Sandbox de regulación de Inteligencia Artificial en la UE: se lanza el primer piloto

El Gobierno de España y la Comisión Europea han lanzado recientemente el programa piloto para el primer sandbox de regulación de IA. 

 

El Gobierno de España y la Comisión Europea presentaron el mes pasado un programa piloto del primer sandbox de regulación de Inteligencia Artificial. Este sandbox está enfocado a reunir a las autoridades competentes y a las empresas que desarrollan IA para determinar las mejores prácticas que guíen la implementación del futuro Reglamento de IA de la Comisión Europea (Reglamento de Inteligencia Artificial). Se ha fijado un plazo de dos años para la implementación de dicha legislación. De acuerdo a este informe de la Comisión Europea, esta iniciativa del Gobierno de España pretende operacionalizar los requisitos del futuro Reglamento de IA y otros aspectos, incluidas las evaluaciones de conformidad y las actividades posteriores de comercialización.  

 

El sandbox de regulación de IA creará una oportunidad para que innovadores y reguladores se reúnan y colaboren. 

 

Este sandbox presenta una forma de conectar a innovadores y reguladores en un entorno controlado para impulsar la cooperación entre ellos. El objetivo es facilitar el desarrollo, la prueba y la validación de sistemas de IA innovadores con total cumplimiento de los requisitos del Reglamento de IA. Se espera que esta iniciativa clarifique las mejores prácticas en la materia, fáciles de seguir y preparadas para el futuro, y que proporcione otras recomendaciones. Los resultados deberían facilitar la implementación de las normas por parte de las empresas, en concreto PyMEs y start-ups. 

 

Los resultados del piloto determinarán las orientaciones para la implementación y uso de IA a lo largo de la Unión Europea. 

 

Esta experiencia piloto permitirá documentar y sistematizar las obligaciones de los proveedores de IA y cómo estas deben implementarse, en forma de buenas prácticas y directrices de aplicación. Estas guías también incluirán métodos de control y seguimiento enfocadas a las autoridades de control que supervisen los mecanismos establecidos por el Reglamento. Si bien este proyecto está financiado por el Gobierno de España, queda abierto a otros Estados Miembro y podría potencialmente convertirse en un sandbox de regulación paneuropeo. Se espera que esta iniciativa refuerce la cooperación de todos los actores a un nivel europeo. La cooperación a nivel de la UE con otros Estados miembros se llevará a cabo en el marco del Grupo de Expertos sobre IA y Digitalización de las Empresas creado por la Comisión.

¿Tu app o tus servicios utilizan IA y necesitas ayuda para cumplir con la normativa aplicable? Podemos ayudarte. Realizamos Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y ofrecemos subcontratación del Delegado de Protección de Datos, entre otros servicios. Infórmate aquí.

La autoridad de control de Hungría multa a un banco por tratamiento ilegítimo de datos

El Banco de Budapest ha sido multado por la autoridad de control de Hungría por tratamiento ilegítimo de datos personales derivado del uso de sistemas de IA sin la suficiente transparencia. 

 

El Banco de Budapest ha sido multado recientemente por la autoridad de control de Hungría por realizar análisis automatizados de la satisfacción de los consumidores mediante el uso de IA en las llamadas de atención al cliente. Este tratamiento no se explicaba de manera clara a los interesados y derivó en una investigación sobre las acciones del responsable y sus prácticas de tratamiento de datos, en concreto en relación al análisis automatizado. La información obtenida en la investigación supuso la imposición de una multa de aproximadamente 650.000 €.

 

El nivel de satisfacción de los clientes se evaluaba a través de llamadas grabadas mediante tecnología de IA, sin informar a los interesados del tratamiento. 

 

El responsable de los datos grababa todas las llamadas de atención al cliente con el objetivo de analizarlas de manera diaria. A través de tecnología IA, se identificaban ciertas palabras clave para determinar el estado emocional del cliente en cada grabación. El resultado del análisis se almacenaba, se vinculaba a la llamada telefónica y se guardaba en el sistema durante 45 días.  El objetivo de este sistema de IA es recopilar una lista de clientes ordenada por su probabilidad de insatisfacción conforme a la grabación del audio obtenido durante la llamada. Según estos datos, se espera que determinados empleados llamen a los clientes en un esfuerzo de evaluar las razones de su insatisfacción. Los sujetos no eran informados de este tratamiento, lo que hacía imposible que ejercitasen su derecho de oposición. 

 

Los análisis indicaban que el tratamiento suponía un alto riesgo para los sujetos. 

