Aplicación legislativa y AI

Regulación del derecho a la privacidad en la era de la IA

El año 2019 ha demostrado que las reglas del RGPD acerca de la elaboración de perfiles con IA no podrían haber sido más oportunas. Desde paneles publicitarios inteligentes hasta dispositivos de audio en casa, la IA se ha desplegado para dar sentido a todo lo que exponemos sobre nosotros mismos, incluso las caras y las cosas que decimos informalmente. Al margen de estos acontecimientos, que en muchas ocasiones han despertado inquietudes, el cumplimiento de la legislación en el sector ha sido algo lento. ¿Será 2020 el año en que la regulación sobre la privacidad devuelve por fin el golpe?

Tecnología de IA

A pesar del endurecimiento de la legislación, parece que sigue habiendo un claro sesgo hacia el despliegue de la tecnología sin tener en cuenta si su implementación satisface los requisitos de cumplimiento normativo. Merece la pena apuntar que la tecnología, de por sí, rara vez incurre en un «incumplimiento», sino que es la forma en que se usa la que genera problemas.

Pongamos por ejemplo los paneles publicitarios inteligentes capaces de leer las expresiones faciales que se han desplegado en múltiples ubicaciones públicas y concurridas en 2019. ¿Se ha sometido a estos proyectos a la evaluación del impacto sobre la privacidad de la Regulación General de Protección de Datos (RGPD), tal como exige la ley? Debemos apuntar que la propia monitorización por vídeo de los espacios públicos ya conlleva considerables riesgos para la privacidad. Al añadir a esta monitorización por vídeo un análisis en tiempo real de las características faciales, el RGPD ofrece al consumidor el claro derecho a objetar por la elaboración de perfiles. Si hacemos caso omiso a las obvias dificultades para objetar a un panel publicitario en una calle concurrida, ¿cómo se observará en el futuro la objeción del consumidor a esta elaboración de perfiles la siguiente vez que pase por delante?

El aprendizaje automático nos permite dar cada vez más sentido a enormes cantidades de datos. Por si no lo parecían ya, se pronostica que las soluciones que se lancen en 2020 pueden percibirse incluso como más intrusivas. Es irónico, no obstante, que dicha percepción puede no ser aplicable en el caso de ciertos sistemas inteligentes desarrollados para crear vínculos más sutiles, menos intrusivos a la vista y por tanto más efectivos para vincular nuestras preferencias y las ofertas comerciales que se nos presentan. Esto puede ayudarnos a entender qué aspecto de la publicidad dirigida detestamos más: la intrusión en la privacidad o la burda implementación de la tecnología.

La IA y la ley

La idea de que la ley es simplemente «incapaz de mantenerse al día con la tecnología» no solo es una respuesta inadecuada al problema, sino que también suele carecer de base como afirmación. El RGPD incorpora provisiones concretas acerca de la elaboración de perfiles y la toma de decisiones automatizada, creadas a medida para el uso de la inteligencia artificial en relación con el procesamiento de datos personales. Dicho procesamiento queda sujeto al derecho de obtener la intervención humana y al derecho de objetar al procesamiento. También existen limitaciones adicionales relativas a categorías especiales de datos. Algunos países de fuera de la UE han comenzado a adoptar principios similares a los del RGPD, entre ellos Brasil, que aprobó la Ley General de Protección de Datos (LGPD) en 2018.

La Ley de Privacidad de los Consumidores de California (CCPA), aunque está menos centrada específicamente en la IA, también empodera a los consumidores permitiéndoles prohibir la «venta de datos». Se trata de una medida que no es en absoluto irrelevante. Sin la posibilidad de recopilar y fusionar datos de diferentes fuentes, su valor para fines de aprendizaje automático puede disminuir considerablemente. Por otro lado, sin la posibilidad de vender datos, los incentivos para realizar análisis estadísticos excesivos de los datos se disipa en cierta medida.

A la hora de crear un marco más amplio para la regulación de la inteligencia artificial, la situación legal sigue estando menos clara por ahora. Los principios y las reglas se limitan actualmente a directrices no vinculantes, como las Directrices Éticas para una IA Fiable de la UE. Pero esto no afecta a los aspectos de privacidad por los que los reguladores europeos ya pueden imponer sanciones de hasta 20 millones de € o un 4 % de los ingresos mundiales de la empresa. Las sanciones de la CCPA son menores, pero se pueden multiplicar debido al número de usuarios afectados.

El panorama regulatorio de la IA

A principios de 2019, la autoridad francesa de protección de datos CNIL puso una multa de 50 millones de € a Google por su insuficiente transparencia en relación a la publicidad dirigida. Como indicó la CNIL, «la información esencial, como los fines del procesamiento de datos, sus periodos de almacenamiento y las categorías de datos utilizadas para la personalización de los anuncios están diseminadas en exceso a lo largo de diferentes documentos, con botones y enlaces en los que es necesario hacer clic para acceder a información complementaria». Aunque la multa no se acercó al límite máximo permitido por el RGPD, el caso abre la veda para que las autoridades de protección de datos hagan más pesquisas en 2020.

