La AEPD publica

La AEPD publica una guía para auditorías de tratamientos que incluyan IA

La AEPD ha publicado una guía que incluye una serie de requisitos que deberían aplicarse en las auditorías de tratamientos que incluyan componentes de IA 

A principios de este mes, la AEPD publicó una guía sobre los “Requisitos para Auditorías de Tratamiento que incluyan IA”, donde elabora sobre los principales controles que deberían aplicarse a las auditorías de actividades de tratamiento que comprendan componentes de IA. 

Las auditorías son parte de las medidas técnicas y organizativas reguladas en el RGPD y se consideran esenciales para configurar una óptima protección de los datos personales. La guía de la AEPD contiene una lista de controles entre las que el auditor habrá de seleccionar las que considere adecuadas para su caso concreto, en función de varios factores, como: la forma en la que el tratamiento puede influir en el cumplimiento con el RGPD, el tipo de componente de IA empleado, la categoría de actividades de tratamiento y los riesgos que estas suponen para los derechos y libertades de los sujetos.  

Características especiales de la metodología en las auditorías de IA 

La AEPD señala que el proceso de auditoria debería articularse en torno a los principios recogidos en el RGPD, a saber: licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad, y responsabilidad proactiva.

La AEPD también aclara que no se espera una aplicación conjunta de todos los controles detallados en la guía, sino que se deberán seleccionar en cada caso los que sean más relevantes según el alcance de la auditoría y los objetivos perseguidos.  

¿A qué tipo de tratamientos se aplican estos requisitos y quién debería cumplir con ellos? 

Las siguientes premisas serán necesarias para decidir sobre la idoneidad de los requisitos de la guía en un determinado proceso de auditoría:

  • Existe, o se pretende realizar, un tratamiento de datos personales en alguna de las etapas del ciclo de vida del componente IA o
  • El tratamiento se dirige a perfilar al individuo o a ejecutar decisiones automáticas sobre personas físicas que tengan efectos jurídicos sobre ellas o les afecten significativamente.

La AEPD establece que en algunas situaciones podría ser recomendable desarrollar una serie de evaluaciones previas antes de progresar con la auditoria, como serían, entre otros, un análisis previo del grado de anonimización alcanzado para los datos utilizados en el tratamiento en general y por el componente en particular, el cálculo o estimación del posible riesgo de reidentificación que existe, o una evaluación del cálculo del riesgo de pérdida de datos en la nube.

La guía está especialmente dirigida a responsables que han de auditar tratamientos que incluyan componentes basados en IA, a encargados y desarrolladores que quieran ofrecer garantías sobre sus productos y servicios, a los Delegados de Protección de Datos y a los equipos de auditores cuando se ocupen de la evaluación de dichos tratamientos.

Objetivos de control y controles

El contenido principal de la guía está constituido por cinco áreas de auditoria que se dividen en varios objetivos, los cuales a su vez contienen los diferentes controles entre los cuales los auditores, o la persona a cargo del proceso según corresponda, podrán hacer su selección para el caso concreto que les ocupe. 

La AEPD ofrece una lista exhaustiva que abarca más de cien controles, los cuales hemos resumido en los próximos párrafos. 

  • Identificación y transparencia del componente

Este área comprende los siguientes objetivos: inventario del componente IA auditado, identificación de responsabilidades y transparencia. 

La AEPD enfatiza la importancia de conservar registros tanto del componente -entre los que se incluyen el identificador, la version, la fecha de creación y el histórico- como de las personas que se encuentran a cargo del proceso -entre otros, sus datos de contacto, funciones y responsabilidades-. Se dan también algunas consideraciones en cuanto a la información que debe estar disponible para las partes interesadas, especialmente en lo que se refiere a las fuentes de datos, las categorías de datos involucradas, el modelo, la lógica y los mecanismos de rendición de cuentas.  

  • Propósitos del componente IA

Se dan numerosos objetivos dentro de esta segunda área: identificación de las finalidades, usos previstos y contexto de uso del componente IA, análisis de proporcionalidad y necesidad, determinación de los destinatarios de los datos, limitación de la conservación de datos y análisis de las categorías de interesados. 

