María del Carmen Romero Ternero
Profesora Titular de Universidad, Dpto. Tecnología Electrónica
Universidad de Sevilla
Europa sigue dando pasos firmes hacia la consolidación de la transformación digital, no sólo a nivel de las organizaciones (públicas y privadas), sino también desde la perspectiva de la ciudadanía. El camino de intenciones que los gobiernos están trazando a medio plazo quiere ser más o menos claro y contundente en el papel, aunque su traslado a la realidad física sigue siendo aún harina de otro costal. Esperemos que ese salto entre intención y realidad se materialice más pronto que tarde.
A pesar de que la tecnología ha irrumpido en nuestras vidas y rutinas cotidianas para quedarse, modificando nuestros quehaceres y nuestra manera de comunicarnos, aún no hay conciencia generalizada entre las personas de que lo que acontece en el mundo digital global tiene consecuencias amplificadas (negativas) si lo comparamos con el limitado mundo físico local. La protección de datos en el entorno digital suele provocar problemas mucho menos sencillos que sus equivalentes en el mundo físico y, en consecuencia, más difíciles de comprender y abordar. La historia muestra que cada vez que se introduce una nueva tecnología, la sociedad necesita tiempo para adaptarse. Como consecuencia, la economía del dato aún está impulsada por las posibilidades de la tecnología en lugar de por las normas sociales y legales. Todavía muchas personas viven despreocupadas de lo que ocurre con sus datos personales, simplemente porque no son conscientes de su valor (no sólo del valor económico de los datos para las empresas que los recopilan y tratan, sino del valor inmaterial de sus propios datos para sus vidas, aspecto que es incluso más complicado de medir, si cabe, que el valor económico). En mi opinión, se dan varias circunstancias que, por separado, y más aún combinadas, favorecen esta situación no deseada.
En primer lugar, nos topamos con la infoxicación, o intoxicación por exceso de información, que hace que el volumen de información que recibimos a diario supere con creces la capacidad de nuestro cerebro para gestionarla. Uno de los efectos que produce en las personas esta saturación de información en el mundo digital actual es la pérdida en la capacidad de atender sólo aquella información que realmente interesa manejar en el momento de tomar una decisión. Las personas tomamos una media de 226,7 decisiones al día sólo en lo relativo a la comida (1) y en la era de la información estamos más desinformados que nunca porque cada vez más sufrimos lo que se denomina la fatiga de decisión. En un mundo con demasiadas opciones, la autonomía del individuo se ve reducida en lugar de aumentar. Las llamadas fakenews han generado universos paralelos de post-verdad capaces de manipular masas de una forma demoledora. En este contexto, las personas se cansan de aceptar cookies, términos de uso y de privacidad de todos los servicios que consumen a diario a través de sus smartphones y acaban haciendo clic en Aceptar con el piloto automático.
En segundo lugar, encontramos de forma generalizada una carencia en competencias digitales de la ciudadanía, que favorece, entre otras cosas, por un lado, una brecha digital creciente y, por otro lado, el incremento en la probabilidad de sufrir ciberdelitos a través de los dispositivos conectados a Internet que se utilizan diariamente. Hace ya casi una década que la Comisión Europea alertaba del problema con la falta de estas competencias, con importantes consecuencias para el tejido económico y productivo y, sin embargo, el camino recorrido en este sentido es más corto del que debiera por la relevancia del problema. Cuando la tecnología se usa sin el conocimiento adecuado, no sólo se desperdicia su inmenso potencial, sino que genera riesgos que antes de su uso no existían. Si no se contemplan estos riesgos se pueden producir pérdidas no sólo económicas, sino reputacionales e incluso de pérdidas de dignidad y derechos fundamentales (destacable es el caso de la violencia sexual mediada por las tecnologías). Adicionalmente, relacionado con el desarrollo de las competencias digitales, aún hoy en día se mantiene en el imaginario colectivo una manifiesta desigualdad entre la tecnofobia percibida que sufren las mujeres y la tecnofilia atribuida a los hombres.