Por ejemplo: ¿están suficientemente explicados los algoritmos de aprendizaje automático y las fuentes de datos que se utilizan con ellos? Cuando las autoridades de protección de datos tratan de encontrar respuesta a estas preguntas, ¿confiarán en la información que aporten las empresas? Si no es así, podrían empezar a profundizar más en base a evidencias anecdóticas. ¿Cómo es posible que el usuario esté viendo un anuncio particular? ¿Se ha basado este hecho en un algoritmo sofisticado de aprendizaje automático o se han analizado datos que no debieran haberse analizado?

Hasta ahora, las batallas legales por la privacidad se han centrado principalmente en el cumplimiento formal, por ejemplo en los dos casos «Schrems». Pero las tendencias de uso de la IA en 2020 podrían obligar a los reguladores a mirar con más atención lo que está pasando en realidad en las profundidades de las cajas negras de dispositivos domésticos y en la nube. Mientras redacto este artículo, la UE acaba de dar un paso para imponer una prohibición temporal sobre el reconocimiento facial en espacios públicos.

AI, IoT and Big Data

IA, IoT y Big Data, ¿puede la normativa abarcarlo todo?

En el vlog de la semana pasada indagamos sobre la regulación de la IA, el IoT y el Big Data cuando se utilizan de manera conjunta.

IA, IoT, Big Data—estas tecnologías desempeñan sin duda un rol esencial en la era conectada de hoy en día. Debido a que cada vez están más integradas en nuestras vidas, son muchas las medidas regulatorias -incluidos el RGPD y la LOPDGDD- que se han implementado a fin de proteger los datos personales, y la privacidad y derechos asociados de los individuos. ¿Pero cómo debería regularse cuando todas ellas se utilizan a la vez?

En primer lugar resulta necesario comprender el significado de cada uno de los conceptos:

Inteligencia Artificial (IA): John McCarthy, acuñó el término por primera vez en 1956 y lo definió como “la ciencia y la ingeniería de hacer máquinas inteligentes”. Un concepto más moderno sería el siguiente: “la simulación de los procesos de inteligencia humana por las máquinas, especialmente sistemas de ordenadores. Estos procesos incluyen aprendizaje (la adquisición de la información y reglas para usar esa información), razonamiento (usar las reglas para alcanzar o definir conclusiones) y auto-corrección.

Internet de las cosas (IoT): el IoT se entiende como “un sistema de dispositivos, máquinas mecánicas y digitales, objetos, animales o personas interconectados que cuentan con un identificador único y tienen la habilidad de transferir información por toda la red sin necesitar intervención humano-humano o humano-máquina”.

Big Data: una definición muy usada de Big Data, proporcionada por el diccionario IT de Gartner, es “…alto volumen, alta velocidad y alta variedad de activos de información que demandan formas efectivas e innovadoras para procesar la información a fin de alcanzar resultados mejorados y toma de decisiones”.

Todos ellos implican tratamiento de datos, con lo que quedaclaro que deberán cumplir con el RGPD cuando estos seanclasificados como personales o con otras regulaciones comoaquella de Libre Circulación de Datos no Personales cuandono. Pero, ¿hay otros requisitos legales obligatorios a los que deberían ajustarse aparte de la normativa de protección de datos y privacidad? De hecho los hay, pero cada una de estas tecnologías presenta diferentes características y necesidades como para ajustarse todas a los mismos.

Por ejemplo, la IA despierta implicaciones éticas, como hemos discutido en algunos de nuestros vídeos anteriores  y el IoT es dependiente del 5G y de la Regulación de Telecomunicaciones, mientras que el Big Data tendrá que afrontar retos propios de ambos.

En este escenario, ¿cómo puede la normativa abarcar cada una de las diferentes implicaciones cuando todas estas tecnologías se aplican de manera conjunta, por ejemplo, en un proyecto?

Proponemos varias posibilidades sobre cómo se podría solucionar:

o Imponer a las empresas, universidades, instituciones públicas, etc. la obligación de incluir en el equipo a un profesional TIC antes de llevar a cabo cualquier proyecto que aúne el uso de la IA, IoT, Big Data y tecnologías similares. Se podría a estos efectos crear una certificación por entidades específicas de acreditación.
o Regulación y legislación específica por tecnología, que reúna la mayor parte de los riesgos TIC e imponga unos requisitos mínimos sobre cómo debería aplicarse.
o Creación a nivel europeo de un cuerpo Legal-techindependiente que sea el responsable de lanzar orientación y códigos de conducta sobre los principales desafíos y retos TIC.

Aunque la Regulación y los códigos de conducta pueden ayudar para unificar estándares, no hay que olvidar que la aplicación de la diligencia debida y el compromiso de los responsables y miembros de los equipos profesionales a la cabeza de este tipo de proyectos son al final la pieza clave para asegurar que se aplican las medidas de seguridad adecuadas, independientemente de las obligaciones impuestas de manera externa.

 

Si necesitas asesoramiento en IA para tus productos y servicios, Aphaia ofrece evaluaciones de la ética de la IA y evaluaciones de impacto.