 

Aunque el responsable del tratamiento realizó una evaluación de impacto y una evaluación de interés legítimo que confirmaron que el tratamiento implicaba un alto riesgo para los derechos de los interesados, no se llevó a cabo ninguna acción para mitigar los riesgos. Ninguno de estos análisis incluía una plan para reducir el riesgo y las medidas que se habían identificado sobre el papel eran insuficientes o inexistentes. Debido a que es difícil utilizar IA de manera completamente transparente y segura y a que se pueden derivar resultados sesgados, en estos casos se precisan medidas de seguridad adicionales. 

 

La autoridad de control de Hungría requirió al responsable adaptar sus sistemas y tratamientos para cumplir con la normativa, así como el pago de una multa administrativa. 

 

La autoridad de control de Hungría consideró que se trataba de un incumplimiento grave de varios artículos del RGPD, y también consideró el período de tiempo por el cual dichas infracciones persistieron. En consecuencia, requirió al responsable que cesase el tratamiento del estado emocional de sus clientes y que solo continuase con el mismo si podía hacerlo en cumplimiento con el RGPD. Además de tener que adaptar sus sistemas y prácticas, se le impuso una multa administrative de aproximadamente 650.000 €.

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

El ICO multa a Clearview por tratamiento ilegítimo de datos

El ICO ha multado a Clearview AI Inc con más de 8 millones de euros y le ha ordenado que elimine de su base de datos las fotos y la información de los residentes de Reino Unido. 

 

El ICO ha multado a Clearview AI Inc con más de 8 millones de euros por utilizar imágenes de personas, incluidas de residentes de Reino Unido, que eran extraídas de páginas web y perfiles de redes sociales con el fin de crear una base de datos global enfocada al uso de reconocimiento facial.  La ICO ha ordenado a la compañía que elimine todos los datos de los residentes de Reino Unido y que deje de recoger y tratar esta información. 

 

Clearview ofrece a sus clientes un servicio que les permite encontrar información de alguien en su base de datos, mediante el uso de software de reconocimiento facial. 

 

Clearview AI Inc ha acumulado más de 20 billones de imágenes faciales y datos de sujetos de todo el mundo mediante información que está disponible de manera pública en internet y plataformas de redes sociales y ha utilizado estos datos para crear una base de datos online, enfocada a perfeccionar el software y las prácticas de reconocimiento facial. Sin embargo, no se informaba a los usuarios de la recogida y uso de sus imágenes. El servicio ofrecido por esta compañía permitía a sus clientes, incluida la policía, subir una imagen de una persona a la app de la compañía, la cual entonces comparaba la imagen con todas las de la base de datos con el fin de encontrar coincidencias. Este proceso normalmente resultaba en una compilación de una lista de imágenes con similares características a aquellas de la foto adjuntada por el cliente y también incluía un enlace a las páginas web de las que dichas imágenes fueron tomadas. 

 

La base de datos de Clearview’s incluye una gran cantidad de datos de residentes de Reino Unido, lo cual es considerado “inaceptable” por parte del Comisionado de Reino Unido. 

 

En consideración del volumen de usuarios de internet y redes sociales en Reino Unido, es altamente probable que la base de datos de la compañía incluyese grandes cantidades de datos de residentes de Reino Unido, los cuales eran recogidos sin el consentimiento de los mismos. Mientras que Clearview ha dejado de ofrecer estos servicios a organizaciones de Reino Unido, la compañía todavía tiene clientes en otros países y continúa utilizando datos personales de residentes de Reino Unido, los cuales quedarían disponibles para los clientes internacionales. En un comunicado del ICO, John Edwards, el Comisionado de Información de Reino Unido afirmó:  “Clearview AI Inc ha recogido múltiples imágenes de personas en todo el mundo, incluido el Reino Unido, de una gran variedad de páginas web y perfiles de redes sociales y ha creado una nace de datos de más de 20 billones de imágenes. La compañía no sólo permite la identificación de dichas personas, sino que también monitoriza su comportamiento y ofrece un servicio comercial. Esto es inaceptable y ese es el motive por el cual hemos actuado para proteger a la gente de Reino Unido tanto mediante la multa como mediante la expedición del requerimiento”. 

 

La ICO consideró que la compañía había infringido las leyes de protección de datos de Reino Unido, lo que resultó en que Clearview fuese multada. 