En tercer lugar, la onmi-conexión a través del Internet de las Cosas (IoT) de todo tipo de sensores (vestibles o ambientales) suscita la recolección masiva de datos de todo tipo, incluidos por supuesto datos personales biométricos y contextuales del individuo (ubicación física, datos demográficos, datos sociales, etc.), a través de múltiples servicios. Un dato aislado por sí mismo puede no decir mucho del individuo, la potencia de los enfoques actuales radica en la combinación de datos heterogéneos de distintas fuentes que acaban construyendo un perfil de datos muy exacto de la persona, generando un valor para el negocio de los proveedores de los servicios. En este sentido, el seguimiento y la monitorización de las personas es un aspecto delicado y aún no suficientemente legislado para velar por el correcto uso de este tipo de tecnologías en determinadas aplicaciones respetando los derechos y libertades.
En cuarto lugar, la ciberseguridad juega un papel crucial a nivel global teniendo en cuenta que esto de los ciberataques no es sólo un problema de unas cuantas empresas, sino que el impacto de la ciberdelincuencia es cada vez mayor y se expande a todos los sectores. Sólo en España desde 2011 se ha multiplicado por siete el número de denuncias por víctimas de ciberdelitos superando la barrera de los 215.000 en 2021 (2) . Las brechas de datos son un negocio cada vez más lucrativo y cuando ocurren incrementan más aún el valor de los datos.
En quinto lugar, encontramos la inteligencia artificial, que promete un gran potencial para la mejora de distintos sectores, que cambian hacia un modelo cada vez más automatizado, en el que los datos, los algoritmos y las personas conviven, aprenden y se relacionan en entornos físicos y virtuales. Esta realidad plantea grandes desafíos éticos en distintas dimensiones (impacto social, psicológico, financiero, legal, medioambiental y en la confianza), pero, a su vez, brinda enormes oportunidades de desarrollo.
Sin embargo, a pesar de todas estas barreras y de la situación de inmadurez de la que aún adolecen cada uno de estos factores expuestos, la potencial armonización de sus soluciones para garantizar los derechos y libertades es muy prometedora, y, en mi opinión, se pueden marcar varias líneas de acción hacia una madurez orquestada y con un enfoque multidisciplinar. El futuro de la gestión de la privacidad dependerá de cuánto de creativos seamos capaces de ser para disolver esas barreras y para aprovechar las oportunidades.
la economía del dato aún está impulsada por las posibilidades de la tecnología en lugar de por las normas sociales y legales. Todavía muchas personas viven despreocupadas de lo que ocurre con sus datos personales, simplemente porque no son conscientes de su valor
En el caso de la consciencia del valor del dato y de la responsabilidad de las personas de sus propios datos, existen ya iniciativas interesantes basadas en el diseño centrado en la persona, como es el caso de ADPC (Advanced Data Protection Control) (3) , en el que se buscan soluciones donde la persona sólo tiene que decidir una vez sobre sus datos y esa decisión se traslada de forma distribuida a los servicios que esas personas consumen. O el caso de la extensión del protocolo web (HTTP) con cabeceras específicas (DNT, Do-Not-Track) para la expresión de preferencias de trazabilidad (4) . El diseño centrado en las personas también tiene en cuenta quién va a recibir la información y en qué contexto y busca la mejor manera de hacérsela llegar. No es lo mismo explicar una política de privacidad a una persona adulta del ámbito jurídico que a un adolescente de 15 años, y actualmente los términos de privacidad se plantean por igual independientemente del perfil del usuario que los lee. La privacidad por diseño debe ser integrada en el diseño centrado en el usuario. Aquí pueden ser interesantes los enfoques que se están planteando en los mecanismos de explicabilidad en el ámbito de los algoritmos de inteligencia artificial. Uno de los aspectos fundamentales en torno a la explicabilidad es definir cuál es la población a la que va dirigida la explicación. Las soluciones en las que se plantean interfaces que se adaptan al usuario se basan en inteligencia artificial. Resolver la cuestión de la personalización de la explicación de las políticas de protección de datos es un reto interesante.
