Esther García Encinas
Gerente, Asesoría Jurídica Innovación y Privacidad, CaixaBank, S.A.
Profesora, CDPP Isms Forum
Profesora, Máster en Protección de datos UCM
1.
Introducción
Desde la entrada en vigor del Reglamento General de Protección de Datos (LA LEY 6637/2016) («RGPD»), los profesionales de la privacidad hemos estado en formación continua. Si bien es cierto que el nuevo régimen europeo, heredero de la directiva a la que sustituía, no supuso un golpe de timón, también lo es que se abrieron múltiples cajas de pandora desde el punto de vista de la interpretación de una norma tan flexible y enfocada a riesgos como lo es el RGPD.
Hoy, en mayo de 2022, con el RGPD implementado y normativas nacionales desarrolladas en los Estados miembros, los profesionales de la privacidad aún estamos lejos de esa calma llamada seguridad jurídica y seguimos ávidos de guías y/o resoluciones de las autoridades de control y, por supuesto, de jurisprudencia de nuestros tribunales nacionales y europeos. En definitiva, deseosos de textos interpretativos consolidados que aterricen las normas en protección de datos y que nos permitan confirmar los criterios e interpretaciones que cada día facilitamos en nuestro asesoramiento. Tarea no exenta de riesgos.
En este escenario, un nuevo reto ha aparecido en nuestro horizonte: la Inteligencia Artificial («IA»). Esta herramienta tecnológica que ya habíamos detectado en algunos de los tratamientos de datos que analizamos a través de los intensos y concienzudos ejercicios de análisis que suponen las Evaluaciones de Impacto en Protección de Datos («EIDP»), se ha convertido en tema central de agendas europeas y nacionales de reguladores, autoridades y profesionales de diversas disciplinas y, por supuesto, de los profesionales de la privacidad y la protección de datos.
Así, en el marco de la estrategia europea de datos en general y de la IA, en particular, se han publicado documentos tan relevantes como las «Directrices éticas para una IA fiable» del Grupo independiente de expertos de alto nivel sobre IA, el «Libro Blanco sobre la IA — un enfoque europeo orientado a la excelencia y la confianza» o la «Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de IA (Ley de IA) y se modifican determinados actos legislativos de la Unión» (Propuesta de Reglamento de IA).
A nivel nacional, las autoridades de protección de datos también han publicado documentos y guías, con el propósito de acompañarnos en los análisis del uso de esta tecnología. Así lo han hecho la autoridad británica, la francesa y también la española, la Agencia Española de Protección de Datos (AEPD) quien ya en febrero de 2020 publicaba una primera guía («Adecuación al RGPD de tratamientos que incorporan IA. Una introducción»); y en enero de 2021, publicaba una segunda («Requisitos para Auditorías de Tratamientos que incluyan IA»).
La literatura sobre la IA es, sin embargo, mucho más extensa, y abundan los documentos que abordan el fenómeno de la IA más allá del derecho positivo y apelan a la óptica de la ética y de los derechos humanos y fundamentales como los elementos a través de los cuales afrontar los retos de esta tecnología.
Organizaciones, empresas y profesionales, no ajenas a este escenario, se encuentran también en un momento de estudio, debate y diseño (que a los profesionales de la privacidad nos resulta particularmente familiar) sobre roles, responsabilidades y metodologías con las que afrontar el análisis de la IA.
En este contexto, este artículo se centra en la obligación legal ya existente de abordar la IA desde la perspectiva de la protección de datos —al implicar en muchos casos el tratamiento de datos personales— y parte de lo requerido en el artículo 24 del RGPD (LA LEY 6637/2016)
, cuando establece que, atendiendo al tratamiento de datos y a su contexto y riesgos, «el
responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas
a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas
se revisarán y actualizarán cuando sea necesario
».
De acuerdo con lo anterior, los siguientes apartados y epígrafes son una reflexión sobre cómo impacta la IA en los actuales esquemas de protección de datos y sobre cómo abordar la necesaria revisión y actualización de las medidas técnicas y organizativas que los mismos contemplan, a los efectos de cumplir en todo momento con lo dispuesto en la normativa de protección de datos.
2.
La inteligencia artificial. Concepto
Nos parece premisa necesaria, antes de avanzar, detenernos en el concepto de IA. No es un término pacífico y la literatura sobre el mismo es abrumadora, pero afortunadamente contamos ya con algunas definiciones de referencia a las que poder recurrir.
Por ejemplo, la establecida por el Grupo de expertos independientes en el marco de las Directrices para una IA fiable en la que se establece que «son sistemas de software (y en algunos casos también de hardware) diseñados por seres humanos que, dado un objetivo complejo, actúan en la dimensión física o digital mediante la percepción de su entorno a través de la obtención de datos, la interpretación de los datos estructurados o no estructurados que recopilan, el razonamiento sobre el conocimiento o el procesamiento de la información derivados de esos datos, y decidiendo la acción o acciones óptimas que deben llevar a cabo para lograr el objetivo establecido».
La propuesta de la Comisión Europea de abril de 2021 de Reglamento de IA también nos puede ayudar a determinar cuando estamos ante un sistema de IA y nos apunta a que habrá que estar a «las principales características funcionales del software, y en particular en su
capacidad para generar
, en relación con un conjunto concreto de objetivos definidos por seres humanos,
contenidos, predicciones, recomendaciones, decisiones u otra información de salida que influyan en el entorno con el que interactúa el sistema
, ya sea en una dimensión física o digital». Concreta, esta Propuesta de Reglamento, en su artículo 3, que se trataría del «software que se desarrolla empleando una o varias de las técnicas y estrategias que figuran en el anexo I y que puede, para un conjunto determinado de objetivos definidos por seres humanos, generar información de salida como contenidos, predicciones, recomendaciones o decisiones que influyan en los entornos con los que interactúa».
En relación con estos conceptos de referencia, la incorporación de una definición de IA en las políticas y procedimientos internos de responsables y encargados parece que resulta muy necesaria a los efectos que, detectado el uso de un sistema IA en relación con un tratamiento de datos personales, se activen las nuevas o ulteriores medidas técnicas y organizativas que habrán adoptado e incorporado con motivo de la previsión del uso de esta tecnología.
3.
Analisis del impacto del uso de la inteligencia artificial en los esquemas de protección de datos
Como decíamos, detectado un sistema de IA como herramienta en un tratamiento de datos personales (por ejemplo, con el propósito de que resulte de ayuda en la toma de decisiones o en la predicción de ciertos aspectos que pueden ayudar a las primeras), dicho sistema, de igual forma que lo hace el tratamiento en el que se integra, deberá cumplir con lo establecido en la normativa de protección de datos.
3.1.
Principios generales
Entrando ya en el contenido más positivo del RGPD, todos conocemos los principios generales que el artículo 5 RGPD (LA LEY 6637/2016) establece: licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad y responsabilidad proactiva.
Pues bien, con la llegada de esta nueva tecnología, parece necesario revisitar cómo tenemos implementados, por defecto y desde el diseño, estos principios generales en nuestras organizaciones, con la finalidad de analizar y determinar si la participación de la IA en los tratamientos debe conllevar modificaciones tales como la incorporación de nuevas previsiones en políticas o normas, o el establecimiento de controles adicionales (ya sean técnicos u organizativos).
Para asegurar el cumplimiento del principio de exactitud, será necesario asegurarlo no solo respecto del tratamiento, sino también respecto de la propia IA
Pongamos ejemplos situando el foco en el sistema de IA: para asegurar el cumplimiento del principio de exactitud, será necesario asegurarlo no solo respecto del tratamiento, sino también respecto de la propia IA; ello nos llevará a establecer, en consecuencia, mecanismos adicionales para asegurar y documentar la bondad de los datos de entrada o de las inferencias que realiza el algoritmo que se pretende utilizar. En el caso del principio de licitud, lealtad y transparencia, parece imprescindible que responsables y encargados nos dotemos de herramientas que nos permitan asegurar y documentar la ausencia de sesgos o de discriminación o concluir la necesidad y proporcionalidad del uso del propio elemento de IA.
3.2.
El deber de transparencia. Los perfilados
En los tratamientos de datos que impliquen elaboración de perfiles, la presencia de herramientas de IA será altamente probable. En consecuencia, en el marco de estos tratamientos, el deber de transparencia, junto con los principios generales antes mencionados, será uno de los aspectos clave a tener en cuenta.
Parece razonable, por tanto, concluir que resultará necesario que responsables y encargados del tratamiento prevean mecanismos que permitan, en relación con los deberes de información, evaluar si los estándares informativos establecidos con carácter general son suficientes o, por el contrario, cuando estamos ante tratamientos que incorporan esta tecnología se debe ir más allá en ese deber de «facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente» que requiere el RGPD.
Adicionalmente, también desde la óptica del deber de transparencia y muy ligado a lo dispuesto en el artículo 22 del RGPD (LA LEY 6637/2016) que abordaremos en el siguiente epígrafe, las organizaciones deberán valorar la información u formación a facilitar a los empleados que creen dicha tecnología o que la operen en el marco de sus respectivas funciones. En este sentido y en palabras de la AEPD, en su primera Guía sobre la IA «la transparencia está ligada con una información veraz sobre la eficiencia, las capacidades y las limitaciones reales de los sistemas de IA, que evite la creación de falsas expectativas, en los usuarios y los interesados, que puedan ocasionar una mala interpretación de las inferencias que se realizan en el marco del tratamiento».
3.3.
Derechos de los interesados: el derecho a no ser objeto de una decisión automatizada
La presencia de herramientas de IA en los tratamientos de datos también debería llevar a las organizaciones y a sus profesionales a valorar ex ante su impacto en los derechos reconocidos por el RGPD y, en consecuencia y siguiendo siempre lo dispuesto en el artículo 24 del RGPD (LA LEY 6637/2016) anteriormente indicado, a revisar y adaptar, en su caso, los procedimientos y medidas establecidas para la correspondiente atención de los mismos.
