Las principales tecnologías de Inteligencia Artificial (AI) necesitan un gran volumen de datos para realizar sus procesos. Con frecuencia esos datos son de carácter personal, lo que, sobre todo a lo largo de los últimos tiempos, está cuestionando la relación entre la normativa de protección de esos datos personales con la IA, en particular, a la luz del futuro Reglamento de lA que está elaborando la Unión Europea.
En este contexto resultó muy interesante una reciente jornada organizada por el think tank sobre IA OdiseIA y la Universidad CEU San Pablo de Madrid, decicada, precisamente, a la relación entre protección de datos y privacidad, que permitió a relevantes expertos en la materia exponer sus puntos de vista al respecto.
Por anticipar desde el principio sus principales conclusiones, destacar que estos expertos coincidieron en que la IA no debe ser solo considerada como un riesgo, pues el peligro para los derechos de las personas proviene del uso que se haga de ella. Además, la IA puede ser una útil herramienta para proteger ese derecho a la intimidad que está en la base de la protección de datos, tanto para los particulares como para los propios organismos de control. Por otra parte, el futuro Reglamento de IA debe perfilar muchos aspectos relacionados con la protección de datos que actualmente no contempla, pero las pautas de trabajo que el RGPD obligó en su momento a establecer a las empresas, pueden resultar también muy útiles cuando la nueva norma sobre IA entre en vigor.
En general estos expertos coincidieron en la importancia de la diversidad, tanto de género como de profesiones, en el desarrollo de la IA, porque esta requiere talentos diversos, desde el científico de una materia, al analista de datos, al abogado o al responsable de comunicación. Igualmente es importante monitorizar todos los procesos relacionados con el uso de la IA, porque puede cambiar el entorno o no se hayan detectado sesgos. Igualmente es necesario un enfoque orientado a los riesgos para determinar las medidas adecuadas a cada caso, ya que en ocasiones utilizar datos seudonimizados no es suficiente. Pero lo fundamental son las personas que utilicen estos sistemas, a las que hay que concienciar y formar en su uso.
El resto de los aspectos tratados pueden resumirse como sigue.
La privacidad vista por los jóvenes
Ayudó mucho a entender el contexto en el que nos encontramos una breve intervención realizada al comienzo del acto por cuatro jóvenes universitarios, que ofrecieron su visión sobre la privacidad.
En este sentido, la lúcida afirmación de una de ellas en el sentido de que “nosotros no hemos vivido lo que es la privacidad de los datos. No hemos vivido lo que es que nadie sepa nada de nosotros”, resultó tan esclarecedora como la del joven que señaló que “para mí la privacidad es cuando, a la hora de acostarme, por fin apago el móvil, ahí sé que estoy solo al cien por cien”.
Unas afirmaciones que dieron pie a que la directora de OdiseIA, Idoia Salazar, recordara que “las personas somos dueños de nuestros propios datos”, por lo que “en un futuro en el que seremos cada vez más datos, la privacidad será cada vez más una prioridad”. Por ello, harán falta conocimientos adecuados para asumir una protección individual de la privacidad.
Riesgos y ventajas de la IA para la privacidad
En la mesa que se abrió a continuación, moderada por la profesora de la Universidad Complutense Wilma Arellano, el profesor Lorenzo Cotino, Director de Regulación y Derechos de OdiseIA y Catedrático de Derecho Constitucional de la Universidad de Valencia, comenzó destacando que la IA y otras tecnologías conexas con la misma nos obligan a cambiar el modelo con el que actualmente consideramos la protección de datos.
En particular, no todo tratamiento de nuestros datos personales puede basarse en el previo otorgamiento de nuestro consentimiento, porque este ya se otorga sin saber para qué, “por eso el RGPD se basa en la privacidad por defecto, un concepto que se está extendiendo a la futura regulación de la IA”.
Hoy, continuó Cotino, las grandes decisiones del sector privado y también del público se adoptan con base en datos, lo que requiere nuevos ámbitos de garantía para los mismos, ya que hay una dimensión objetiva de los derechos fundamentales que se proyecta en el sector privado.
En este sentido añadió que la IA suele considerarse como el enemigo, pero hay que tener en cuenta sus ventajas, por ejemplo, para ayudar a anonimizar o seudonimizar datos personales. También hay algoritmos guardianes, que vigilan otros algoritmos. Se trata de técnicas necesarias, poque hoy el porcentaje de personas que velan por su intimidad es ínfimo. Por eso, añadió, hay que velar por un derecho no reactivo, sino preventivo.
A este respecto, Cotina considera que el futuro Reglamento europeo sobre IA está pensado para la industria y los usos de IA de alto riesgo, pero el ignora el RGPD. Por eso, aunque aun queda mucho que negociar sobre el tema, se corre el riesgo de que se produzca una superposición de ambas normas. Y aunque considera que va a ser casi imposible llegar a acuerdos globales sobre la IA, Europa está ante una oportunidad de imponer sus propias normas para el uso de la IA, dentro de una concepción de IA ética, que quizás pueda exportar.
En este contexto, subrayó que no hay que descartar la creación de unas autoridades específicas en materia de IA, igual que lo hay en áreas de la Administración como la transparencia, porque el volumen cada vez mayor de datos inferidos a través de la IA requiere de nuevas técnicas de garantía
Uso de la IA por las autoridades de control
A continuación, Borja Adsuara, Experto en Derecho, Estrategia y Comunicación Digital y Director de Área de OdiseIA (quien comenzó anunciando que “voy a aprovechar que todavía no estoy en la AEPD para opinar como un ciudadano”), subrayó que la tecnología nunca es el problema, sino lo que se hace con ella. Los límites de la inteligencia artificial son los mismos que los de la inteligencia natural: los derechos fundamentales y los valores que soportan “no se puede hacer nada que vaya en contra de ellos”.
En este sentido, llamó la atención sobre el hecho de que actualmente el acceso a la IA lo tienen las grandes empresas y algunas Administraciones Públicas, sobre todo las que se dedican a recaudar y sancionar, como Hacienda, Tráfico o Seguridad Social.
Pero, en su opinión, es más importante prevenir la infracción que sancionarla. Por ello se preguntó “¿qué ocurriría si la AEPD usara IA para vigilar el cumplimiento exhaustivo del RGPD?”. Este es de imposible cumplimiento, así que se sancionaría a todas las empresas del país, algo que no tendría sentido. Por eso, añadió, “la IA debe ayudarnos a reflexionar sobre el sentido de la norma y de la sanción”.
Por ejemplo, mencionó que la IA puede ayudar a controlar por el alcance y las condiciones en que los ciudadanos prestan consentimiento para el tratamiento de sus datos (“una de las grandes mentiras de internet, porque se trata de contratos de adhesión, que no se entienden ni se pueden negociar”). Dado que los ciudadanos no leen las condiciones de uso para las que se solicita, alguien lo tendrá que hacer. Y para ello, una IA, ya sea de la AEPD o de asociaciones de usuarios, puede analizar tanto la presencia de cláusulas abusivas como el uso que de esos datos hacen empresas y organizaciones.
Por otra parte, añadió, la propuesta de Reglamento de IA es transversal, por lo que “hasta que no se aplique a cada sector puede resultar muy genérico”. Pero, señaló para concluir, “en Europa tenemos el problema de ser un sistema de código cerrado, frente al sistema abierto anglosajón. La consecuencia es que en Sillicon Valley todo lo que no está prohibido, está permitido, mientras que en Europa solo se puede hacer lo que está previsto”. Algo que lastra mucho la innovación y que puede provocar que Europa quede relegada a ser un organismo regulador, pero sin ser uno de los actores de este desarrollo.
La transparencia debe exigirse desde la sociedad civil.
En su intervención, Ofelia Tejerina, Presidenta de la Asociación de Internautas, recordó que la confianza de la sociedad en la IA está muy sesgada por la influencia del cine, que ha transmitido una imagen y unas capacidades de la misma bastante distorsionada.
Por ello, destacó que lo importante “es saber a quién estoy dando mis datos, voluntaria o involuntariamente”. Y es que las empresas “nos piden datos para todo y las personas tenemos una tendencia natural a confiar nuestra intimidad en desconocidos”. Por eso hay que ser sensato en el uso que hacemos de nuestros datos. En este sentido subrayó que es posible “utilizar el algoritmo a mi favor, no para engañar o falsear nuestra imagen, sino para controlar lo que dejamos que las empresas sepan o no sepan algo sobre nosotros o “manipular lo que saben de nosotros”, para usar esa capacidad en nuestro favor.
En relación con los efectos del uso de la IA en la privacidad, Tejerina señaló que, según sus estudios, lo que más necesita la gente es la supervisión humana en el uso de la IA, algo para lo que hacen falta garantías. En este sentido, continúo, la propuesta de Reglamento europeo sobre IA viene a controlar los riesgos derivados del uso de esta tecnología, pero deja fuera a las empresas que supuestamente no ponen en riesgo los derechos fundamentales de las personas, que no es una cuestión que dependa del tamaño de las empresas. Todo ello sin olvidar que la ciberseguridad es un importante aspecto para confiar en la IA.
La experiencia desde la empresa
En la siguiente mesa, moderada por Idoia Salazar, Richard Benjamins,Chief AI & Data Strategist en Telefónica y cofundador y Vicepresidente de OdiseIA, puso de relieve que, a la vista de los principios y orientaciones que contiene la propuesta de Reglamento sobre IA, las empresas pueden aprovechar mucho del trabajo que han llevado a cabo para adaptarse al RGPD, ya que “en muchos sentidos se ha copiado la estructura del RGPD en relación con la IA”, algo muy positivo, “porque puede permitir aprovechar el aprendizaje que ya se ha realizó”.
Por su parte, Gabriel López, Government Affairs Director de Microsoft, donde es Responsible AI, señaló que como industria que estamos desarrollando herramientas que están rediseñando el futuro, creemos que tenemos una responsabilidad. En última estancia, ello significa que esta cuestión debe estar regulada de alguna forma. Y de ahí la importancia de la cooperación público-privada más la propia ciudadanía, porque los límites de la tecnología solo se pueden entender trabajando en cooperación.
A este respecto, Manel Carpio,Risk Advisory Partner de Deloitte, recordó que la privacidad es un derecho fundamental que hay que tomarse muy en serio. En principio, las empresas recaban datos para un tratamiento determinado de acuerdo con una base legitimadora. Pero recabar ese consentimiento puede ser muy engorroso, por lo que hay que buscar alternativas, teniendo en cuenta que hay datos personales identificativos, cuasiidentificativos y los datos sensibles. Con esta finalidad, la anonimización permite eliminar aquellos datos que permiten identificar a su titular, mientras que con la seudonimización solo puede identificar una parte de la empresa, no el que trata. En materia de protección de datos se han impuesto muchas sanciones, a nivel europeo, a lo largo de los últimos años (de un total próximo a los 1.500 millones de euros), pero la mayoría pueden agruparse en dos grandes causas: brechas de seguridad y falta de consentimiento para el tratamiento. Por ello es muy importante la anonimización en ambos casos. Por otra parte, añadió que aunque las sanciones por infracción de la normativa de protección de datos son relevantes, también hay que tener en cuenta el ámbito reputacional.
En cuanto al uso de la IA para proteger la privacidad, Miguel Ángel Liébana, represente de Human Trends, empresa que ha desarrollado una herramienta para la gestión de la identidad digital de las personas, denominada My Identity, que fue presentada al final del evento, señaló que aun queda mucho por lo que trabajar en ese campo. En este sentido distinguió entre las soluciones que defienden al usuario como tal, por ejemplo, las que permitiesen leer e interpretar los términos y condiciones de uso o las herramientas que permitieran difuminar la identidad para camuflarla ante determinados tratamientos, y las herramientas destinadas a proteger a las propias empresas, por ejemplo, en el ámbito de la ciberseguridad, previniendo intrusiones y ayudando a proteger los datos.
En todo caso, añadió, a la hora de desarrollar IA, las empresas tienen que tener en cuenta el marco regulatorio en materia de protección de datos y de IA, aunque suponga una carga de trabajo extra, para no tener que desandar lo andado en un momento dado. Es más costoso pero más fácil de implementar en una Pyme y positivo para cualquier usuario.
La problemática cuestión de la responsabilidad por uso de la IA
Finalmente, en relación con esta cuestión, tan relevante, Gabriel López señaló que la IA depende de muchas tareas y de diferentes tipos de datos y procesos, cada uno con una responsabilidad propia. Por ello, a la hora de plantearse qué responsabilidad se puede exigir en cada caso, hay que entender para qué se va a utilizar cada sistema de IA.
López añadió que, desde el punto de vista industrial, las sanciones en materia de tratamiento de datos han debido en ocasiones a errores, que si bien han emborronado la parte positiva del desarrollo tecnológico, también han redundado en la mejora del diseño de los productos.
Pero no toda la responsabilidad se puede centrar en las empresas. Richard Benjamins destacó también los gobiernos se deben aplicar las normas a sí mismos, porque van muy por detrás del sector privado. En todo caso, añadió, el proyecto de regulación de IA se aplica a varios ámbitos o sectores, y dependiendo del tamaño de las empresas puede afectarlas más o menos, aunque lo previsible es que lo haga más a las pymes. Por otra parte, las multas no importan tanto, porque las grandes empresas no van a hacer algo contra la ley a propósito, pero sí desde el reputacional. La configuración de cookies es un ejemplo de cómo diferentes empresas afrontan el tema y hay muchas empresas denunciadas por ello.
Y por último, en cuanto a este particular, señaló que hay que tener en cuenta la responsabilidad de los ciudadanos tienen una responsabilidad que no están ejerciendo, porque aceptamos cualquier condición con tal de poder hacer las cosas. Un aspecto en el que coincidió Miguel Ángel Liébana, quien añadió que hay que considerar también la empoderación de los ciudadanos a través de la educación, que permite tener conciencia de lo que sucede, y la disponibilidad de herramientas que permitan alcanzar ese propósito.
En opinión de Manel Carpio, aunque el proyecto de Reglamento de IA distingue solo entre los proveedores y los usuarios, la cosa es más compleja, porque está el que suministra los datos, el que los analiza y depura, el diseñador … es mucho más complejo. Por otra parte, el borrador de IA solo prohíbe tres tipos de algoritmos, lo que no es tan grave (social scoring, identificación biométirica masiva o manipulación). Lo que se ponen son condiciones que no impiden hacer cosas, sino tratar adecuadamente a los datos y a los algoritmos.