Skip to content
SERVICIOS

La rebelión de las máquinas o el boom de la Inteligencia Artificial. A cargo de Pablo García-Girón Pérez

Deja un comentario / Árbol del derecho, Otras ramas, Protección de datos, Revista seriada / Por

AD 26/2023

La rebelión de las máquinas, o el boom de la Inteligencia Artificial

 

Resumen

El objetivo del presente artículo consiste en el estudio de las implicaciones que las herramientas de Inteligencia Artificial, como ChatGPT, tienen sobre el tratamiento de datos personales, a la luz de las actuaciones que la Agencia Española de Protección de Datos (AEPD) ha llevado a cabo al respecto en los últimos meses.

En el apartado I., el lector encontrará unas breves notas introductorias sobre el estado de la cuestión, respecto de la generalización del uso del ChatGPT.

En el apartado II., la intención del autor es plantear una serie de cuestiones y conceptos iniciales para el lector neófito que quiera acercarse a las técnicas de inteligencia artificial, conceptualmente y respecto de su funcionamiento, así como respecto de las implicaciones que puede tener de cara a la sociedad.

En el apartado III., se presenta el rápido desarrollo y generalización que han experimentado estas herramientas en los últimos años, correlacionándolo con las principales iniciativas legislativas que evidencian la preocupación del legislador comunitario, nacional y regional, con respecto del uso que se puede dar a estas herramientas.

En el apartado IV., el objetivo consiste en señalar los principales riesgos legales que se generan del uso de estas herramientas de cara al tratamiento de datos personales, relacionándolo con los pasos que ha venido dando la AEPD de cara a presentar soluciones respecto del uso de las mismas.

En el apartado V., el autor presenta una serie de puntos fundamentales que pueden concluirse del análisis llevado a cabo en el artículo.

En el apartado VI., el lector encontrará las referencias jurídicas utilizadas para la elaboración del presente artículo.

Abstract

The aim of this article is to study the implications that Artificial Intelligence tools, such as ChatGPT, have on the processing of personal data, in light of the actions that the Spanish Data Protection Agency (AEPD) has carried out in this regard in recent months.

In section I., the reader will find some brief introductory notes on the state of play regarding the generalisation of the use of ChatGPT.

In section II, the author’s intention is to raise a series of initial questions and concepts for the neophyte reader who wishes to approach artificial intelligence techniques, conceptually and in terms of how they work, as well as their implications for society.

Section III presents the rapid development and generalisation that these tools have experienced in recent years, correlating it with the main legislative initiatives that show the concern of the Community, national and regional legislator with regard to the use that can be made of these tools.

In section IV, the objective is to point out the main legal risks generated by the use of these tools with regard to the processing of personal data, relating it to the steps that the AEPD has been taking in order to present solutions with regard to their use.

In section V., the author presents a series of fundamental points that can be concluded from the analysis carried out in the article.

In section VI, the reader will find the legal references used in the preparation of this article.

 Palabras clave

Inteligencia artificial, IA, aprendizaje automático, protección de datos, RGPD, gobernanza de datos, economía del dato, derechos, privacidad, evaluación de impacto, decisiones automatizadas, minimización, transparencia, exactitud, sesgo.

 Key Words

Artificial intelligence, AI, machine learning, data protection, GDPR, data governance, data economics, rights, privacy, impact assessment, automated decisions, minimisation, transparency, accuracy, bias.

1.- Introducción

En 1984, el director James Cameron revolucionaría el cine con el estreno de la primera película de la saga Terminator, donde una inteligencia artificial (IA) militar desarrollada por el ejército de los Estados Unidos se rebela contra la humanidad con el objetivo de exterminarla.

Aunque lejos quedaron aquellos primeros años 80, lo cierto es que el desarrollo de las IA está suponiendo un terremoto en múltiples disciplinas, como, por ejemplo, la reciente polémica desatada en el mundo del Twitter jurídico respecto de las obras artísticas realizadas a través de técnicas de IA, lo que ha puesto en pie de guerra al mundo del cómic, entre otros sectores. Otro ejemplo lo encontramos respecto de la decisión que algunos diarios nacionales han tomado respecto del uso de este tipo de imágenes generadas por IA para ilustrar sus noticias[1].