En relación con las competencias digitales, tanto a nivel nacional como a nivel internacional se articulan políticas que parecen aterrizar a acciones concretas encaminadas a disolver la brecha digital. En España, se mencionan acciones concretas en la línea 3 del programa España Digital y está en marcha el Plan Nacional de Competencias Digitales (2021), donde se promueven reformas públicas e inversiones en ámbitos como la inclusión digital (también contempla la reducción de la brecha digital de género), la digitalización de la educación y la adquisición de competencias digitales de los trabajadores. Este Plan está alineado con el marco de competencias digitales DigComp (5) , ya bastante maduro, de la Comisión Europea y, además, afortunadamente parece que vamos en buena dirección y se está trasladando al sector educativo a través del INTEF (Instituto Nacional de Tecnologías Educativas y de Formación del Profesorado) (6) del Ministerio de Educación y Formación Profesional. Si queremos que nuestros futuros profesionales tengan competencias digitales, debemos invertir en los que ahora tienen el encargo y la responsabilidad de su formación.
La violencia sexual mediada por las tecnologías abarca una variedad de comportamientos diferentes, incluido el ciberacoso (vigilancia y monitorización), mensajes de acoso y amenaza (online o por teléfono), humillación online y otros comportamientos de control que involucran tecnologías digitales y cuentas de Internet. La formación en competencias digitales de todos (y en especial de las potenciales víctimas) es fundamental para prevenir o mitigar esta lacra.
En cuanto a la ciberprotección, este va a ser un año importante en la UE por varias iniciativas que previsiblemente verán la luz. Por un lado, la actualización de la Directiva NIS (sobre seguridad de redes y sistemas de información), denominada NIS2, parece podría ser aprobada en junio. Destacaría una de sus novedades, la llamada «Red europea de organizaciones de enlace de crisis cibernéticas (EU-CyCLONe)», en la que se apoya la gestión coordinada de ciberincidentes a gran escala, contempla la creación de una base de datos europea de vulnerabilidades y está alineada con la legislación sectorial. Este punto es relevante de cara al futuro de la protección de datos, ya que la orquestación de medidas globales e integrales será clave para la gobernanza del dato. La futura directiva extiende su alcance y, como no podía ser de otra manera, refuerza aún más el enfoque basado en los riesgos. Por otro lado, la nueva Ley Europea de Resiliencia Cibernética podría ser aprobada en septiembre, incluyendo la regulación de la ciberseguridad de los dispositivos IoT y estando alineada con la Directiva radio aprobada en noviembre de 2021 para garantizar la seguridad de los dispositivos inalámbricos en el mercado de la UE. Son fundamentales los esfuerzos por definir un marco único basado en estándares que sean acordados en grupos de trabajo multidisciplinares.
Los paradigmas derivados del IoT tal como el Internet de los Cuerpos (IoB) o el Internet de las Cosas Médicas (IoTM) ofrecen grandes oportunidades para la medicina personalizada utilizando información de diversas fuentes, incluidas las ómicas, el estilo de vida, el medio ambiente, las redes sociales, los registros médicos y las reclamaciones de seguros médicos para permitir una atención personalizada, para prevenir y predecir enfermedades. Se utilizan tecnologías de detección, computación y comunicación. El aumento de grandes volúmenes de datos, precisos, continuos y longitudinales generados por el Internet de los Cuerpos (IoB), que ofrecen una visión sin precedentes de las experiencias de las personas, supone un catalizador para la medicina personalizada. Estos factores sugieren que los dispositivos IoB pueden mejorar la salud de poblaciones vulnerables o poco estudiadas. Los dispositivos IoB pueden recopilar continuamente datos de salud generados por la persona sobre muchos aspectos de los estilos de vida y comportamientos, proporcionando información que potencialmente puede mejorar la comprensión de la salud de la población a largo plazo y las intervenciones de salud pública de precisión, por lo que merece la pena cualquier esfuerzo legislativo y social por garantizar los derechos y libertades en este escenario.