Los controles asociados a estos objetivos se basan en los estándares y requisitos necesarios para alcanzar los resultados deseados y los elementos que pueden afectar a dichos resultados, como por ejemplo los factores condicionantes, las condiciones socioeconómicas y la distribución de tareas, entre otros, para lo cual se recomienda realizar un análisis de riesgos y una evaluación de impacto. 

  • Fundamentos del componente IA

Este área se construye sobre los siguientes objetivos: identificación de la política de desarrollo del componente IA, implicación del DPD, adecuación de los modelos teóricos base y del marco metodológico e identificación de la arquitectura básica del componente. 

Los controles definidos en esta sección se relacionan en esencia con los elementos formales del proceso y la metodología aplicada, y se enfocan a asegurar la interoperabilidad entre la política de desarrollo del componente de IA y la política de privacidad, a definir los requisitos que debería cumplir el DPD y garantizar su oportuna participación, así como a fijar los procesos de revisión correspondientes. 

  • Gestión de los datos

La AEPD detalla cuatro objetivos para este área: aseguramiento de la calidad de los datos, determinación del origen de las fuentes de datos, preparación de los datos y control de sesgo. 

Mientras que la protección de datos es en efecto el ‘leitmotiv’ de toda la guía, esta materia está en especial presente en este capítulo, el cual cubre aspectos como el gobierno del dato, la distribución de variables y proporcionalidad, las bases legítimas de tratamiento, la lógica en la selección de las fuentes de datos y la categorización de los datos y las variables. 

  • Verificación y validación

Son siete los objetivos que se persiguen bajo esta área: adecuación del proceso de verificación y validación del componente IA, verificación y validación del componente IA, rendimiento, coherencia, estabilidad y robustez, trazabilidad y seguridad. 

Los controles que se incluyen en este área se centrar en asegurar el cumplimiento con la normativa de protección de datos durante la implementación y uso continuados del componente de IA, y se buscan garantías sobre la existencia de normas y estándares que permitan la verificación y validación de los procesos una vez que se ha integrado el componente IA, una planificación para inspecciones internas, un análisis de falsos positivos y falsos negativos, un proceso para encontrar anomalías y la identificación de comportamiento inesperado, entre otros. 

Notas finales

La AEPD concluye con un recordatorio sobre el hecho de que la guía contiene un enfoque de protección de datos para la auditoria de componentes IA, lo cual implica, por un lado, que podría requerir ser complementada con controles adicionales derivados de otras perspectivas y, por otro, que no todos los controles serán importantes para cada caso, pues deberán ser seleccionados conforme a las necesidades concretas de las circunstancias, en consideración del tipo de tratamiento, los requisitos impuestos por el cliente, las características especiales de la auditoria y su alcance y los resultados de la evaluación de riesgos. 

¿Utilizas IA en tu empresa? El futuro marco regulatorio de la UE podría afectarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de la ética de la IA y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Informe de la FRA

Informe de la FRA en IA y derechos fundamentales

La Agencia de los Derechos Fundamentales de la Unión Europea (FRA) ha publicado un informe sobre Inteligencia Artificial y sus efectos en los derechos fundamentales 

 

El incremento en el uso de la Inteligencia Artificial (IA) genera reacciones diversas en la sociedad. A pesar de la variedad de opiniones, la realidad es que se trata de una tecnología cada vez más integrada en nuestras vidas. Mientras que su valía y potencial ya han sido probados, hay también una preocupación creciente sobre su impacto en los derechos fundamentales. Algunos algoritmos han demostrado que presentan sesgos en cuanto a género, raza e incluso posición socio económico, lo cual ha levantado alarmas en el campo de los derechos humanos. El debate se centra en cómo los derechos fundamentales pueden defenderse frente al aumento en el uso de los sistemas de IA, y si dichos sistemas pueden adaptarse a tal finalidad. En el informe que ha publicado recientemente la Agencia de los Derechos Fundamentales de la Unión Europea (FRA), se tratan muchos de estos problemas a la vez que se ofrece una visión general sobre el actual uso de la tecnología de IA en la UE.  