Al introducir la palabra ChatGPT en el buscador de Google lo primero que sorprende no son los más de dos millones de resultados que arroja el agregador de contenidos, sino la enorme cantidad de cursos introductorios para aprender a utilizar la herramienta que se ofrecen al usuario. Este ejemplo es una muestra más sobre la generalización que el uso de técnicas de inteligencia artificial (IA) están experimentando en nuestro día a día. Están adquiriendo una relevancia tal que han relegado a un segundo plano a esas otras tecnologías disruptivas que parecían dominar la conversación en los foros jurídicos y tecnológicos, como lo habían estado haciendo las criptomonedas, los NFT (Non Fungible Token) o el tan cacareado metaverso.

No cabe duda del reto que van a suponer a nivel jurídico en diversas disciplinas, por ejemplo, en lo que a la gestión de derechos de propiedad intelectual e industrial se refiere[2]. Pero también en cuanto a la gestión que estas herramientas realizan sobre la protección de datos personales. No es de extrañar que la Agencia Española de Protección de Datos ya haya realizado guías al respecto, como la “Guía de Requisitos para Auditorías de Tratamientos que incluyan IA”, o la “Guía de Tecnologías y Protección de Datos en las AAPP”.

En esta ocasión nos vamos a centrar en cómo impactan estas herramientas en la protección de datos personales, así como en las polémicas que se han suscitado derivadas de la generalización en el uso de esta herramienta, señalando los riesgos que puede provocar.

 

2.- Qué es la Inteligencia Artificial[3]

 

Lo primero de todo, como diría Manuel Manquiña, “el concepto es el concepto”:

  • Si queremos conocer el significado de “inteligencia artificial”, por un lado, el Diccionario de la RAE[4] lo define como una derivada del término “inteligencia” (capacidad de entender o comprender, resolver problemas, conocimiento, comprensión, acto de entender), entendida como “la disciplina científica que se ocupa de crear programas informáticos que ejecutan operaciones comparables a las que realiza la mente humana, como el aprendizaje o el razonamiento lógico”. Esta definición destaca ese paralelismo con la capacidad que tiene la mente humana para aprender y razonar de forma lógica, aquello que nos hace “humanos”.
  • Por otro lado, de conformidad con la Comisión Europea, la IA es la habilidad de una máquina de presentar las mismas capacidades que los seres humanos, como el razonamiento, el aprendizaje, la creatividad y la capacidad de planear.
  • Además, el Grupo de Alto Nivel en Inteligencia Artificial de la Unión Europea lo considera como “aquellos sistemas que manifiestan un comportamiento inteligente, al ser capaces de analizar el entorno y realizar acciones, con cierto grado de autonomía, con el fin de alcanzar objetivos específicos”.

A pesar de lo disruptivo que puede sonar este concepto, lo cierto es que algunas técnicas de IA llevan bastante tiempo entre nosotros[5], sin embargo, es cierto que los avances tecnológicos, las economías de escala, el aumento en la capacidad de procesamiento y almacenamiento de la información, y el acceso a la misma, han provocado que estemos asistiendo al desarrollo de uno de los máximos paradigmas de estos modelos.

De acuerdo con la Guía de Adecuación al RGPD elaborada por la AEPD, la autoridad de control entiende que pueden diferenciarse varios tipos de IA en función de la capacidad de procesamiento de la información y deducción de conclusiones lógicas. Son las siguientes:

  • IA fuertes: son mecanismos de IA que van más allá del potencial conocido por el ser humano.
  • IA generales: en las que la IA podría resolver cualquier tarea intelectual resoluble por el ser humano.
  • IA débiles: las IA que permiten desarrollar soluciones capaces de resolver un problema concreto y acotado. Estos son los modelos más generalizados en nuestra sociedad.