Asimismo, en el ámbito médico y psicológico también hay que ir planteándose la protección de los neurodatos procedentes de interfaces cerebro-computadora (BCI). Estos sistemas registran, procesan, analizan o modulan directamente la actividad del cerebro humano en forma de neurodatos que luego se traducen en un comando de salida del humano a la máquina. Son datos generados por el sistema nervioso y cuando están vinculados, o son razonablemente vinculables, a un individuo, son neurodatos personales. Las BCI plantean muchos de los mismos riesgos que plantean los asistentes domésticos, los dispositivos médicos y los dispositivos portátiles, pero implican riesgos nuevos y mayores asociados con la privacidad del pensamiento, como resultado de registrar, usar y compartir una variedad de señales neuronales.
La inteligencia artificial para el cuidado de la salud promete un gran impacto en la medicina personalizada basada en datos. Es un hecho que tanto nuestra capacidad de generar como de almacenar datos ha crecido rápidamente, y esto ha jugado un papel importante en el desarrollo de aplicaciones de IA para la salud y el bienestar. La disponibilidad de este tipo de datos facilita y potencia el uso de la IA en el campo médico y, además, la no disponibilidad puede ser una gran barrera. Precisamente por eso, la gestión de datos es uno de los aspectos más delicados. El verdadero estado fisiológico de un paciente a menudo se caracteriza de manera incompleta y confusa debido a diversas fuentes de sesgo en la historia clínica electrónica. Por lo tanto, en el campo de la toma de decisiones en salud, se deben realizar esfuerzos para recopilar, extraer, curar y fusionar correctamente los datos utilizados.
En este contexto, resulta clave reforzar los itinerarios formativos, tanto a nivel de la formación profesional como a nivel de educación superior, que permitan responder a la demanda real del mercado que requiere de forma urgente de profesionales en el sector tecnológico y, particularmente, en el sector de la ciberseguridad y la inteligencia artificial.
Asimismo, son muy necesarias iniciativas que fomenten vocaciones de las mujeres en este sector tan carente de población femenina, que diluyan la idea en el imaginario colectivo de que las mujeres son tecnófobas y les da miedo la tecnología. Actualmente, la presencia de las mujeres en el ámbito de la ciberseguridad es del 24% a nivel mundial según datos de la Asociación (ISC)2
(7) . Programas como «Despega» (8) del INCIBE, que busca la concienciación de todas las usuarias de tecnología promoviendo servicios en el ámbito de la ciberseguridad para aprovechar las tecnologías de la información y las comunicaciones y elevar su confianza digital, son necesarios para conseguir la igualdad de oportunidades. Como primer paso, la visibilización de referentes femeninos en el ámbito TIC es obligada, debiendo comenzar en etapas educativas más tempranas, ya que los estereotipos comienzan a construirse desde la educación primaria. Como segundo paso, es precisa la alfabetización tecnológica y digital de las mujeres, aproximando las TICs a las mujeres. Si bien el acceso de una parte importante de mujeres a las tecnologías está supeditado a la organización de los tiempos de vida y a la conciliación familiar, trabajando en equilibrar estos aspectos, conseguiremos avances importantes.
El camino hacia una IA respetuosa con los humanos requiere de una perspectiva tecnológica-humanista que afortunadamente ya se refleja en muchos de los movimientos relacionados con la ética aplicada a la IA, tales como la recomendación de la UNESCO (9) , el libro blanco (10) y el informe para una IA fiable (11) de la Comisión Europea, el informe (12) del Consejo de Europa sobre la inteligencia artificial y los derechos humanos, la democracia y ley y el informe (13) del Foro Económico Mundial. Deberíamos hablar de IA Responsable como un paradigma de obligado cumplimiento. El proyecto de ley para la IA propuesto en abril de 2021 por la Comisión Europea tiene un enfoque garantista, basado en los valores y derechos fundamentales de la UE, y donde el cumplimiento de la legislación europea en protección de datos y en seguridad tiene un papel protagonista. Se percibe que se ha hecho un esfuerzo por ser concretos en cuanto a lo que tajantemente está prohibido y por definir lo que llaman los sistemas de IA de alto riesgo en detalle, estableciendo unos requisitos que recogen las inquietudes identificadas en los últimos años tanto por la comunidad científica como por los ciudadanos, tales como la importancia de evitar los sesgos en los datos, la trazabilidad del funcionamiento del sistema, la necesidad de supervisión humana, así como la importancia de la robustez, precisión y seguridad de estos sistemas.