 

A través de esta investigación, el ICO descubrió que Clearview AI estaba utilizando datos de personas de Reino Unido de una forma que no es justa ni transparente, teniendo en cuenta que los sujetos no eran conscientes de dicho tratamiento y tampoco se podría esperar de manera razonable que sus datos se usasen de tal manera. La compañía tampoco tiene establecido ningún proceso para eliminar los datos después de un determinado período de tiempo, ni para evitar que los datos recogidos se utilicen indefinidamente. Asimismo, Clearview no tenía ninguna base legítima para la recogida de los datos. Los datos recogidos y tratados por la compañía se consideran categorías especiales de datos personales, que requieren estándares mayores bajo el UK GDPR, los cuales no fueron cumplidos por Clearview. Además, la empresa exigía el envío de información adicional a fin de gestionar las solicitudes vinculadas con el ejercicio del derecho al olvido, lo cual habría actuado como un elemento disuasorio para los interesados. Estas infracciones han resultado en que Clearview haya sido multada con más de 8 millones de euros y además el ICO le ha solicitado la eliminación de su base de datos de todos los datos de residentes de Reino Unido. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

La CNIL publica recursos de IA para apoyar a los profesionales

La CNIL publica una serie de recursos de IA en un esfuerzo por ayudar a los profesionales a cumplir con las normas aplicables. 

 

El incremento del uso de sistemas de IA a lo largo de los años presenta nuevos desafíos en el campo de protección de datos. Como parte de su misión relativa a la información y protección de los derechos, la CNIL ha publicado un conjunto de recursos dedicados a la IA, para ayudar a los profesionales, especialistas y el público en general. Este contenido forma parte de una estrategia europea mayor, que pretende promover la excelencia en el campo de la inteligencia artificial, e incluye normas enfocadas a garantizar la fiabilidad de las tecnologías IA. En concreto, se trata de desarrollar un marco normative sólido para la IA que se base en derechos humanos y valores fundamentales, para obtener así la confianza de los ciudadanos europeos. 

 

Además de ayudar a los profesionales a cumplir con las normas aplicables, los recursos de IA de la CNIL se orientan a especialistas en la materia y serán asimismo útiles para el público en general. 

 

Los recursos se orientan a tres sectores en concreto: profesionales de lA, que serían los responsables o subcontratistas, especialistas (investigadores de IA, expertos en ciencia de datos, ingenieros de machine learning, etc.) y el público en general. Estos recursos pueden ser muy útiles para aquellos miembros de la sociedad en general que estén interesados en el funcionamiento de los sistemas de IA y sus implicaciones en la vida diaria o para aquellos que deseen probar su funcionamiento. Estos recursos serán también muy útiles para los especialistas que traten con la IA de manera regular y aquellos que sientan curiosidad sobre las implicaciones que la IA conlleva para la protección de datos. Sin embargo, están principalmente pensados para profesionales, que traten datos de sistemas de IA o que pretendan hacerlo y necesiten saber cómo cumplir con el RGPD. 

Los recursos de IA de la CNIL incluyen dos extensas guías que pretenden impulsar a los profesionales a que tomen una mayor responsabilidad para cumplir con las normas aplicables en lo relativo al uso de sus sistemas de IA. 

 

Son dos los recursos publicados por la CNIL en este sentido y que pueden ser útiles para los profesionales de IA: por un lado, una guía detallada de cumplimiento con el RGPD y, por otro, una guía de autoevaluación para que las organizaciones comprueben sus sistemas de IA en relación con el marco del RGPD y sus requisitos. La guía de cumplimiento con el RGPD debería resultar práctico en todas las etapas de los sistemas de IA, desde las fases de aprendizaje hasta las de producción. Promueve una mejora y una evaluación continuas para confirmar que el sistema cumple con las necesidades operativas una vez que se ha implementado. Esta guía tiene en cuenta los retos que presentan los sistemas de IA y tiene como objetivo abordarlos de manera preventiva y constante a lo largo de su uso. La guía de autoevaluación proporcionada por la CNIL ha sido diseñada para que se utilice de forma conjunta con la guía del RGPD, y permite a los profesionales de IA comprobar la madurez de sus sistemas de IA en relación al RGPD. Se busca empoderar a estos profesionales con herramientas de enseñanza que fomentan la transparencia y los derechos de los usuarios, evitan brechas y aseguran el cumplimiento y las mejores prácticas.

¿Tu app o tus servicios utilizan IA y necesitas ayuda para cumplir con la normativa aplicable? Podemos ayudarte. Realizamos Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y ofrecemos subcontratación del Delegado de Protección de Datos, entre otros servicios. Infórmate aquí.