 

El reporte de la FRA en IA y derechos fundamentales es el resultado de un gran trabajo para determinar dos factores clave 

 

La FRA ha realizado una investigación que incluye 91 entrevistas personales en cinco Estados Miembro: Estonia, Finlandia, Francia, los Países Bajos y España. La Agencia identificó una falta de evidencia sobre cómo algunas tecnologías de IA podrían afectar a los derechos fundamentales, tanto de manera positiva como negativa. También se llevaron a cabo entrevistas con diez expertos que monitorizan u observan potenciales brechas de los derechos fundamentales en relación al uso de IA, incluido la sociedad civil, abogados e instituciones de supervisión. Podrían precisarse ejemplos concretos sobre casos de uso que el informe define de manera amplia como “la aplicación específica de una tecnología para un objetivo concreto usado por un actor específico” a fin de determinar dos elementos: 

  1. si, y hasta qué punto, la aplicación de la tecnología interfiere con varios derechos fundamentales – y 
  2. si dicha interferencia puede ser justificada, en relación a los principios de necesidad y proporcionalidad. 

Se han estudiado en profundidad cuatro amplios casos de uso a fin de arrojar luz al análisis sobre derechos fundamentales 

 

El informe se centra en cuatro amplios casos de uso: beneficios sociales, políticas predictivas, servicios de salud y publicidad dirigida. El informe contiene un estudio en profundidad para cada uno de ellos, abordando diferentes áreas de aplicación a lo largo de la administración pública y empresas privadas. El informe también ofrece información sobre el uso actual de la IA, además de información básica sobre la competencia europea en cada una de dichas áreas. Cada caso de uso proporciona una Buena perspectiva sobre qué tipo de IA y tecnologías relacionadas se están empleando actualmente, lo cual ayuda a arrojar luz al análisis sobre derechos fundamentales. 

 

El enfoque centrado en los derechos fundamentales adoptado por la FRA ayuda a las partes implicadas a valorar la compatibilidad con los derechos fundamentales que tienen los sistemas de IA en varios contextos. 

 

El informe de la FRA y la investigación que lo respalda toma un enfoque de IA centrado en los derechos fundamentales. Esto queda reforzado por la regulación legal, donde la responsabilidad de respetar, proteger y satisfacer los derechos fundamentales recae en el Estado y no depende de una acción voluntaria de las organizaciones y empresas, como sí ocurre con el enfoque ético que se tomaba anteriormente.  Este análisis sobre los retos que se presentan en torno a los derechos fundamentales ayuda a la UE y a los Estados Miembro, así como a otras partes implicadas, a evaluar la compatibilidad que los sistemas de IA tienen con los derechos fundamentales. 

 

El marco de derechos fundamentales trazado en el informe ofrece una base estandardizada para el diseño, desarrollo y elaboración de herramientas de IA, incluidos algunos elementos de referencia. Esto contribuye a determinar si un uso específico de IA es o no conforme a los derechos fundamentales. Es necesario sin embargo mencionar que hay algunas interferencias con los derechos fundamentales que sí están justificadas, y también se tratan en el informe. 

 

El informe ofrece un análisis de impacto en profundidad sobre el actual uso de IA en derechos fundamentales 

 

El informe de la FRA ofrece un visión en detalle sobre el impacto del actual uso de IA en los derechos fundamentales, comenzando por una valoración general de los riesgos percibidos por los interesados. A continuación analiza su concienciación sobre las implicaciones de los derechos fundamentales en el uso de IA, y toma en consideración opiniones, prácticas sobre los problemas identificados durante las entrevistas. Entre los derechos humanos analizados se incluye la dignidad humana, desafíos específicos en cuanto a privacidad y protección de datos, igualdad, no discriminación acceso a la justicia y protección del consumidor, así como el derecho a la seguridad social, asistencia social y el derecho a una buena administración. El informe ofrece ejemplos sobre usos específicos que muestran pensamientos y experiencias de los entrevistados, y a su vez aporta una reflexión sobre la legislación actual y las estipulaciones relevantes de la Carta de Derechos Fundamentales, para cada caso de uso.  

 

La FRA ofrece varias recomendaciones sobro cómo evaluar el impacto de los derechos fundamentales que general el uso de IA y tecnologías relacionadas 

 

Finalmente, el informe ofrece una serie de recomendaciones sobre cómo lidiar con el impacto que el uso de IA y tecnologías relacionadas genera en los derechos fundamentales, así como varias orientaciones para confirmar el cumplimiento. Se sugiere la realización de las Evaluaciones de Impacto de Protección de Datos que requiere el RGPD, pero también se aportan múltiples ejemplos sobre recomendaciones no vinculantes. Uno de los ejemplos es la herramienta de acceso libre para las agencias gubernamentales, denominado “the Ethics Toolkit”. Esta herramienta se basa en un enfoque de gestión de riesgos que aboga por decisiones automatizadas justas y una minimización del daño intencional ocasionado a los sujetos, en vinculación con la justicia criminal, educación avanzada, redes sociales y otras áreas. Otra de las herramientas es la “comprobación rápida” propuesta por el Instituto Danés de Derechos Humanos, que consiste en un programa interactivo que permite a las empresas evaluar su complimiento con los derechos humanos a través de la modificación de la base de datos para adaptarse al tipo de empresa y área de operaciones.  

 

Prácticamente todos los sistemas tratados en las entrevistas requerirían algún tipo de prueba, incluidos elementos de evaluación de impacto. Sin embargo, el informe subraya la importancia de centrarse no sólo en el impacto en protección de datos cuando se realicen dichas evaluaciones, sino también en el impacto sobre los derechos fundamentales. 

 

¿Utilizas IA en tu empresa y necesitas asesoramiento para cumplir con los derechos fundamentales? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias, evaluaciones de la ética de la IA subcontratación del Delegado de Protección de DatosInfórmate aquí.

Segunda Asamblea de la Alianza Europea

Segunda Asamblea de la Alianza Europea de IA

La segunda Asamblea de la Alianza Europea de IA se celebró el pasado viernes 9 de octubre, esta vez online debido a la situación generada por la pandemia del COVID-19. 

La segunda edición de la Asamblea Europea de IA tuvo lugar el pasado Viernes 9 de octubre en un evento de un día completo que se celebró de forma online debido a la pandemia del COVID-19. La Asamblea reunió a más de 1.400 personas conectadas que siguieron las sesiones en directo y tuvieron la oportunidad de formular preguntas a los panelistas. 

El evento

El foco se centró en la iniciativa europea para construir un Ecosistema de Excelencia y Confianza en Inteligencia Artificial. Las charlas se dividieron entre plenos, talleres y grupos de trabajo.  

Los principales temas que se trataron son los siguientes:

  • Los resultados de la Consulta en el Libro Blanco de IA lanzado por la Comisión Europea
  • Las últimas publicaciones del Alto Grupo de Expertos en IA (AI-HLEG) y 
  • Las futuras proyecciones de la Alianza Europea de IA como un foro multinivel que refleja de manera amplia aspectos sociales, económicos y técnicos de IA en el marco del proceso de creación de políticas europeas. 

Como miembros de la Alianza Europea de Inteligencia Artificial, Aphaia tuvo el honor de participar en el evento y disfrutar de algunas de las sesiones que trataron temas cruciales para el desarrollo e implementación de IA en Europa, tales como “Requisitos para una IA fiable” o “IA y responsabilidad”. 

Requisitos para una IA fiable

Los ponentes compartieron sus perspectivas sobre los riesgos derivados de los sistemas de IA y los enfoques que deberían tomarse para apoyar la generalización del uso de IA en la sociedad.

Hugues Bersini, Profesor de Ciencias de la Computación en la Universidad Libre de Bruselas, considera el uso de IA se refleja en una función de coste, donde optimizarla es el objetivo: “Los problemas desaparecen cuando se alinea el coste social y el coste individual”.  

Haydn Belfield, Manager de Proyectos en CSER, Universidad de Cambridge, señaló que el alto riesgo que los sistemas de IA pueden conllevar para las oportunidades y derechos fundamentales de las personas demanda un marco de regulación que incluya requisitos obligatorios que deberían, al mismo tiempo, ser flexibles y prácticos. 

Para Francesca Rossi, Líder Global de Ética de la IA en IBM, la transparencia y la explicabilidad son la clave. Aclaró que la IA debería emplearse para impulsar las capacidades de decisión de los seres humanos, los cuales han de tomar decisiones fundamentadas. Esta finalidad no podría alcanzarse si se concibe a los sistemas de IA como cajas negras. 