Aunque es una primera aproximación muy enfocada, parece que se pasa de puntillas por los sesgos en la algoritmia, ya que no todos los sesgos son el resultado de datos de baja calidad. El diseño de cualquier sistema de información es en sí mismo una acumulación de elecciones sesgadas, que van desde la elección de las entradas al sistema hasta los objetivos que se establecen para optimizar. Es decir, cuando diseñamos un sistema de IA en una cadena de montaje industrial, por ejemplo, ¿se optimiza para lograr una eficiencia pura o se tiene en cuenta el efecto de esa optimización sobre los trabajadores y el medio ambiente? Cuando se diseña un sistema de IA para evitar la criminalidad, ¿el objetivo del sistema es encontrar tantos criminales potenciales como sea posible, o evitar señalar a personas inocentes? Todas estas elecciones vienen dadas de una forma u otra por los prejuicios inherentes de las personas que las toman y por eso el enfoque centrado en las personas que ya mencionábamos es fundamental.
En cualquier caso, a los efectos de cualquier marco regulatorio, entiendo que efectivamente no debemos centrarnos meramente en soluciones técnicas a nivel de conjunto de datos, sino en diseñar procesos socio-técnicos que nos ayuden a, en primer lugar, comprender los posibles efectos legales, éticos y sociales del sistema de IA y mejorar nuestras opciones de diseño e implementación basadas en ese entendimiento; en segundo lugar, que nos ayuden a auditar nuestros algoritmos y su salida para hacer transparente cualquier sesgo; y en tercer lugar, que nos ayuden a monitorizar continuamente el funcionamiento de los sistemas para mitigar los efectos nocivos de cualquier sesgo. En este sentido, creo que el texto está bien enfocado y promueve adecuadamente la necesidad de rastrear las decisiones tomadas por los actores humanos relacionadas con el diseño, desarrollo, despliegue y producción de un sistema. Esta forma de transparencia ayuda a los usuarios (tanto usuarios expertos como no expertos) a calibrar su confianza en la máquina, ayuda a los desarrolladores a depurar el sistema y ayuda a los auditores a investigar incidentes y dirimir responsabilidades. Al considerar la gobernanza, el enfoque no debe estar solo en la tecnología, sino también en las estructuras sociales que la rodean.
Por otro lado, en el texto se ven reflejadas las recomendaciones del Supervisor europeo de protección de datos, donde se alentaba a desarrollar un enfoque armonizado con la regulación en protección de datos basado en la evaluación del análisis de impacto (no solo en las personas individualmente, sino también en comunidades y la sociedad en su conjunto).
Finalmente, sí que me gustaría hacer hincapié en que, aunque esta pueda ser una primera aproximación a la regulación de la IA, si no se articulan en los estados miembros los recursos adecuados incluyendo códigos de conducta, guías de buenas prácticas y metodologías concretas (aparte por supuesto de las dotaciones económicas y humanas para desplegar todo el mecanismo de las autoridades de supervisión y las certificaciones), corremos el riesgo de provocar una desaceleración de la transferencia de la IA al mercado europeo y una fuga de proveedores que estarían obligados a reentrenar sus algoritmos con datos europeos para seguir ofreciendo sus servicios cumpliendo con la normativa.
En cualquier caso, desde aquí me gustaría agradecer a las personas que han participado en la elaboración del borrador por el esfuerzo realizado para reflejar soluciones a las inquietudes manifestadas por la ciencia y la sociedad.
Como decía Machado, «Caminante, no hay camino, se hace camino al andar», y yo añado «en el mundo digital».
Esto nos incumbe a todos.