El ChatGPT es sólo una de las muchas herramientas que utilizan técnicas de IA y de machine learning, una herramienta propiedad de la empresa OpenAI consistente en un modelo que interactúa conversando con el usuario. El diálogo permite que la herramienta responda las preguntas del usuario, supuestamente, elaborando complejas respuestas a través de un procesado de cientos de fuentes en cuestión de segundos.

El funcionamiento de estas herramientas suele responder al siguiente ciclo de vida:

  • La gestión sobre el origen de los datos que serán tratados por la herramienta puede realizarse de dos formas: o bien, los datos ya han sido recopilados y preparados por un técnico, o bien, los datos son recopilados por los sensores de la propia máquina.
  • La herramienta procesa esos datos mediante algoritmos matemáticos.
  • La herramienta elabora una respuesta a la necesidad que le hemos solicitado, con base en la información cargada o recopilada por ella.

Con más detalle, la AEPD[6] define un modelo de ciclo de vida para una solución IA, la cual tendría las siguientes fases:

  • Fase de concepción y análisis: donde se definen los requisitos de la herramienta. Por un lado, se compone de requisitos del negocio donde se desarrolla el tratamiento de datos personales, por otro lado, deben incluir requisitos funcionales basados en las restricciones normativas del país donde se está desarrollando la solución.
  • Fase de desarrollo: la AEPD diferencia entre etapas de investigación, diseño, desarrollo de prototipos, plan de pruebas, entrenamiento y validación de la solución de IA.
  • Fase de explotación: entendida como la ejecución de las distintas acciones para llegar a ejecutar la herramienta en Producción.
  • Fase de retirada final del tratamiento/componente:

Lo realmente disruptivo de estas herramientas no reside tanto en la capacidad de tratar un volumen ingente de información en poco tiempo, algo que ya realizaban las técnicas basadas en Big Data, como, más bien, en su capacidad de “aprender” de sus propios errores, de manera que la máquina irá depurando su actividad con el tiempo para ofrecer resultados más optimizados.

Asimismo, de acuerdo con la Comisión Europea, estas técnicas de IA se pueden articular de dos maneras: por un lado, entorno a desarrollos de software que se materializan como asistentes virtuales para el usuario, análisis de información (imágenes, motores de búsqueda), sistemas de reconocimiento facial, etc. Estos modelos, generalmente, se ven sustentados por soluciones en nube de software como servicio, que es lo que contrata el cliente. Por otro lado, puede tratarse de sistemas de IA que se ven integrados en hardware, como pueden ser los vehículos autónomos.

Por tanto, podemos utilizar las técnicas de IA para múltiples funciones. Algunas de ellas son:

  • Podemos utilizar técnicas de IA para que elaboren el guion de una película, simplemente con indicarle unas pautas genéricas con las que queremos que lo escriba. Por ejemplo: puedo indicarle que me elabore una historia sobre un romance, que se desarrolle en la Edad Media, con un final feliz. Esto es extensible a la crítica cinematográfica, donde podemos pedirle a la herramienta que elabore la crítica, y el sentido, a favor o en contra de la película, que queremos darle a su valoración.
  • También podemos utilizar estas herramientas para elaborar imágenes, cuadros, dibujos, novelas gráficas, etc, o incluso imitar el estilo de autores consagrados.
  • Estas técnicas tendrán una gran utilidad para el Internet de las Cosas: por ejemplo, pensemos en las llamadas “casas inteligentes”, donde los sensores aprenderán de nuestro comportamiento en su interior para ofrecernos servicios que se adapten a nuestros hábitos vitales de manera más ajustada.

También conviene mencionar el concepto de “aprendizaje automático” o “machine learning”[7], una de las ramas de IA que más se ha generalizado por su amplio potencial a nivel comercial. Es una técnica de IA que se encarga de diseñar modelos predictivos para construir la relación entre las variables a estudiar mediante un análisis del conjunto inicial de datos, para identificar patrones y establecer criterios de clasificación de la información. Una vez ha realizado este proceso inicial, a partir de ese momento, al introducir nuevos conjuntos de datos, la herramienta va a llevar a cabo deducciones del proceso anterior.