Especialmente relevante para esta reflexión resulta lo dispuesto en el artículo 22 del RGPD (LA LEY 6637/2016), en virtud del cual «el interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar». Como en el caso de la elaboración de perfiles, muy probablemente las herramientas de IA estén detrás de muchas de las decisiones automatizadas que aparezcan en el marco de tratamientos de datos personales.
Quizás sea por esta previsión expresa del RGPD, o bien porque el Grupo de trabajo del artículo 29 ya analizó en profundidad este aspecto en las «Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679 (LA LEY 6637/2016)» en octubre de 2017, que la revisión de los procedimientos y medidas de las que se han dotado responsables y encargados del tratamiento, para cumplir con este aspecto, se vislumbra como una tarea más sencilla de abordar.
3.4.
Encargados del tratamiento
Trascendental parece el impacto cuando, en el marco de tratamientos de datos con IA, intervengan encargados del tratamiento, ya que el uso de estas tecnologías de terceros implicará unos esfuerzos aún mayores para alcanzar los estándares de lo exigido por el artículo 28 del RGPD (LA LEY 6637/2016)
. Esfuerzos que deberán incorporarse en forma de medidas organizativas o técnicas, por defecto, en los procedimientos internos de selección y contratación de proveedores que ofrezcan estas soluciones.
Es decir, resultará necesario que los responsables se aseguren de que las soluciones de IA que contratan, cumplen y aportan garantías de cumplimiento de la normativa de protección de datos; garantías que, muy probablemente pasarán, entre otras, por exigencias de transparencia sobre soluciones de IA que se contratan y su correspondiente funcionamiento (lo que, ya podemos avanzar, no resultará pacífico).
3.5.
Seguridad del tratamiento
La aplicación de medidas técnicas y organizativas, apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento de datos establecida en el artículo 32 del RGP, también se verá afectada si en el tratamiento detectamos la presencia de elementos de IA.
Resultará, en tal caso, necesario un análisis particular de esa herramienta y de los riesgos adicionales que, para el tratamiento de datos, comporta desde un punto de vista de seguridad (por ejemplo, riesgos derivados de ataques específicos al componente o a los datos de entrada del mismo).
La responsabilidad proactiva nos llevará, sin duda, a reflexionar con carácter general cómo integrar, por defecto, este aspecto y sus particulares riesgos, en los análisis y controles de seguridad que ya se realizan en el marco de los tratamientos.
3.6.
Evaluaciones de impacto en protección de datos
Finalmente, el RGPD determina la necesidad de realizar evaluaciones de impacto en protección de datos cuando sea probable que el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas. Los factores de alto riesgo considerados por las diferentes autoridades de protección incluyen la elaboración de perfiles, la toma de decisiones automatizadas o los tratamientos de datos a gran escala, con lo que, a priori, parece difícil que tratamientos de datos que incluyan IA queden fuera de esta obligación.
Parece que resulta necesario revisar y adecuar las metodologías que responsables y encargados del tratamiento, llevan utilizando desde el 2018
Con ello, parece que resulta absolutamente necesario revisar y, en su caso, adecuar las metodologías que responsables y encargados del tratamiento llevan utilizando desde el 2018, para que contemplen un aspecto más, la IA, de manera que evalúen, como lo hacen para el resto del tratamiento, el cumplimiento de la normativa de protección de datos, así como los riesgos que para los derechos y libertades fundamentales de los titulares de los datos tiene la presencia de esta tecnología.
En este ejercicio de revisión y adaptación —que no se antoja fácil—, las guías de la AEPD (y, más concretamente, las dos guías publicadas en materia de IA, y también la guía de Gestión del riegos y evaluación de impacto en tratamientos de datos personales) pueden ser muy buenos compañeros de viaje.
4.
Reflexiones finales
El fenómeno de la IA, en el marco de la tendencia de sofisticación de la tecnología en el tratamiento y uso de datos personales en los últimos años, está suponiendo un gran reto para la sociedad, los gobiernos y las organizaciones, en general. A la espera de la cristalización de una Propuesta de Reglamento de IA por parte de la Unión Europea, resulta necesario detenerse en las obligaciones que ya impone el marco legal existente: el RGPD, y las normativas nacionales que han publicado los distintos estados miembros.
Partir, por tanto, de lo dispuesto en los esquemas de protección de datos de los que se han dotado y llevan operando desde mayo de 2018 los responsables y encargados del tratamiento, revisándolos y, en su caso, adaptándolos para abarcar este fenómeno, por defecto y desde el diseño, no solo debe permitir a los organizaciones cumplir y demostrar el cumplimiento de la norma en vigor, sino también alcanzar muchos de los estándares éticos que han puesto encima de la mesa documentos tan relevantes como las Directrices Éticas para una IA fiable.
5.
Bibliografia
REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (LA LEY 6637/2016) y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995) (Reglamento general de protección de datos (LA LEY 6637/2016))
Directrices éticas para una IA fiable, abril 2019, del Grupo de expertos de alto nivel sobre IA
Adecuación al RGPD de tratamientos que incorporan IA. Una introducción, febrero 2020
Requisitos para Auditorías de Tratamientos que incluyan IA, enero de 2021
Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de Inteligencia Artificial (Ley de IA) y se modifican determinados actos legislativos de la Unión, 21.4.2021