En respuesta a las preguntas de la audiencia, los expertos comentaron de manera conjunta la cantidad de niveles de riesgo que serían necesarios en el campo de la IA. La principal conclusión se trazó en torno a la consideración de que la propia definición de alto riesgo es ya en sí mismo un reto, de manera que contar con dos niveles de riesgo (alto riesgo y no alto riesgo) sería un buen comienzo sobre el cual se podrían construir futuros desarrollos. 

Los invitados también analizaron de manera breve cada uno de los requisitos para una IA fiable recogidos en las directrices del AI-HLEG, a saber: acción y supervisión humana, solidez técnica y seguridad, gestión de la privacidad y de los datos, transparencia, diversidad, no discriminación y equidad, bienestar social y ambiental y rendición de cuentas. 

En nuestra opinión, resultaron especialmente interesantes las aportaciones sobre la IA y los sesgos y aquellas otras en relación a la acción y supervisión humanas: 

IA y sesgos

Paul Lukowicz, Director Científico y Jefe de la Unidad de Investigación “Embedded Intelligence” en el Centro Alemán de Investigación en Inteligencia Artificial, define el concepto de “machine learning” como la operación por la cual se le da al ordenador métodos de los cuales puede extraer procedimientos e información de los datos, y afirmó que esa es precisamente la clave del éxito actual de la IA.  El resto reside en que muchos de los sesgos y efectos discriminatorios de los sistemas de IA resultan de entregar al ordenador datos que ya en sí mismos incorporan sesgos y discriminación. La dificultad no se encuentra en que los desarrolladores fallen de alguna forma en entregar datos que no son representativos: los datos son de hecho representativos, y es la circunstancia de que en nuestro día a día hay sesgo y discriminación, lo que hace que eso sea exactamente lo que los sistemas aprendan y enfaticen. En relación a esto, él considera que otro de los obstáculos es la incertidumbre, pues no se puede pretender tener un conjunto de datos que cubra todos los posibles sucesos del mundo: “Siempre tenemos un grado de incertidumbre en la vida, y eso mismo ocurre con los sistemas de IA”. 

Acción y supervisión humana

Aimee Van Wynsberghe, Profesora Asociada de Ética y Tecnología en TU Delft, destacó alguno de los problemas a los que puede enfrentarse la implementación de la acción y supervisión humana:

  1. Aimee replanteó la idea de que el resultado del sistema de IA no es válido hasta que se haya revisado y validado por un ser humano. Ella opina que este enfoque puede ser difícil de gestionar dado que hay algunos sesgos que amenazan la autonomía humana: sesgo de automatización, sesgo de simulación y sesgo de confirmación. Los humanos tienen tendencia de favorecer las recomendaciones de los sistemas de toma de decisión automática, e ignorar información contradictoria obtenida sin automatización. El otro reto en este sentido es el consume de recursos que se necesita para revisar y validar cada output del sistema de IA. 
  2. En cuanto a la alternativa basada en el hecho de que los resultado del sistema de IA se harían inmediatamente efectivos bajo el requisito de que se asegurase una supervisión humana después, Aimee evidenció el problema de distribución de la responsabilidad de confirmar dicha intervención humana posterior: “¿Quién va a asegurar que dicha supervisión posterior realmente tenga lugar? ¿La empresa? ¿El cliente? ¿Es justo asumir que los consumidores tendrían el tiempo, el conocimiento y la habilidad para hacerlo? “
  3. Por su parte, el control del sistema de IA mientras está en funcionamiento y la posibilidad de intervenir en tiempo real y desactivarlo también sería complicado debido, de nuevo, a la psicología humana: “existe una falta de conciencia situacional que no permite tomar el mando”. 

IA y responsabilidad

Corinna Schulze, Directora de Asuntos Gubernamentales en  SAP; Marco Bona, Miembro del Comité General de PEOPIL’s  en Italia y Experto Internacional en Lesiones Personales; Bernhard Koch, Profesor de Derecho Civil y Comparado y miembro de la Formación de Nuevas Tecnologías del Grupo Europeo experto en Responsabilidad de las Nuevas Tecnologías; Jean-Sébastien Borghetti, Profesor de Derecho Privado en la Universidad de Paris II Panthéon-Assas y Dirk Staudenmaier, Jefe de la Unidad de Derecho de los Contratos en el Departamento de Justicia de la Comisión Europea, hablaron sobre los principales defectos detectados en el campo de la responsabilidad de la IA, y lo pusieron en relación con la Directiva de Responsabilidad por los daños causados por Productos Defectuosos.

