid”.

De esta forma, se pretende resolver muchas de las irregularidades cometidas a nivel laboral y de seguridad social, durante el bienio anterior, con respecto a esta categoría (hasta este momento no reglamentada) como, por ejemplo: los nómadas digitales con visado no lucrativo, o los trabajadores transnacionales “prestados” a entidades residentes en España.

Asimismo, se dispone de un beneficio de carácter fiscal para el trabajador y su familia, con el fin de convertir más atractiva la movilidad, ya que, tributando a un tipo fijo de gravamen del 24% para los primeros 600.000€ (en lugar del 50% que grava el régimen ordinario de tributación) el nómada digital estaría más dispuesto a declararse como tal y regularizar sus ingresos.

Ahora bien, desde el punto de vista práctico ¿ha sido efectivamente posible obtener el visado con sus beneficios? ¿y con que dificultades?

Durante estos meses, si por un lado la administración, actuando a través de la Unidades de Grandes Empresas, ha puesto en marcha la nueva autorización para aquellas personas que se encuentran en España de una forma regular, cumpliendo con las premisas, los requisitos básicos y las especialidades contenidas en cada supuesto de la ley; por el otro, los  Consulados, aún no han llevado al cabo los visados, quedando a la espera de las instrucciones que deberían de llegar al final de marzo 2023. Por lo cual, la forma más rápida (y de momento la única) para obtener la autorización de teletrabajo internacional es hacerlo directamente desde España, a través de los servicios de la UGE, enviando la solicitud una vez que el desplazamiento ha sido realizado de una forma regular (con o sin visado).

Con respecto a los beneficios fiscales de este nuevo colectivo, lamentamos la suspensión del procedimiento de solicitud del régimen fiscal especial de tributación, ya que la Agencia Tributaria ha declarado estar “pendiente del desarrollo reglamentario para la aprobación del oportuno nuevo modelo de comunicación adaptado a las nuevas situaciones y condiciones” de los nómadas digitales (y sus familiares).

Es decir, los nómadas digitales podrán solicitar la Ley Beckham en un segundo momento, y tan pronto se aprueban los nuevos modelos administrativos, a pesar de haber recibido la autorización de residencia en un momento anterior de la aprobación del reglamento de desarrollo.

Ante este escenario, ahora más que nunca, se hace necesario el asesoramiento y el apoyo legal y fiscal sobre el asunto, no solamente para superar las dificultades técnicas y administrativas que conlleva este proceso, sino también para trazar una línea estratégica de movilidad internacional realística sobre las cuestiones criticas antes analizadas.