En definitiva, el machine learning es la capacidad que tienen estas herramientas de aprender de sí mismas, de los errores, o no, que se han producido en procesamientos anteriores, lo que les permite afinar sus resultados en cada proceso.

De acuerdo con el funcionamiento de estas herramientas, existe un problema de base para cualquier técnica basada en el procesado masivo de datos, como es el ChatGPT, consistente en la confiabilidad y diversidad de los datos que va a cruzar para obtener conclusiones. Así, es frecuente encontrar errores groseros en muchas de las respuestas emitidas por el ChatGPT. Es decir, lo que realmente le importa al desarrollador de estas herramientas es la capacidad que tenga de confiar en la fiabilidad de las fuentes de las que está extrayendo datos, en su diversidad y calidad de los datos. Es por este motivo que su labor se va a dirigir a lograr ambos objetivos. Sin embargo, no podemos obviar que existe una legislación en materia de protección de datos que protege los derechos fundamentales de las personas, los cuales no pueden verse vulnerados por la labor desplegada por la IA.

Asimismo, existe un problema adicional a la utilización de la IA respecto de la posibilidad de generar escenarios discriminatorios, o lo que se ha venido conociendo en algunos ámbitos públicos como “el sesgo del algoritmo”. Este sesgo se fundamenta en que, en origen, los datos que vamos a ingresar en la herramienta, así como su propia configuración, provienen de las manos de un ser humano. Una persona que puede haber volcado sus propios sesgos de percepción sobre estos datos, o sobre la propia herramienta. Por tanto, es importante regular las situaciones en que se pueden utilizar herramientas de IA, y en qué casos deben limitarse o, directamente, prohibirse. Pensemos en la posibilidad que tienen las Administraciones Públicas de llevar a cabo la gestión de prestaciones (incapacidades, pensiones, etc) sobre la base de estos algoritmos, hasta el punto de, potencialmente, dejar descansar la decisión final de conceder, o no, la prestación sobre la herramienta sin intervención humana.

Por último, aunque no será objeto de este artículo, no hay que olvidar otros riesgos de cumplimiento normativo tales como la gestión de los derechos de propiedad intelectual e industrial sobre los contenidos utilizados, o consultados, por la herramienta, así como el acceso a información sensible o sujeta a requisitos de confidencialidad, como puede ser el caso de información proveniente de Administraciones Públicas.

 

3.- El “boom”[8] de la Inteligencia Artificial

 

Conforme con lo que hemos analizado en el apartado anterior, parece evidente que los años que estamos viviendo se están caracterizando, o lo harán en un futuro muy cercado, por estos desarrollos basados en técnicas de IA.

Tanto es así la importancia que se le está dando a esta cuestión que el máximo responsable de ChatGPT, el CEO de Open AI, Sam Altman, ha comparecido ante el Senado de los Estados Unidos con fecha 17 de mayo de 2023 para valorar la cuestión, mostrando gran preocupación por el impacto que estas herramientas puedan tener en diversos ámbitos de la vida, pero también a la hora de dedicar esfuerzos para fines ilícitos como la proliferación de fake news o la manipulación del electorado en unos comicios[9].

Por este motivo, por el desarrollo tan vertiginoso que se ha venido produciendo en los últimos años, hemos asistido a la elaboración de parches jurídicos por parte del legislador. Algunos de estos ejemplos son los siguientes:

