Regulación del marketing telefónico tras el Brexit

La salida de Reino Unido de Europa entre otros factores ha promovido un cambio en las prácticas de marketing de muchas empresas británicas, que pretenden ahora orientarse hacia el marketing telefónico. En este blog repasamos los requisitos que deben cumplirse para hacerlo en cumplimiento con la normativa ePrivacy. 

Las empresas británicas ya no están amparadas por el principio de la aplicación de la norma del país de origen recogido en el ePrivacy cuando realicen marketing a otros países europeos, con lo que muchas de ellas están buscando alternativas que no impacten en sus prácticas comerciales. ¿Son realmente las normas sobre marketing telefónico menos estrictas que aquellas que regulan los correos electrónicos? 

¿Dice la Directiva ePrivacy sobre las comunicaciones no solicitadas?

Conforme a la Directiva ePrivacy “Los Estados miembros tomarán las medidas adecuadas para garantizar, que, sin cargo alguno, no se permitan las comunicaciones no solicitadas con fines de venta directa […], bien sin el consentimiento del abonado, bien respecto de los abonados que no deseen recibir dichas comunicaciones. La elección entre estas dos posibilidades será determinada por la legislación nacional.”

Así por tanto, es la normativa nacional que transpone la Directiva ePrivacy en cada Estado Miembro la que establece las normas que deben aplicarse en cada país.  

El principio de la aplicación de la norma del país de origen permite basar la comunicación en las normas menos estrictas del propio país, siempre y cuando éste forme parte del Mercado Único Europeo. Sin embargo, tras el Brexit esto ya no se aplica a las empresas de Reino Unido, con lo que tendrán que basarse en la normativa del país de destino cuando realicen marketing directo en países de la UE.  

Llamadas automáticas

Las llamadas automáticas están sujetas a requisitos más estrictos. Acorde a la Directiva ePrivacy, el uso de llamadas automáticas sin intervención humana, en lo que se incluyen los fax, con finalidad de marketing directo están sólo permitidas en relación a aquellos sujetos que han otorgado su consentimiento previo. 

El consentimiento general para marketing o incluso el consentimiento para llamadas no automáticas no sería suficiente, pues se precisa que sea explícito. 

Marketing telefónico desde Reino Unido

En países de la UE

Las empresas de Reino Unido que quieran publicitar sus productos y servicios a otras empresas o sujetos en países de la UE mediante llamadas telefónicas, deberán comprobar la normativa nacional, en concreto: 

  1. Si se requiere consentimiento;
  2. Si no se requiere consentimiento, si el número de teléfono está listado en los ficheros nacionales de exclusión publicitaria, o si el sujetos ha otorgado su consentimiento explícito para recibir llamadas de dicha empresa en particular. 

La mayoría de países de la UE han optado por ficheros de exclusión publicitaria en lugar del requisito de consentimiento, si bien se deberá comprobar caso por caso. 

En Reino Unido 

Las empresas de Reino Unido que quieran efectuar llamadas de marketing a otras empresas o sujetos en Reino Unido deberán seguir los siguientes pasos: 

  1. Comprobar si el número está incluido en los registros TPS o CTPS.
  2. Comprobar si el sujeto se ha opuesto a recibir llamadas de ellos. 

En resumen, se podrán realizar llamadas de marketing de manera libre a no ser que la persona se haya opuesto a las mismas o esté registrada en el TPS o CTPS. No se debería efectuar ninguna llamada de marketing a no ser que la persona haya consentido de manera específica a las llamadas de dicha empresa. El marketing telefónico está prohibido cuando se trate de servicios de gestión de reclamaciones, salvo si la persona ha otorgado su consentimiento específico a las mismas. 

Las llamadas en relación a los esquemas de pensiones están sujetas a  normas especiales. 

Marketing telefónico desde España

En países de la UE

España es un Estado Miembro, con lo que puede basarse en el principio de la aplicación de la normativa del país de origen. Así por tanto, los pasos a continuación detallados para el marketing telefónico en España se aplicarán también para el marketing telefónico en otros países de la UE.

En España

Antes de proceder con una llamada de marketing telefónico en España, se deberán comprobar los siguientes aspectos: 

  1. Comprobar si el número está incluido en un fichero de exclusión publicitaria como la Lista Robinson.
  2. Comprobar si el sujeto se ha opuesto a recibir llamadas de la empresa. 

Requisitos adicionales

Una vez que se ha determinado que la llamada puede realizarse en cumplimiento con la normative relevante, se deben aplicar una serie de requisitos adicionales: 

  • Informar sobre quién llama;
  • Permitir que se muestre el número (o un número alternativo de contacto) en la pantalla de la persona que recibe la llamada; 
  • Explicar dónde está disponible la política de privacidad del responsable y
  • Ofrecer una dirección de contacto o número gratuito si lo solicitan.

Actualización de la normativa ePrivacy de la UE

Como informamos en uno de nuestros últimos blogs, a principios de este mes los Estados Miembro negociaron un mandato para la revisión de la normativa ePrivacy, que sustituiría la actual Directiva ePrivacy y comenzaría a aplicarse dos años después de su publicación en el Diario Oficial de la UE. El Reglamento ePrivacy podría introducir nuevas normas sobre marketing telefónico, como la obligación de presentar la identificación de la línea que llama o utilizar un Código o prefijo específico que indique que la llamada se trata de una llamada de marketing.  

 

¿Realizas marketing telefónico? ¿Has implementado todas las medidas necesarias en cumplimiento de las normas ePrivacy y el resto de la normativa aplicable? Podemos ayudarte. Aphaia ofrece servicios de consultoría para la directiva ePrivacy, el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de DatosInfórmate aquí.

La AEPD publica

La AEPD publica una guía para auditorías de tratamientos que incluyan IA

La AEPD ha publicado una guía que incluye una serie de requisitos que deberían aplicarse en las auditorías de tratamientos que incluyan componentes de IA 

A principios de este mes, la AEPD publicó una guía sobre los “Requisitos para Auditorías de Tratamiento que incluyan IA”, donde elabora sobre los principales controles que deberían aplicarse a las auditorías de actividades de tratamiento que comprendan componentes de IA. 

Las auditorías son parte de las medidas técnicas y organizativas reguladas en el RGPD y se consideran esenciales para configurar una óptima protección de los datos personales. La guía de la AEPD contiene una lista de controles entre las que el auditor habrá de seleccionar las que considere adecuadas para su caso concreto, en función de varios factores, como: la forma en la que el tratamiento puede influir en el cumplimiento con el RGPD, el tipo de componente de IA empleado, la categoría de actividades de tratamiento y los riesgos que estas suponen para los derechos y libertades de los sujetos.  

Características especiales de la metodología en las auditorías de IA 

La AEPD señala que el proceso de auditoria debería articularse en torno a los principios recogidos en el RGPD, a saber: licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad, y responsabilidad proactiva.

La AEPD también aclara que no se espera una aplicación conjunta de todos los controles detallados en la guía, sino que se deberán seleccionar en cada caso los que sean más relevantes según el alcance de la auditoría y los objetivos perseguidos.  

¿A qué tipo de tratamientos se aplican estos requisitos y quién debería cumplir con ellos? 

Las siguientes premisas serán necesarias para decidir sobre la idoneidad de los requisitos de la guía en un determinado proceso de auditoría:

  • Existe, o se pretende realizar, un tratamiento de datos personales en alguna de las etapas del ciclo de vida del componente IA o
  • El tratamiento se dirige a perfilar al individuo o a ejecutar decisiones automáticas sobre personas físicas que tengan efectos jurídicos sobre ellas o les afecten significativamente.

La AEPD establece que en algunas situaciones podría ser recomendable desarrollar una serie de evaluaciones previas antes de progresar con la auditoria, como serían, entre otros, un análisis previo del grado de anonimización alcanzado para los datos utilizados en el tratamiento en general y por el componente en particular, el cálculo o estimación del posible riesgo de reidentificación que existe, o una evaluación del cálculo del riesgo de pérdida de datos en la nube.

La guía está especialmente dirigida a responsables que han de auditar tratamientos que incluyan componentes basados en IA, a encargados y desarrolladores que quieran ofrecer garantías sobre sus productos y servicios, a los Delegados de Protección de Datos y a los equipos de auditores cuando se ocupen de la evaluación de dichos tratamientos.

Objetivos de control y controles

El contenido principal de la guía está constituido por cinco áreas de auditoria que se dividen en varios objetivos, los cuales a su vez contienen los diferentes controles entre los cuales los auditores, o la persona a cargo del proceso según corresponda, podrán hacer su selección para el caso concreto que les ocupe. 

La AEPD ofrece una lista exhaustiva que abarca más de cien controles, los cuales hemos resumido en los próximos párrafos. 

  • Identificación y transparencia del componente

Este área comprende los siguientes objetivos: inventario del componente IA auditado, identificación de responsabilidades y transparencia. 

La AEPD enfatiza la importancia de conservar registros tanto del componente -entre los que se incluyen el identificador, la version, la fecha de creación y el histórico- como de las personas que se encuentran a cargo del proceso -entre otros, sus datos de contacto, funciones y responsabilidades-. Se dan también algunas consideraciones en cuanto a la información que debe estar disponible para las partes interesadas, especialmente en lo que se refiere a las fuentes de datos, las categorías de datos involucradas, el modelo, la lógica y los mecanismos de rendición de cuentas.  

  • Propósitos del componente IA

Se dan numerosos objetivos dentro de esta segunda área: identificación de las finalidades, usos previstos y contexto de uso del componente IA, análisis de proporcionalidad y necesidad, determinación de los destinatarios de los datos, limitación de la conservación de datos y análisis de las categorías de interesados. 

Los controles asociados a estos objetivos se basan en los estándares y requisitos necesarios para alcanzar los resultados deseados y los elementos que pueden afectar a dichos resultados, como por ejemplo los factores condicionantes, las condiciones socioeconómicas y la distribución de tareas, entre otros, para lo cual se recomienda realizar un análisis de riesgos y una evaluación de impacto. 

  • Fundamentos del componente IA

Este área se construye sobre los siguientes objetivos: identificación de la política de desarrollo del componente IA, implicación del DPD, adecuación de los modelos teóricos base y del marco metodológico e identificación de la arquitectura básica del componente. 

Los controles definidos en esta sección se relacionan en esencia con los elementos formales del proceso y la metodología aplicada, y se enfocan a asegurar la interoperabilidad entre la política de desarrollo del componente de IA y la política de privacidad, a definir los requisitos que debería cumplir el DPD y garantizar su oportuna participación, así como a fijar los procesos de revisión correspondientes. 

  • Gestión de los datos

La AEPD detalla cuatro objetivos para este área: aseguramiento de la calidad de los datos, determinación del origen de las fuentes de datos, preparación de los datos y control de sesgo. 

Mientras que la protección de datos es en efecto el ‘leitmotiv’ de toda la guía, esta materia está en especial presente en este capítulo, el cual cubre aspectos como el gobierno del dato, la distribución de variables y proporcionalidad, las bases legítimas de tratamiento, la lógica en la selección de las fuentes de datos y la categorización de los datos y las variables. 

  • Verificación y validación

Son siete los objetivos que se persiguen bajo esta área: adecuación del proceso de verificación y validación del componente IA, verificación y validación del componente IA, rendimiento, coherencia, estabilidad y robustez, trazabilidad y seguridad. 

Los controles que se incluyen en este área se centrar en asegurar el cumplimiento con la normativa de protección de datos durante la implementación y uso continuados del componente de IA, y se buscan garantías sobre la existencia de normas y estándares que permitan la verificación y validación de los procesos una vez que se ha integrado el componente IA, una planificación para inspecciones internas, un análisis de falsos positivos y falsos negativos, un proceso para encontrar anomalías y la identificación de comportamiento inesperado, entre otros. 

Notas finales

La AEPD concluye con un recordatorio sobre el hecho de que la guía contiene un enfoque de protección de datos para la auditoria de componentes IA, lo cual implica, por un lado, que podría requerir ser complementada con controles adicionales derivados de otras perspectivas y, por otro, que no todos los controles serán importantes para cada caso, pues deberán ser seleccionados conforme a las necesidades concretas de las circunstancias, en consideración del tipo de tratamiento, los requisitos impuestos por el cliente, las características especiales de la auditoria y su alcance y los resultados de la evaluación de riesgos. 

¿Utilizas IA en tu empresa? El futuro marco regulatorio de la UE podría afectarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de la ética de la IA y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Cláusulas Contractuales Tipo

La Comisión Europea publica una propuesta de nuevas Cláusulas Contractuales Tipo

El pasado 12 de noviembre, la Comisión Europea publicó el borrador de decisión mediante la cual se proponen unas nuevas Cláusulas Contractuales Tipo para la transferencia de datos personales a terceros países.

La sentencia del TJUE sobre el caso Schrems II ha puesto de manifiesto algunas deficiencias presentes en las salvaguardas aplicadas a las transferencias de datos internacionales. Además de anular el Privacy Shield, el Tribunal estipuló que se requerían algunas medidas adicionales para que las Cláusulas Contractuales Tipo (SCCs) ofreciesen consistencia suficiente para garantizar que los interesados reciben un nivel de protección de sus datos personales equivalente a aquel garantizado por el RGPD y la Carta Europea de Derechos Fundamentales.  

Puedes leer más sobre las implicaciones prácticas de la sentencia Schrems II en nuestro blog.

¿Cuáles son las novedades?

En respuesta a las advertencias señaladas por el TJUE en relación al uso de SCCs, la Comisión Europea ha publicado un borrador de decisión que contiene un conjunto de nuevas cláusulas para transferencias de datos personales a terceros países, e incluye cinco cambios principales respecto de las actuales cláusulas aprobadas bajo la Directiva 95/46/CE: 

  • Enfoque modular para cubrir diferentes escenarios de transferencias, incluidas aquellas entre encargado y responsable y encargado y sub-encargado. 
  • Se podrían adherir a las SCC más de dos partes, y responsables y encargados adicionales podrían acceder a las mismas en cualquier momento del ciclo de vida del contrato. 
  • Deberían ofrecerse salvaguardas adicionales para garantizar un nivel de protección de datos personales equivalente al que garantiza el RGPD. 
  • Si lo solicitasen, los interesados deberían recibir una copia de las SCC. Asimismo, tendrían que ser notificados de cada cambio de finalidad y de la identidad de cualquier tercero a quienes se le enviasen los datos. 
  • El importador de los datos tendría que aportar a los sujetos, de manera transparente y mediante un formato accesible que puede ser notificación individual o publicación en la página web, de un punto de contacto autorizado para gestionar las quejas o solicitudes. 

Enfoque modular y ámbito territorial

Las nuevas SCCs han sido concebidas para suplir algunas de las deficiencias de las actuales cláusulas, como lo es la limitación en el tipo de transferencias que hasta ahora han podido encuadrarse en este instrumento. Mientras que las actuales cláusulas fueron diseñadas para respaldar las transferencias internacionales entre, por un lado, responsables europeos y responsables no europeos y, por otro, entre responsables europeos y encargados no europeos, las nuevas combinan un conjunto de cláusulas generales con otras modulares que permitirían a los responsables y encargados seleccionar el módulo aplicable a su situación y adaptar sus obligaciones a las correspondientes funciones y responsabilidades. En cuanto a las restricciones geográficas, las nuevas SCC no requieren que el exportador esté en la Zona Económica Europea, lo cual también aumenta el número de escenarios que podrían someterse a esta salvaguarda.  

Salvaguardas adicionales

Las nuevas SCCs estipulan algunas obligaciones que deberían cumplir las partes a fin de garantizar un nivel adecuado de protección de los datos personales. Las medidas adicionales que las nuevas SCC impondrían son, entre otras, las siguientes: 

  • Aplicación de requisitos adicionales para acordar cómo se gestionarían las solicitudes vinculantes de cesión de datos emitidas por las autoridades del tercer país.
  • Evaluación de riesgo realizada por el exportador para determinar si existen razones que pueden hacer creer que las leyes aplicables al importador de los datos no se ajustan a los requisitos recogidos en las SCCs. A este fin, deberían considerarse algunos elementos clave, como:
    • Duración del contrato.
    • Naturaleza de los datos transferidos.
    • Tipo de receptor.
    • Finalidad del tratamiento.
    • Cualquier experiencia práctica que pueda ser relevante e indique la existencia o ausencia de solicitudes precias de cesión de datos por parte de autoridades públicas recibidas por el importador para los tipos de datos transferidos. 
    • Leyes del país de destino que sean relevantes a la luz de las circunstancias de la transferencia. 
    • Medidas técnicas y organizativas que se apliquen durante la transmisión y tratamiento de los datos. 
  • Obligación del importador de notificar al exportador cualquier solicitud vinculante de cesión de datos emitida por una autoridad pública bajo la ley del país de destino o informar sobre cualquier acceso directo a los datos por parte de dichas autoridades. 

Período de gracia

Una vez aprobadas, estas SCCs reemplazarían a las actuales. Se ofrece a estos efectos un período de gracia de un año para incorporar las nuevas cláusulas a los contratos correspondientes. Durante este período, se podrán seguir realizando transferencias sobre la base de las actuales SCCs, excepto que dichos contratos se modifiquen.  En tal caso, las partes perderán el beneficio del período de gracia y deberán adoptar las nuevas cláusulas. Si la modificación de los contratos se hace a los solos efectos de introducir medidas de salvaguarda adicionales conforme a la sentencia del caso Schrems II, las partes podrán seguir beneficiándose del período de gracia.  

 

El borrador queda abierto a consulta pública hasta el 10 de diciembre.

 

¿Realizas transferencias internacionales de datos a terceros países?  Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.

Implantes Neuronales y Ética de la IA

Implantes Neuronales y Ética de la IA

Los riesgos derivados del uso de IA en implantes neuronales ponen en evidencia la necesidad de regular la ética de la IA. 

En nuestro último vlog hablamos sobre la interacción entre implantes neuronales y el RGPD. En esta segunda parte exploramos cómo la ética de la IA se aplica a los implantes neuronales. 

¿Cuál es el papel de la IA en los implantes neuronales?

La IA es el elemento puente entre los implantes neuronales y las personas que trabajan con ellos, pues la IA ayuda a traducir las señales eléctricas en un lenguaje comprensible para el ser humano.  

El proceso se comprende normalmente de dos fases: primero, los datos neuronales se recogen de las señales del cerebro y estas se transforman en números. Después, dichos números se decodifican y se convierten en lenguaje natural, que puede ser cualquier idioma que se programe. Este proceso funciona del mismo modo en el sentido inverso. 

¿Por qué la ética de la IA es importante en los implantes neuronales?

En función de cuán fan de la ciencia ficción seas, las palabras “implante neuronal” pueden evocarte algunos títulos de películas y series. Si eres más entusiasta de los periódicos que de Netflix, quizá ya tengas en mente varias investigaciones médicas que han utilizado implantes neuronales. La realidad concilia ambos enfoques. 

Los implantes neuronales han sido parte de la investigación médica y científica desde hace más de 150 años, cuando en 1870 Eduard Hitzig y Gustav Fritsch llevaron a cabo una serie de experimentos en perros mediante los cuales probaron ser capaces de generar movimiento a través de estimulación eléctrica de algunas partes del córtex cerebral. Desde entonces se ha logrado un progreso significante en la materia, y actualmente se estudian los implantes neuronales con diversas finalidades como, entre otras, el control de actividad anormal en el cerebro a fin de activar las medidas correspondientes.

También se han explorado aplicaciones militares con esta tecnología. Por ejemplo, la DARPA lleva desde 2006 trabajando en el desarrollo de implantes neuronales para controlar de manera remota a los tiburones, lo cual se podría potencialmente emplear para conseguir información sobre barcos enemigos y explosivos acuáticos.

Los últimos avances en este campo vienen de la mano de Neuralink, la compañía de neurotecnología fundada por Elon Musk y cuya página web afirma que su product “permitiría controlar los dispositivos iOS, el teclado y el ratón directamente con la actividad cerebral, tan sólo pensando en ello”. El objetivo perseguido es la creación de una interfaz que habilitase una conexión entre los dispositivos y los cerebros de las personas.  

Mientras que este desarrollo puede tener un gran impacto positivo en el progreso tecnológico, también podría mermar los derechos y libertades de los individuos, con lo que es esencial contar con regulación que establezca límites. Mientras que la protección de datos está actualmente desempeñando un rol importante en este sentido, podría no ser suficiente cuando se efectúen mayores avances. La ética de la IA podría suplir esta carencia. 

¿Cómo puede ayudar la ética de la IA?

La ética de la IA podría suponer un marco normativo para ofrecer las garantías necesarias a las innovaciones tecnológicas en hardware y software destinado a restaurar o mejorar las capacidades humanas, impidiendo así que se deriven altos riesgos para los derechos y libertades de los individuos. El hecho de que algo sea posible no implica que debería hacerse. 

La ausencia de regulación apropiada podría incluso ralentizar los procesos de investigación e implementación, pues algunas aplicaciones entraría en conflicto directo con los derechos humanos y normativa ya en vigor. 

Acción y supervisión humanas

Conforme a los principios de la ética de la IA definidos por el AI-HLEG en sus “Directrices éticas para una IA Fiable”, la acción y supervisión humanas es clave en los implantes neuronales, aunque su implementación práctica podría ser difícil. 

La acción y supervisión humanas establece que los seres humanos deben ser capaces de tomar decisiones informadas cuando se aplica IA. Mientras que este requisito puede ser bastante claro en algunos usos médicos donde el profesional analiza la actividad neuronal recogida por los implantes, podría no ser el caso en otros escenarios. La fusión entre inteligencia biológica y artificial junto al hecho de que realmente no podemos saber qué tipo de información o, al menos, ser conscientes de cada dato que podría recogerse de la actividad neuronal hace complicado que pudiese afirmarse que una decisión es informada sobre todo en aquellas circunstancias en las que ésta es tomada por el mismo sujeto sobre cuyo cerebro están actuando los implantes. 

Solidez técnica y seguridad

La robustez técnica y la seguridad es otro de los principios que deberían priorizarse en el desarrollo de implantes neuronales. La absoluta naturaleza sensible de los datos y la conexión directa con el cerebro hace necesario que la tecnología sea completamente impenetrable. Si ya una brecha que compromete datos biométricos podría tener resultados catastróficos, los daños que un ataque al cerebro de las personas podría ocasionar es simplemente inmensurable. 

Privacidad y gobierno del dato

Acorde al principio de privacidad y gobierno del dato, se debe garantizar complete cumplimiento de la normativa correspondiente, incluidos los mecanismos de gobierno del dato, su calidad e integridad y el acceso legítimo a los mismos. Consideramos que las bases legítimas para un tratamiento de datos válido recogidas en el RGPD debería redefinirse, pues su actual aplicación podría no ser del todo extrapolable a un contexto que incluya implantes neuronales.  Relacionado con el principio de acción y supervisión humana y en línea con nuestro último blog en la materia, un sujeto no podría otorgar consentimiento con las condiciones impuestas por el RGPD cuando se trate de datos recogidos por implantes neuronales, porque la información recogida no podría identificarse o controlarse con antelación. El proceso debería rediseñarse para configurar un consentimiento dividido en dos etapas, donde la segunda tendría cabida después de la recogida de datos pero antes de que ningún tratamiento ulterior tuviese lugar.  Dada la rápida evolución de la tecnología y el estado del arte actual, los períodos de conservación de los datos también tendrían que configurarse de una manera distinta, pues investigaciones y desarrollos posteriores podrían potencialmente revelar y extraer datos adicionales, para cuyo tratamiento no se tendría base legítima, a partir de datos que sí se están tratando conforme a una base válida. 

El escándalo de Cambridge Analytica puede funcionar aquí también como un buen ejemplo de los resultados no deseados que pueden derivarse de tratamientos de datos masivos sin las garantías, las medidas ni las limitaciones apropiadas. Este caso tuvo como consecuencia una serie de campañas publicitarias que influyeron en los resultados electorales. Si bien este efecto ya fue de una naturaleza grave, si esto mismo hubiese ocurrido en un escenario donde los implantes neuronales se estuviesen aplicando de manera efectiva, el daño ocasionado podría haber sido irreparable.  

Transparencia

El principio de transparencia está directamente relacionado con el de privacidad y el gobierno del dato, pues la obligación de informar al interesado sobre todos los detalles del tratamiento de datos es uno de los pilares sobre los que se sostiene el RGPD. Mientras que esta tecnología se encuentre en fase de desarrollo, no se podrá cumplir con este requisito de manera óptima, pues siempre habrá vacíos en las capacidades y limitaciones del sistema. Se deberían diseñar provisiones específicas que estableciesen la información mínima que debe entregarse a los sujetos cuando se utilicen implantes neuronales.  

Diversidad, no discriminación y justicia

El principio de diversidad, no discriminación y justicia debería observarse para evitar cualquier tipo de sesgo negativo y la marginalización de grupos vulnerables. Este principio es doble: por un lado, concierne al diseño de los implantes neuronales y la IA que la gobierna, la cuál debería ser entrenada para evitar tanto sesgos humanos, como sus propios sesgos, y también aquellos resultantes de la combinación de ambos por la interacción entre humanos (cerebro) y la IA (implantes). Por otro lado, debería asegurarse que las barreras de acceso a esta tecnología no crean graves desigualdades sociales. 

Bienestar social y medioambiental

El impacto de los implantes neuronales en el bienestar social y medioambiental debería considerarse con cautela. Esta tecnología puede ayudar a personas con capacidades diversas, pero tendrían que ser asequibles para todo el mundo. Ha de señalarse que los implantes neuronales no sólo pueden utilizarse para tratamiento médico sino también para lograr seres humanos mejorados en sus capacidades y habilidades, lo cual actuaría en detrimento de aquellos que no pudiesen permitírselo. 

Rendición de cuentas

La naturaleza crítica de las aplicaciones de implantes neuronales hace que se necesiten políticas de auditoria para evaluar a los algoritmos, los datos y los procesos. Se debería garantizar un Sistema de reparación accesible y adecuado que permitiese, por ejemplo, contactar con todos los sujetos que estén utilizando una versión de los implantes neuronales que tiene deficiencias y vulnerabilidades.  

Ejemplos

En la siguiente tabla combinamos nuestro anterior artículo con este para ofrecer algunos ejemplos de aplicaciones de implantes neuronales en relación a los principios tanto del RGPD como de la ética de la IA con los que se vincularían. A estos efectos, usaremos el siguiente caso como base para desarrollarlo: “Tratamiento de la depresión mediante estimulación neuronal”. En cada fila se explica cuál sería el principio del RGPD o de la ética de la IA que entraría en aplicación:

Caso de uso Principios de la ética de la IA Principios o requisites del RGPD
Revisiones regulares por parte de los profesionales médicos para decidir si el tratamiento es efectivo. Acción y supervisión humanas. Intervención humana.
Un acceso ilegítimo a los implantes neuronales y la manipulación de los mismos tendría un impacto negativo sobre la salud del paciente, y además revelaría información sobre una categoría especial de datos.  Solidez técnica y seguridad. Medidas técnicas y organizativas.
El tratamiento de los datos es necesario para ofrecer tratamiento médico.  Privacidad y gobierno del dato. Base legítima para el tratamiento.
Se debería ofrecer información complete acerca de los detalles del tratamiento antes de proceder con el mismo.  Transparencia. Explicación.
Nadie debería ser excluido del tratamiento y recibir una alternativa menos eficiente simplemente por incapacidad económica para afrontarlo.  Diversidad, no discriminación y justicia. Evitar resultados discriminatorios.
Si el tratamiento afecta de manera negativa al comportamiento del paciente y puede suponer un riesgo para la sociedad, se deberán aplicar medias y garantías correspondientes.  Bienestar social y medioambiental. Excepciones para finalidades estadísticas y de investigación.
El hospital o el Estado deberían hacerse responsable de los daños causados por el uso de los implantes neuronales.  Rendición de cuentas. Rendición de cuentas.

 

En nuestro vlog exploramos las posibilidades que presenta la ética de la IA en el uso de implantes neuronales:

Y si quieres aprender más sobre la ética y la regulación de la IA, visita nuestro canal de YouTube.

 

Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactocumplimiento con la CCPAevaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.