Los expertos señalaron los siguientes elementos negativos de la Directiva:

  • Limitación temporal de 10 años: en la opinión de la mayoría de los participantes, esto puede generar problemas porque se refiere únicamente a los productores, y la situación es más complicada cuando también hay operadores, usuarios, propietarios y otras partes implicadas. Además, los 10 años puede ser un período válido para los productos tradicionales, pero puede que no sea suficiente en términos de protección de las víctimas de algunos artefactos y sistemas de IA.
  • Ámbito: únicamente se refiere a la protección de los consumidores, y no cubre la protección de las víctimas. Consumidores y víctimas a veces coinciden, pero otras no. 
  • Noción de defecto: la distinción entre producto y servicio puede dar lugar a algunos conflictos. La Directiva cubre sólo los productos, no los servicios, lo cual puede levantar algunas preocupaciones en relación al internet de las cosas y el software. 

 

La Comisión Europea ha publicado los links de las sesiones para que pueden acceder todos aquellos que no pudieron atender el evento o que quieran volver a verlas. 

¿Necesitas ayuda con la ética de la IA? Podemos ayudarte. Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA.

Implantes neuronales, RGPD e IA

Los implantes neuronales pueden ser el próximo reto para la IA y el RGPD. Nuestro escritor invitado esta semana, Lahiru Bulathwela, estudiante del máster en innovación y tecnología en la Universidad de Edimburgo explora el por qué y el cómo en este artículo.

¿Qué tienen en común los implantes neuronales, el RGPD y la IA? Elon Musk mostró hace poco el funcionamiento de su última novedad, un implante neuronal, en el cerdo Gertrude, sobre el cual se ha observado un creciente interés en el mercado. Los implantes neuronales no son un desarrollo reciente, sino que se llevan utilizando años por parte de investigadores y científicos, y de hecho son muchos los tratamientos de este tipo que han ayudado a pacientes con depresión, Parkinson o parálisis. Sin embargo, ahora se pretende dar un paso más e introducirlos en un mercado más de masas, lo cual hace que empresas como Neuralink despierten una gran expectación, dado el potencial de los implantes neuronales para tratar a personas enfermas y también para, en algún momento, mejorar las características y habilidades del ser humano. Sin embargo, al igual que ocurre con cualquier otra tecnología innovadora, su desarrollo también conlleva algunas sombras. El cerebro representa la suma total de la individualidad e identidad de alguien, lo que hace que cualquier elemento en torno a los implantes neuronales sea particularmente sensible.

Son muchos los obstáculos a los que se enfrenta el desarrollo de los implantes neuronales, desde limitaciones tecnológicas hasta otras psicológicas. En este Artículo exploramos los principales retos vinculados con protección de datos, disciplina que es esencial en esta sociedad de la información.

¿Cómo funcionan?

En su versión más simple, un implante neuronal es un dispositivo invasivo o no invasivo que puede interactuar con el cerebro. Algunos de ellos pueden mapear la actividad neuronal natural y, otro estimular las neuronas para alterar su funcionamiento. Mientras que la tecnología está bastante avanzada en este sentido, hay restricciones por ahora en cuanto a su eficacia, principalmente representada por nuestro reducido conocimiento de los circuitos neuronales. Actualmente se puede mapear el cerebro de una persona y registrar su actividad neuronal, pero carecemos del consentimiento para interpretar dicha información de una manera significativa o como se esperaría de un dispositivo de consumo. Uno de los interrogantes en este campo es el cuándo, más que el si, aumentará nuestra comprensión sobre las redes neuronales.

El RGPD y los implantes neuronales

El RGPD, como norma Europea en protección de datos más reciente, establece un alto estándar de regulación. Se trata de la legislación más avanzada a este respecto, pero, al igual que ocurre con otras leyes, su desarrollo e implementación surgen en reacción a la rápida evolución en el uso de información en nuestra sociedad. Si bien, aunque el RGPD no menciona de manera específica la “información neuronal” dentro de su definición de datos personales en el artículo 4 (1), una persona puede ser identificada a partir de tal información, y, por tanto, son datos personales:

datos personales : toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».

Factores de la salud física o psicológica podrían potencialmente atribuirse a la información neuronal. Cualquier condición neuronal medible es dato personal. A su vez, la información que se recoge del cerebro de una persona es el tipo más sensible de dato personal, especialmente si se considera que probablemente no se podría ser ni capaz de otorgar el consentimiento para dicha práctica.

Cuando consentimos que se recoja o comparta nuestra información, tenemos un cierto grado de control sobre el tipo de información de la que se trata. El responsable deberá justifica la recogida legítima de dichos datos conforme a los artículos 6 y 9 del RGPD y asegurarse que, en caso de aplicarse el consentimiento, este sea libre y no condicional para la prestación de un servicio o el desarrollo de un contrato cuando dichos datos no sean necesarios para tal contrato (Artículo 7 (4) RGPD).

Una persona puede dar su consentimiento para compartir su historial médico con una aseguradora sin necesidad de tener que ceder también datos sobre sus hábitos de compra o sus relaciones, por ejemplo. Sin embargo, no podemos realizar ese tipo de limitaciones con nuestro cerebro, pues nuestra actividad neuronal no puede esconderse de un dispositivo que registra los estímulos eléctricos. La falta de información sobre el tipo de información que puede extraerse de nuestra actividad neuronal es uno de los principales problemas de estos dispositivos, a pesar de la actual limitación en la interpretación de tal información.

¿Futuras medidas regulatorias?

A pesar de que el RGPD es el instrumento regulatorio más avanzado hasta el momento, aún carece de la profundidad necesaria para enfrentarse a un ecosistema de cambio continuo como es la recogida de información. El próximo paso en protección de datos requerirá una previsión para proteger a los interesados de una apropiación indebida de su información. Se tendrá que alcanzar un equilibrio que comprenda que una regulación demasiado entusiasta podría obstaculizar la innovación, pero a su vez una regulación ineficaz podría frenar la confianza del consumidor en este tipo de tecnología.

Cuando Elon Musk describió su implante de Neuralink como una “Fitbit en tu cráneo”, minimizó cómo los implantes neuronales invasivos influirían en nuestra privacidad. Mientras que se podría afirmar que las personas se sienten más cómodas compartiendo su información de manera pública a través de las redes sociales, aún ahí se da la posibilidad de elegir qué información se quiere compartir. Y es precisamente la falta de elección sobre el tipo de información que se quiere ofrecer cuando se  trata de implantes neuronales lo que desemboca en que en estos casos se preciso una regulación robusta. Probablemente esta regulación debería incluir un requisito para usar tecnología a fin de aplicar la normativa.

¿Regulación a través de la tecnología?

La gobernanza por medio de tecnología es una alternativa potencial a las herramientas legislativas tradicionales. Hemos presenciado cómo tecnologías como el Blockchain utiliza encriptado para descentralizar el registro de datos, asegurando que dicha información está sólo accesible para individuos verificados, y que no otra persona o entidad puede acceder a ella o controlarla.

En el concreto caso de los implantes neuronales, este aspecto podría canalizarse mediante el uso de machine learning para proteger la privacidad de los individuos. Ya se utiliza machine learning en entornos clínicos para ayudar con el mapeo del cerebro, y es por tanto probable que también se emplee en el futuro para ayudarnos a entender nuestras redes neuronales. El uso de machine learning para regular de manera efectiva qué tipo de información se compartiría por medio de un implante neuronal puede sonar como una solución a largo plazo, pero esto es, probablemente, sólo debido a la falta de comprensión sobre el funcionamiento de nuestro cerebro, más que por temas de limitación de los algoritmos. Se requiere más investigación para entender qué puede interpretarse de nuestra actividad neuronal, pero ya contamos con la capacidad tecnológica para crear algoritmos que puedan aprender qué información debe y qué información no debe compartirse.

Actualmente los implantes neuronales carecen de la sofisticación necesaria para crear problemas significativos a la privacidad de un individuo, pero ofrecen la oportunidad a legisladores e ingenieros de crear medidas proactivas que pudiesen proteger a las personas y construir así confianza en el consumidor.

En nuestro vlog exploramos las desafíos que los implantes neuronales pueden suponer para la IA y el RGPD, y analizamos algunas soluciones:

Y si quieres aprender más sobre la ética y la regulación de la IA, visita nuestro canal de YouTube.

Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactocumplimiento con la CCPAevaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.