El dictamen analiza la compatibilidad del tratamiento con el principio de limitación del almacenamiento [artículo 5, apartado 1, letra e) del RGPD], el principio de integridad y confidencialidad [artículo 5, apartado 1, letra f)], la protección de datos desde el diseño y por defecto (artículo 25 del RGPD) y la seguridad del tratamiento (artículo 32 del RGPD). El cumplimiento de otras disposiciones del RGPD, incluida la licitud del tratamiento, no está incluido en el ámbito de aplicación de esta Opinión.**
No existe un requisito legal uniforme en la UE para que los operadores aeroportuarios y las compañías aéreas verifiquen que el nombre que figura en la tarjeta de embarque del pasajero coincide con el nombre que figura en su documento de identidad, y esto puede estar sujeto a la legislación nacional. Por lo tanto, cuando no se exija la verificación de la identidad de los pasajeros con un documento de identidad oficial, no debe realizarse dicha verificación con el uso de datos biométricos, ya que esto daría lugar a un tratamiento excesivo de los datos.
En su dictamen, el CEPD consideró la conformidad del tratamiento de los datos biométricos de los pasajeros con cuatro tipos diferentes de soluciones de almacenamiento, que van desde las que almacenan los datos biométricos únicamente en manos de la persona hasta las que se basan en una arquitectura de almacenamiento centralizada con diferentes modalidades. En todos los casos, solo se tratarán los datos biométricos de los pasajeros que se inscriban activamente y den su consentimiento para participar.
El CEPD consideró que las únicas soluciones de almacenamiento que podían ser compatibles con el principio de integridad y confidencialidad, la protección de datos desde el diseño y por defecto y la seguridad del tratamiento, eran las soluciones en las que los datos biométricos se almacenan en manos de la persona o en una base de datos central, pero con la clave de cifrado únicamente en sus manos. Estas soluciones de almacenamiento, si se implementan con una lista de salvaguardas mínimas recomendadas, son las únicas modalidades que contrarrestan adecuadamente la intrusión del procesamiento al ofrecer a las personas el mayor control.
El CEPD constató que las soluciones basadas en el almacenamiento en una base de datos centralizada, ya sea dentro del aeropuerto o en la nube, sin las claves de cifrado en manos del individuo, no pueden ser compatibles con los requisitos de protección de datos desde el diseño y por defecto y, si el responsable del tratamiento se limita a las medidas descritas en los escenarios analizados, no cumpliría con los requisitos de seguridad del tratamiento.
Por lo que respecta al principio de limitación del almacenamiento, los responsables del tratamiento deben asegurarse de que disponen de una justificación suficiente para el período de conservación previsto y limitarlo a lo necesario para la finalidad propuesta.
A continuación, las APD adoptaron un informe sobre el trabajo del grupo de trabajo de ChatGPT. Este grupo de trabajo fue creado por el CEPD para promover la cooperación entre las APD que investigan el chatbot desarrollado por OpenAI.
El informe ofrece opiniones preliminares sobre ciertos aspectos discutidos entre las APD y no prejuzga el análisis que hará cada APD en su respectiva investigación en curso***.
Se analizan varios aspectos relativos a la interpretación común de las disposiciones aplicables del RGPD relevantes para las distintas investigaciones en curso, tales como:
- La licitud de la recopilación de datos de entrenamiento («web scraping»), así como el procesamiento de datos para la entrada, salida y entrenamiento de ChatGPT.
- Equidad: garantizar el cumplimiento del RGPD es responsabilidad de OpenAI y no de los interesados, incluso cuando las personas introducen datos personales.
- Transparencia y exactitud de los datos: el responsable del tratamiento debe proporcionar información adecuada sobre el carácter probabilístico de los resultados de ChatGPT y hacer referencia explícita al hecho de que el texto generado puede estar sesgado o inventado.
- El informe señala que es imperativo que los interesados puedan ejercer sus derechos de manera efectiva.
Los miembros del grupo de trabajo también elaboraron un cuestionario común como posible base para sus intercambios con Open AI, que se publica como anexo al informe.
Además, el CEPD decidió elaborar directrices sobre IA generativa, centrándose como primer paso en el raspado de datos en el contexto de la formación en IA.
Por último, el CEPD adoptó una declaración sobre el «Paquete de acceso a los datos financieros y pagos» de la Comisión (que incluye las propuestas de Reglamento sobre el marco para el acceso a los datos financieros (FIDA), sobre el Reglamento sobre servicios de pago (PSR) y sobre la Directiva sobre servicios de pago 3 (PSD3)).
El CEPD toma nota de los informes del Parlamento Europeo sobre las propuestas FIDA y PSR, pero considera que, en lo que respecta a la prevención y detección de transacciones fraudulentas, deben incluirse salvaguardias adicionales de protección de datos en el mecanismo de seguimiento de las transacciones de la propuesta PSR. Es importante garantizar que el nivel de injerencia en el derecho fundamental a la protección de los datos personales de las personas afectadas sea necesario y proporcionado al objetivo de prevenir el fraude en los pagos.
[Fuente de la noticia EDPB]
