El año 2019 ha demostrado que las reglas del RGPD acerca de la elaboración de perfiles con IA no podrían haber sido más oportunas. Desde paneles publicitarios inteligentes hasta dispositivos de audio en casa, la IA se ha desplegado para dar sentido a todo lo que exponemos sobre nosotros mismos, incluso las caras y las cosas que decimos informalmente. Al margen de estos acontecimientos, que en muchas ocasiones han despertado inquietudes, el cumplimiento de la legislación en el sector ha sido algo lento. ¿Será 2020 el año en que la regulación sobre la privacidad devuelve por fin el golpe?
Tecnología de IA
A pesar del endurecimiento de la legislación, parece que sigue habiendo un claro sesgo hacia el despliegue de la tecnología sin tener en cuenta si su implementación satisface los requisitos de cumplimiento normativo. Merece la pena apuntar que la tecnología, de por sí, rara vez incurre en un «incumplimiento», sino que es la forma en que se usa la que genera problemas.
Pongamos por ejemplo los paneles publicitarios inteligentes capaces de leer las expresiones faciales que se han desplegado en múltiples ubicaciones públicas y concurridas en 2019. ¿Se ha sometido a estos proyectos a la evaluación del impacto sobre la privacidad de la Regulación General de Protección de Datos (RGPD), tal como exige la ley? Debemos apuntar que la propia monitorización por vídeo de los espacios públicos ya conlleva considerables riesgos para la privacidad. Al añadir a esta monitorización por vídeo un análisis en tiempo real de las características faciales, el RGPD ofrece al consumidor el claro derecho a objetar por la elaboración de perfiles. Si hacemos caso omiso a las obvias dificultades para objetar a un panel publicitario en una calle concurrida, ¿cómo se observará en el futuro la objeción del consumidor a esta elaboración de perfiles la siguiente vez que pase por delante?
El aprendizaje automático nos permite dar cada vez más sentido a enormes cantidades de datos. Por si no lo parecían ya, se pronostica que las soluciones que se lancen en 2020 pueden percibirse incluso como más intrusivas. Es irónico, no obstante, que dicha percepción puede no ser aplicable en el caso de ciertos sistemas inteligentes desarrollados para crear vínculos más sutiles, menos intrusivos a la vista y por tanto más efectivos para vincular nuestras preferencias y las ofertas comerciales que se nos presentan. Esto puede ayudarnos a entender qué aspecto de la publicidad dirigida detestamos más: la intrusión en la privacidad o la burda implementación de la tecnología.
La IA y la ley
La idea de que la ley es simplemente «incapaz de mantenerse al día con la tecnología» no solo es una respuesta inadecuada al problema, sino que también suele carecer de base como afirmación. El RGPD incorpora provisiones concretas acerca de la elaboración de perfiles y la toma de decisiones automatizada, creadas a medida para el uso de la inteligencia artificial en relación con el procesamiento de datos personales. Dicho procesamiento queda sujeto al derecho de obtener la intervención humana y al derecho de objetar al procesamiento. También existen limitaciones adicionales relativas a categorías especiales de datos. Algunos países de fuera de la UE han comenzado a adoptar principios similares a los del RGPD, entre ellos Brasil, que aprobó la Ley General de Protección de Datos (LGPD) en 2018.
La Ley de Privacidad de los Consumidores de California (CCPA), aunque está menos centrada específicamente en la IA, también empodera a los consumidores permitiéndoles prohibir la «venta de datos». Se trata de una medida que no es en absoluto irrelevante. Sin la posibilidad de recopilar y fusionar datos de diferentes fuentes, su valor para fines de aprendizaje automático puede disminuir considerablemente. Por otro lado, sin la posibilidad de vender datos, los incentivos para realizar análisis estadísticos excesivos de los datos se disipa en cierta medida.
A la hora de crear un marco más amplio para la regulación de la inteligencia artificial, la situación legal sigue estando menos clara por ahora. Los principios y las reglas se limitan actualmente a directrices no vinculantes, como las Directrices Éticas para una IA Fiable de la UE. Pero esto no afecta a los aspectos de privacidad por los que los reguladores europeos ya pueden imponer sanciones de hasta 20 millones de € o un 4 % de los ingresos mundiales de la empresa. Las sanciones de la CCPA son menores, pero se pueden multiplicar debido al número de usuarios afectados.
El panorama regulatorio de la IA
A principios de 2019, la autoridad francesa de protección de datos CNIL puso una multa de 50 millones de € a Google por su insuficiente transparencia en relación a la publicidad dirigida. Como indicó la CNIL, «la información esencial, como los fines del procesamiento de datos, sus periodos de almacenamiento y las categorías de datos utilizadas para la personalización de los anuncios están diseminadas en exceso a lo largo de diferentes documentos, con botones y enlaces en los que es necesario hacer clic para acceder a información complementaria». Aunque la multa no se acercó al límite máximo permitido por el RGPD, el caso abre la veda para que las autoridades de protección de datos hagan más pesquisas en 2020.
Por ejemplo: ¿están suficientemente explicados los algoritmos de aprendizaje automático y las fuentes de datos que se utilizan con ellos? Cuando las autoridades de protección de datos tratan de encontrar respuesta a estas preguntas, ¿confiarán en la información que aporten las empresas? Si no es así, podrían empezar a profundizar más en base a evidencias anecdóticas. ¿Cómo es posible que el usuario esté viendo un anuncio particular? ¿Se ha basado este hecho en un algoritmo sofisticado de aprendizaje automático o se han analizado datos que no debieran haberse analizado?
Hasta ahora, las batallas legales por la privacidad se han centrado principalmente en el cumplimiento formal, por ejemplo en los dos casos «Schrems». Pero las tendencias de uso de la IA en 2020 podrían obligar a los reguladores a mirar con más atención lo que está pasando en realidad en las profundidades de las cajas negras de dispositivos domésticos y en la nube. Mientras redacto este artículo, la UE acaba de dar un paso para imponer una prohibición temporal sobre el reconocimiento facial en espacios públicos.
