Neurodatos: nuevas exigencias para las empresas

Neurodatos: nuevas exigencias para las empresas

Las neurotecnologías ya no son una cuestión reservada a laboratorios de investigación o aplicaciones médicas avanzadas. Cada vez aparecen más soluciones tecnológicas capaces de captar señales relacionadas con la actividad cerebral, analizar respuestas cognitivas o inferir estados emocionales y comportamientos en ámbitos tan diversos como el empleo, la educación, el marketing o los servicios digitales.

En Business Adapter® analizamos anteriormente qué son los neurodatos y el surgimiento de los llamados neuroderechos como respuesta a los desafíos que plantea esta tecnología.

Sin embargo, recientemente se ha producido una novedad relevante desde el punto de vista regulatorio: la Red Iberoamericana de Protección de Datos (RIPD), impulsada por la Agencia Española de Protección de Datos (AEPD), ha aprobado un documento de referencia que establece criterios específicos para el tratamiento de neurodatos en entornos no sanitarios.

Esta iniciativa ofrece una visión práctica sobre cómo deben abordar las organizaciones los riesgos asociados a estas tecnologías y anticipa posibles futuras exigencias normativas.

Un nuevo escenario para la protección de datos

El documento aprobado por la RIPD parte de una premisa clara: cuando los neurodatos permiten identificar directa o indirectamente a una persona, deben considerarse datos personales y, debido a su naturaleza especialmente sensible, requieren garantías reforzadas.

La preocupación no se limita a la privacidad, pues estas tecnologías pueden afectar a cuestiones tan relevantes como:

• La autonomía personal.
• La libertad de pensamiento.
• La integridad psicológica.
• La igualdad de trato.
• La no discriminación.

Por este motivo, la protección de datos se presenta como una de las principales herramientas para gestionar los riesgos derivados de la expansión de las neurotecnologías.

Del ámbito sanitario al entorno empresarial

Tradicionalmente, las aplicaciones neurotecnológicas se han desarrollado en contextos médicos o de investigación, donde existen controles éticos y regulatorios consolidados.

La RIPD pone ahora el foco en otros escenarios donde su utilización podría crecer rápidamente, como:

• Procesos de selección y gestión de personal.
• Sistemas educativos.
• Publicidad personalizada.
• Estudios de comportamiento del consumidor.
• Videojuegos y plataformas de entretenimiento.
• Servicios digitales basados en inteligencia artificial.

El problema es que estos entornos no siempre cuentan con las salvaguardas que tradicionalmente han acompañado al uso de tecnologías relacionadas con la actividad cerebral o cognitiva.

El consentimiento no siempre será válido

Uno de los aspectos más interesantes del documento es el análisis de la base jurídica para estos tratamientos.

La RIPD advierte de que el consentimiento puede resultar especialmente problemático cuando existe una situación de desequilibrio entre las partes, como sucede habitualmente en relaciones laborales, educativas o comerciales.

Además, introduce una reflexión especialmente relevante: cuando una tecnología tenga capacidad para alterar, manipular o influir significativamente en la conducta de una persona, el consentimiento podría no ser suficiente para legitimar el tratamiento.

Este planteamiento supone una llamada de atención para organizaciones que pretendan fundamentar estos tratamientos exclusivamente en la aceptación del usuario.

Transparencia reforzada y explicabilidad de la IA

La RIPD también destaca que las obligaciones de información deberán ir más allá de los estándares habituales.

Las personas afectadas deberían conocer:

• Qué neurodatos se recogen.
• Qué conclusiones o inferencias se obtienen.
• La base científica utilizada.
• El nivel de precisión o fiabilidad de los resultados.
• Las posibles consecuencias derivadas de dichas inferencias.

Cuando intervengan sistemas de inteligencia artificial, no bastará con comunicar el resultado final, será necesario ofrecer información comprensible sobre los criterios utilizados para alcanzarlo.

Algunos usos podrían llegar a prohibirse

Quizá la parte más contundente del documento sea la relativa a determinados tratamientos que podrían considerarse incompatibles con derechos fundamentales.

La RIPD señala que existen situaciones en las que medidas como la transparencia, las evaluaciones de impacto o las medidas de seguridad pueden resultar insuficientes. En esos casos, la respuesta adecuada podría ser directamente la prohibición legal del tratamiento.

Entre los ejemplos que menciona se encuentran:

• Tratamientos neurotecnológicos subliminales o manipuladores.
• Sistemas diseñados para explotar vulnerabilidades psicológicas.
• Herramientas destinadas a clasificar o perfilar personas con fines no médicos.
• Tecnologías orientadas a predecir conductas delictivas.
• Sistemas de inferencia emocional en entornos laborales o educativos.
• Aplicaciones dirigidas a menores o colectivos vulnerables con finalidades no sanitarias.

Aunque algunas de estas prácticas todavía no están reguladas de forma específica, el mensaje de las autoridades es claro: no todo lo técnicamente posible será jurídicamente admisible.

¿Qué deben tener en cuenta las empresas?

Aunque muchas organizaciones todavía consideran estas cuestiones como algo lejano, la realidad es que la evolución de la inteligencia artificial, los dispositivos wearables, la biometría avanzada y las tecnologías inmersivas podría acercar estos tratamientos a numerosos sectores económicos.

Por ello, resulta recomendable:

• Identificar tempranamente posibles tratamientos relacionados con neurodatos.
• Aplicar el principio de privacidad desde el diseño.
• Realizar Evaluaciones de impacto cuando exista un alto riesgo para los derechos y libertades de las personas.
• Revisar cuidadosamente la base jurídica utilizada.
• Implantar mecanismos reforzados de transparencia.
• Analizar no solo el cumplimiento normativo, sino también las implicaciones éticas del tratamiento.

Business Adapter® consultores expertos en protección de datos

La experiencia demuestra que las autoridades suelen anticipar mediante guías, informes y documentos de referencia los criterios que posteriormente aplicarán en sus actuaciones de supervisión y expedientes sancionadores.

Si tienes dudas contacta a tu consultor de Business Adapter® para solicitarle asesoramiento personalizado.

En Business Adapter® ayudamos a empresas y profesionales a cumplir con la Normativa de Protección de Datos (RGPD, LOPDGDD y LSSI) y a implantar medidas reales de seguridad adaptadas a su actividad.

Trabajamos en:

• Adecuación RGPD y LOPDGDD
• Auditorías de Protección de datos
• Auditorías de seguridad
• Gestión de brechas
• Evaluación de Impacto
• Formación de empleados
• Delegado de Protección de Datos (DPD)

Contáctanos en el email: info@businessadapter.es, también puedes llamar al 96 131 88 04, o deja tu mensaje en nuestro formulario: