Europa abre hoy el debate sobre la inteligencia artificial para consensuar una propuesta legislativa en 2020

Europa abre hoy el debate sobre la inteligencia artificial para consensuar una propuesta legislativa en 2020

En España, Protección de Datos ha publicado una Guía para adecuar el uso de esta tecnología a la normativa europea de privacidad
|
19/2/2020 06:35
|
Actualizado: 13/8/2020 13:34
|

Se abre un debate importante en Europa sobre inteligencia artificial. La Comisión Europea presenta este miércoles un ‘Libro Blanco’ con propuestas de acción. Tras consultar a todas las partes implicadas -empresas, sindicatos, sociedad civil y a los gobiernos de los 27 Estados miembros-, desde Bruselas se espera presentar propuestas legislativas a finales de año sobre la adaptación de esta tecnología al mundo en que vivimos.

Por su parte, las grandes compañías tecnológicas buscan medidas de seguridad mejoradas y piden ayuda de comités de ética externos para hacer que los usuarios se sientan más seguros usando productos de inteligencia artificial.

En España, la Agencia Española de Protección de Datos (AEPD) ha hecho pública una guía que ayuda a entender como adaptar los desarrollos en inteligencia artificial al nuevo modelo de privacidad que emana del Reglamento Europeo de Protección de Datos (RGPD). Algo que es una buena noticia, según los expertos consultados por esta publicación.

Cuidado con monitorizar a las personas

Para Francisco González, lead advisor internacional de la consultora ‘Govertis‘ el mayor riesgo es que «a través de la monitorización del comportamiento de las personas se produzca lo que el RGPD denomina decisiones individuales automatizadas que produzcan efectos jurídicos en la persona o le afecten de manera similar”.

A su juicio “este riesgo para la privacidad viene de la mano de determinados usos que podrían denominarse “poco éticos”. Esta tecnología analiza información anonimizada de muchos individuos, por lo que emite conclusiones y predicciones con una alta probabilidad, si se desprende de las mismas al asociarla individualizada”.

En este sentido, recuerda que “estos días se ha conocido la noticia que el gobierno holandés se ha visto obligado a retirar un algoritmo que predice que ciudadanos son supuestamente más proclives a defraudar al Estado”.

Para este experto “tener una guía guía emitida por el regulador nacional de protección de datos aporta seguridad jurídica en la medida en la que las entidades que desarrollan y/o gestionan servicios que utilizan la tecnología de IA siguen las pautas y directrices recogidas en la misma”.

Gonzalez ve que esa guía ofrece pautas a seguir. “Hay que prestar especial atención al principio de privacidad por diseño y por defecto de manera que la privacidad este presente en todas las fases del ciclo de vida de la tecnología IA (concepción y análisis, desarrollo, explotación y retirada final del componente)”.

Junto a ello cree que es “necesario en la mayoría de los casos realizar una evaluación de impacto en protección de datos (EIPD) y en el supuesto que tras implantar controles que intenten reducir el alto riesgo para las personas, el resultado de la EIPD continúe dando un alto riesgo para las personas, realizar una consulta previa a la AEPD conforme dispone el RGPD”.

Al mismo tiempo considera que debe “hacerse especial hincapié en el principio de minimización del tratamiento, que impide recoger más datos de los necesarios para el tratamiento de datos que se pretende realizar y, por supuesto, no recoger datos personales porque sí o por si son necesarios en el futuro”.

En opinión de este experto “otros de los aspectos a tener en cuenta es la obtención del consentimiento, cumplir con el deber de transparencia e información, aplicar medidas de seguridad apropiadas, facilitar el ejercicio de derechos a las personas que lo soliciten y cumplir con el especial régimen de protección del RGPD cuando se tratan categorías especiales de datos personales (salud, biométricos, etc.)».

En cuanto a las sanciones por estas infracciones este jurista destaca que “la sanción impuesta como siempre dependerá del precepto incumplido del RGPD, la gravedad del caso, la intencionalidad o no de la acción, la existencia o inexistencia de medidas de cumplimiento del reglamento de protección de datos, las medidas posteriores adoptadas por la entidad que realice esos tratamientos de datos utilizando IA, etc”.

Como es conocido, el Reglamento General de Protección de Datos (RGPD) establece el tope máximo para las sanciones consideradas graves y muy graves y deja libertad de decisión a las autoridades de control de protección de datos la determinación de la cuantía concreta”.

Inteligencia artificial para situaciones concretas

Por su parte, Natalia Martos, socia directora de ‘Legal Army’, indica que la propia guía de la Agencia Española de Protección de Datos sobre IA es bastante útil, ya que “solo se centra en la inteligencia artificial débil que resuelve problemas concretos y acotados. Da pistas sobre como hacer tratamientos de datos en aplicaciones de inteligencia artificial para que encaje en la normativa europea del RGPD”.

La inteligencia artificial débil se utiliza “para inferir patrones en comportamientos de determinadas personas para hacer perfilados de marketing, de ese patrón se infiere una conducta. O cuando se hace una ‘due dilligence’, valoración de empresas, y se pide que se extraiga un termino concreto de una masa de documentación. Con ella se pueden lograr soluciones concretas”.

La cuestión es cómo aplicar la normativa europea de protección de datos a esta tecnología disruptiva de inteligencia artificial. “Lo primero es averiguar la legitimación del tratamiento antes de realizarlo. Hay seis bases legitimadoras y hay que determinar la que permite ese tratamiento con IA», aclara Martos.

Estas seis bases legitimadoras son: la vía contractual, interés legítimo, porque se tiene el consentimiento del interesado, por la protección de los intereses vitales, por el interés público o por obligaciones legales.

En el caso de que no se encuentre y si se plantea una consulta a la AEPD “es posible que nos digan que no hagamos nada al no encontrar un sustento jurídico para ese tratamiento de datos, de esa forma no se realizaría”.

Teniendo esa base legitimadora clara, “el siguiente paso es el deber de información a los titulares del dato para que sepan cuál va a ser el tratamiento y en qué medida interviene la IA y para qué y durante cuanto tiempo. Incluso cuando haya acabado el citado tratamiento”, señala.

En este contexto, esta jurista recuerda que “el titular del dato tiene en cualquier momento de dicho tratamiento el derecho a oponerse a que se siga con el uso de esos datos. Hay que dejar claro que existen los derechos de acceso, rectificación, oposición y limitación y que se puedan ejercitar en cualquier momento”.

El siguiente paso sería impulsar la responsabilidad proactiva del responsable de tratamiento de datos a varios niveles.

“En ese principio se engloban una serie de acciones que tienden a que el tratamiento de datos sea seguro y acorde a la ley. Lo primero que se plantea es un análisis de riegos, por si tiene un nivel elevado o no”.

Junto con dicho análisis de riesgos, si sale elevado “hay que hacer una evaluación de impacto que la propia AEPD en la guía explica cómo hacerla. No es la genérica para cualquier tratamiento. Es ‘ad hoc’ para la inteligencia artificial”.

Hecha la evaluación de impacto citada “ya sabremos cuál es el impacto de dicha tecnología y si impacta en derechos y libertades fundamentales de terceros. En función del resultado, si es negativa, podemos seguir trabajando. Se guarda en el Registro de Actividades del Tratamiento de la empresa. En caso contrario, si hay riesgo hay que ir a la AEPD a realizar la consulta pertinente”.

En esa consulta con la AEPD “es muy posible que nos pidan que medidas vamos a poner en marcha para mitigar el citado riesgo que queda evidente tras la evaluación del impacto de dicho tratamiento”. Para Martos es importante tener claro estos criterios para evitar sanciones cuantiosas sobre este tipo de tecnología.

Una tecnología invasiva

Para Jorge García Herrero, experto en privacidad y miembro del colectivo ‘Secuoya’, esta guía de la AEPD es oportuna, aunque “la materia tiene tantas ramificaciones y tan profundas que es imposible abarcarlo todo en un solo documento.

«Creo que esta guía persigue exponer sistemáticamente y de forma comprensible para ambos mundos, las cuestiones que tecnólogos y juristas deben saber trabajar y resolver conjuntamente”.

Además, “llega en el momento adecuado, con la paralización judicial del sistema automatizado antifraude utilizado por la seguridad social holandesa. No vale encogerse de hombros y echar la culpa al desarrollador”, apunta.

Para este experto, “la clave es que esta tecnología te puede dar o quitar derechos, sin saber nada de ti: decidiendo en base a lo que sabe de otras personas que, en teoría, son como tú».

Y claro, los principales riesgos son muy populares: la imposibilidad de control por desconocimiento del empleo mismo de estas técnicas o de cómo funcionan, no saber si funciona “bien” o “mal”, conceptos estos que dependen de la cultura de cada país o empresa. O la discriminación automática de grupos enteros de ciudadanos o consumidores, sin supervisión alguna.

Sobre las condiciones que debe cumplir una tecnología de este tipo para que se adapte a la normativa europea, Garcia recuerda que la última sección de la guía de la AEPD las resume. “Hay que darse cuenta que cualquier proyecto requiere asesoría experta en privacidad y ética desde el primer minuto”.

Como ejemplo, subraya, en ‘Secuoya Group’ conseguimos en dos semanas una fórmula ‘solid rock’ de cruce automático y cifrado de bases de datos para nuestra ‘lista viernes’, imposibilitando el acceso de las partes a datos ajenos.

La ‘lista robinson’, que adoptó la misma fórmula el año pasado, había funcionado durante años entregando los datos de los ciudadanos inscritos a las empresas de marketing para que “limpiaran sus propias listas de objetivos”.

En su opinión “la potencialidad de estas tecnologías y la universalidad de su alcance, las hace acreedoras del máximo nivel de escrutinio y exigencia. Mientras la regulación sea tan parca, la prueba del algodón vendrá dada por la autoaplicación demostrable en la industria de los estándares más rigurosos en cumplimiento normativo, transparencia y ética”.

Los expertos consultados en este reportaje recuerdan como la evolución de la inteligencia artificial es imparable en distintos modelos y formas.

Y no descartan pronunciamientos más claros, a modo de dictámenes, tanto de la AEPD como del Comité Técnico Europeo de Protección de Datos a fin de definir bien cuál es el marco normativo de estas herramientas que no deben traspasar.

Noticias Relacionadas: