¿Es posible regular la IA?

Esta semana hablamos en nuestro canal de Youtube sobre la situación actual de la regulación de la IA y los retos futuros con los que podemos encontrarnos.

Uno de los principales desafíos de la IA es evitar los resultados discriminatorios, lo cual requiere que se apliquen importantes controles sobre los conjuntos de datos de entrenamiento, así como que se tengan en cuenta los principios éticos en el diseño, y también que se realicen comprobaciones y auditorías regulares.

Una problemática adicional que debería tratarse es la dimensión de la responsabilidad, es decir, quién debe responder cuando el sistema de IA no cumple con la ley. Esto está relacionado también con derecho internacional, pues no se deberá discernir solo quién es el responsable, sino también la jurisdicción y ley aplicable. A estos efectos, se podría debatir, por ejemplo: ¿sería el país donde la IA fue diseñada o programada? ¿O aquél donde se fabricó y distribuyó? Este tipo de decisiones son realmente determinantes en ciertos contextos donde la infracción de ley conduce a resultados graves, como aquellos en los que se pone en jaque la integridad física de las personas.

Esta dicotomía se pone más de relieve aun cuando nos encontramos con sistemas de ‘deep learning’, respecto de los cuales el control toma una dimensión más, al plantearse un escenario donde es necesario poner límites a algo de lo que no se conoce su alcance.

Y por otro lado, ¿qué ocurre cuando nos encontramos con IA que son usadas como arma? Hay algunas orientaciones en el sector que recomiendan restringir el uso de estos sistemas a sólo algunos contextos, pero ¿es esto realmente posible? Sin duda merece un examen y análisis detallado antes de elaborar un plan de acción, que deberá tener en cuenta todos los campos de juego, como aquél de las armas autónomas que deciden por sí mismas cuando actuar, con qué fuerza, hacia qué objetivo y con qué resultados.

En Aphaia, si nos preguntasen para ofrecer una opinión en este campo, consideramos que la regulación inicial va a venir por parte de las empresas, de las grandes y no tan grandes, que ya estén aplicando estos sistemas y se encuentren con una demanda de seguridad en el mercado por parte de sus consumidores.

Nos encantaría saber qué opináis vosotros, así que ¡compartid vuestras ideas!

Si necesitas asesoramiento en IA para tus productos y servicios, Aphaia ofrece evaluaciones de la ética de la IA y evaluaciones de impacto.

Una evaluación de impacto realizada a Microsoft revela riesgos para la privacidad

A través del producto Microsoft Office ProPlus para empresas, la compañía ha estado recopilando datos a gran escala sobre el comportamiento de los sujetos.

La gravedad de los hechos radica en el tipo de información que Microsoft está recogiendo, que se realiza además en flujo codificado, lo que agrava la completa falta de información sobre dicha práctica y priva a los usuarios de toda posibilidad de elección o configuración. Los datos afectados incluyen, entre otros, cualquier aspecto relativo al sistema de telemetría incorporado en el programa, como las teclas pulsadas y la frecuencia, además de información sobre los servicios conectados, como el de traducción.

La evaluación de impacto promovida por la autoridad de control de Holanda subraya, además de la falta de transparencia, la violación por parte de Microsoft de los principios del RGPD sobre limitación a la finalidad y licitud del tratamiento. Debe destacarse también el uso dado a dichos datos, pues gran parte de ellos son enviados a servidores de Estados Unidos sin contar con ninguna de las garantías exigidas en el RGPD para ello. En las políticas de privacidad disponibles de Microsoft existe además una confusión entre los términos y roles de Responsable-Encargado, y se establece un tiempo indefinido para el almacenamiento de datos de diagnóstico. Esta falta de cumplimiento es más remarcada por el hecho de que la misma autoridad de control ya apuntó a Microsoft el incorrecto tratamiento que estaba realizando con respecto de algunos datos personales en 2017.

Como respuesta, Microsoft afirma que ya está trabajando en mitigar los riegos y solucionar los elementos que han conducido a ello, como el desarrollo de políticas de información adecuadas y la implementación de una herramienta de visor de datos. Si bien, y hasta que tales alternativas se incorporen de manera efectiva, los riesgos persisten y deberán ser los propios usuarios los que apliquen medidas adicionales para proteger su privacidad.

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.

La AEPD se pronuncia sobre el tratamiento de datos biométricos conforme al RGPD

La Agencia Española de Protección de Datos (a continuación, AEPD) ha hecho públicas algunas de las principales preguntas y respuestas planteadas por los asistentes en la 10ª Sesión Anual Abierta de la institución, que tuvo lugar el pasado mes de junio.

Una de las materias que más duda y debate suscitó fue el concepto de dato biométrico y sus implicaciones en cuanto a su tratamiento.

La normativa española anterior al Reglamento General de Protección de Datos (en adelante, RGPD), la Ley Orgánica de Protección de Datos (en adelante, LOPD), aún vigente, no recogía una definición concreta de “”, sino que éste se incluía en el concepto general de dato personal y su procesamiento se subsumía en los requisitos comunes dictados tanto en el texto legal como por la correspondiente entidad de supervisión y Tribunales.

El RGPD otorga sin embargo a este dato un tratamiento diferenciado, pues recoge una definición y categorización expresa de dicho concepto. Así, el artículo 4 (14) RGPD concibe “datos biométricos” como aquellos “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. Asimismo, en virtud del artículo 9 RGPD, se considera explícitamente una categoría especial de dato personal, lo que implica que su tratamiento queda prohibido salvo determinadas excepciones, como el consentimiento explícito.

A partir de dichas excepciones, surgieron algunas de las cuestiones planteadas en la mencionada Sesión Anual de la AEPD, como lo es el planteamiento de cómo debería configurarse el consentimiento explícito para el uso de tecnologías biométricas de reconocimiento facial en la entrada de establecimientos en el caso de que no aplique ninguna de las excepciones reguladas en el artículo 9 GDPR.

A este respecto, la AEPD confirmó la inclusión del tratamiento del rostro con software de reconocimiento facial en el concepto de dato biométrico, conforme al considerando 51 RGPD, y recordó en consecuencia la necesidad de tomar en cuenta los principios de minimización y licitud del tratamiento. Concretamente, consideró que dicha implementación podría ser plausible en el ámbito laboral, dado que se podría considerar como una medida de control por el empresario, la cual, sujeta al requisito de proporcionalidad, está admitida por el artículo 20 del Estatuto de los Trabajadores. Para el resto de los supuestos no existiría una habilitación similar, salvo en aquellos casos en los que dicho tratamiento se destinase a preservar la seguridad de determinadas instalaciones, como las estratégicas.

Se trató también dicha materia desde la perspectiva de la huella dactilar, respecto de lo que se preguntó sobre la necesidad de pedir consentimiento expreso en caso de aparatos fichadores en las empresas.

La AEPD alegó de nuevo el artículo 20 del Estatuto de los Trabajadores, que permite considerarlo como una medida de control que no necesita consentimiento del empleado; no obstante, matizó la aclaración y destacó la importancia del principio de minimización, por el cual la medida habrá de limitarse a los supuestos en que se considere realmente necesaria. De la misma forma, la AEPD reafirmó su postura en las últimas resoluciones en este ámbito, en las cuales se aboga por la implantación de buenas prácticas que permitan el control a través de la huella digital sin que el sistema tenga que almacenar el dato biométrico; por ejemplo, por su incorporación a una tarjeta inteligente que se contraste con la huella y se mantenga siempre en poder del trabajador. (Ver Resolución R/01410/2018). Cabe recordar en este punto que la AEPD ha mantenido también a este respecto un criterio por el cual se sitúa el principio de información como principal, de tal modo que tales sistemas de control requieren de la debida comunicación previa al trabajador (Ver Expediente N.º: E/02116/2016).

¿Necesitas ayuda con la adaptación al RGPD? Aphaia ofrece tanto servicios de consultoría y adaptación al RGPD como de subcontratación del Delegado de Protección de Datos.

GDPR parents' access

Acceso de los padres a datos de los hijos mayores de edad

La Agencia Española de Protección de Datos ha lanzado una reciente consulta en la que se analiza, bajo la perspectiva del Reglamento General de Protección de Datos (RGPD), la posibilidad de que los padres accedan a determinados datos de los hijos mayores de edad en concretas circunstancias

– Calificaciones, matrículas y becas de la Universidad;
– Desaparición del hijo;
– Hijo con problema de salud diagnosticado;

El primero de los puntos constituye la principal materia de debate en el informe, y se toma así
como referencia para desarrollar la argumentación completa y aplicarlo al resto de supuestos.
La información relativa a matrículas, calificaciones o becas se ajusta a la definición de dato
personal, así como la comunicación de los datos por parte de la Universidad a los padres
constituye un tratamiento de datos, de acuerdo al RGPD.

La falta de consentimiento del alumno para dicha cesión no impide que ésta tenga lugar, dado
que la normativa recoge otras bases legitimadoras, entre las que se encuentra “la satisfacción
de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre
que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades
fundamentales del interesado que requieran la protección de datos personales, en particular
cuando el interesado sea un niño” (Artículo 6. 1 (f) RGDP). Dicha previsión está redactada en
términos muy similares a la normativa anterior, con lo que la jurisprudencia sentada por el
Tribunal de Justicia en este sentido continúa siendo de aplicación.

Así, la AEPD menciona la sentencia STJUE 4 de mayo de 2017 (ECLI:EU:C:2017:336) y pone de
manifiesto el carácter acumulativo de los requisitos establecidos en el artículo 6 (f) arriba
mencionado, a saber: que el responsable del tratamiento o el tercero o terceros a quienes se
comuniquen los datos persigan un interés legítimo; que el tratamiento sea necesario para la
satisfacción de ese interés legítimo y que no prevalezcan los derechos y libertades
fundamentales del interesado en la protección de los datos.

En cuanto a la existencia de un interés legítimo, la AEPD aboga por considerar que siempre se
da en los casos en que los hijos sean dependientes económicamente de los padres y sean estos
los encargados de sufragar los gastos vinculados a dicha formación. El criterio de dependencia
económica sería así determinante también en otros supuestos como aquellos de pensión
alimenticia y similar, pero no operará en los escenarios de desaparición cuando existan indicios
de que ésta no es voluntaria.

El panorama así trazado se completa con la obligación para el responsable de dar a conocer al
interesado (en este caso, el hijo) el hecho de que sus datos han sido solicitados, a fin de que
pueda oponerse al tratamiento (artículo 21 RGPD) y se ponderen, si así procede, los derechos y
libertades de las partes confrontadas.

Aphaia ofrece subcontratación del delegado de protección de datos.