  1. Propuesta de Reglamento europeo sobre Inteligencia Artificial: durante el mes de mayo se ha propuesto a votación el reglamento que está llamado a interrelacionarse con las propuestas europeas sobre gobernanza de datos, reutilización de la información del sector público y estrategia europea sobre datos abiertos. Muy resumidamente, la Unión Europea considera que los datos tienen una importancia capital a la hora de desarrollar este tipo de tecnologías, motivo por el que se impulsaron medidas para mitigar los obstáculos en el acceso a los datos y su reutilización (donde, a su vez, cobraba especial interés la reutilización de la información que posee el Sector Público)[10]. Aspectos relevantes de la propuesta de Reglamento son su previsión de clasificar las IA en función de su nivel de riesgo, así como plantear medidas de seguridad en función de dicho riesgo, algo que ya nos suena bastante como derivada del principio de responsabilidad activa del RGPD. Creo que lo interesante de estas medidas descansa en su intención de implicar al promotor del proyecto en lo que a una evaluación de seguridad previa a la puesta en producción de la herramienta se refiere. Es decir, se debe probar la herramienta para valorar la cantidad, idoneidad de los datos, analizar los posibles sesgos, garantizar estándares de calidad sobre la validación y prueba de los datos, así como establecer un modelo de gestión de calidad sobre esos datos.
  2. Normativa sobre economía del dato y reutilización de la información del sector público[11].
  3. En el año 2019 el Parlamento Europeo promulgó la Resolución, de 12 de febrero de 2019, una política industrial global europea en materia de inteligencia artificial y robótica, entendiendo que eran disciplinas que debían ponerse en el punto de mira de la Unión Europea para plantear un ecosistema legislativo que previera tanto requisitos de transparencia y desarrollo ético como requisitos para el enriquecimiento de la sociedad europea.
  4. En España la Ley 15/2022 para la igualdad de trato y la no discriminación dedica su artículo 23 “Inteligencia Artificial y mecanismos de toma de decisión automatizados” a la obligación a las AAPP de implantar mecanismos que tiendan a minimizar la aparición de sesgos respecto de los datos utilizados para entrenar algoritmos o procesos de analítica de datos que puedan derivar en la toma de decisiones de forma automatizada.
  5. También en España, podemos encontrar normativa autonómica como el Real Decreto-Ley 2/2023 de medidas urgentes de impulso a la inteligencia artificial en Extremadura, el cual, en su artículo 12, contempla las garantías para la utilización de la IA en procedimientos administrativos previendo una medida de transparencia para con el ciudadano. Concretamente, se le debe informar del uso de estas herramientas así como del proceso lógico que ha llevado a la decisión administrativa y los riesgos que esto implica para sus derechos.
  6. Acciones del Supervisor Europeo de Protección de Datos: el CEPD, cuyas acciones no tienen fuerza de ley, pero sí son tomadas en cuenta por las autoridades de control nacionales a la hora de definir sus criterios al resolver procedimientos sancionadores, ha creado un grupo de trabajo específico[12] para tratar los conflictos jurídicos derivados del uso de la IA. Previsiblemente, de este grupo saldrán directrices que deberemos atender a la hora de desarrollar, y utilizar, estas herramientas. Fuera del ámbito de la Protección de datos, también la Comisión Europea ha creado el “Grupo de Alto Nivel en inteligencia Artificial”, para desarrollar una Estrategia Europea en la materia.

Sin embargo, tal y como comentaba Sam Altman en el Senado de los EEUU, es cierto que estas iniciativas sectoriales, nacionales y regionales, no pueden evadir la necesidad de llegar a conseguir grandes acuerdos trans y supranacionales, ya que los posibles riesgos que esta herramienta va a generar serán mundiales.

 

 4.- Riesgos para la protección de datos personales derivados del uso de la Inteligencia Artificial

Es importante comenzar este apartado teniendo claro que no todos los sistemas de IA implican un tratamiento de datos personales, y no todos los sistemas de IA que tratan datos personales realizan ese tratamiento respecto de todas las fases de su ciclo de vida. Por tanto, lo comentado en el presente apartado queda condicionado a que se produzca un tratamiento de datos de carácter personal.

El principal problema existente a la hora de llevar a cabo proyectos de IA, más allá de cuestiones sociales que van a afectar a los Estados a la hora de plantearse un colchón social para todos los puestos de trabajo que se van a destruir, consiste en la colisión que esta tecnología puede provocar respecto de normativas como la protección de datos personales. De esta manera, algunas autoridades nacionales europeas de control sobre el cumplimiento del RGPD ya están investigando respecto del posible incumplimiento que estas herramientas están llevando a cabo sobre la protección de datos[13].

Por ejemplo, en marzo de 2023 el Garante de protección de datos italiano[14] ha decidido llevar a cabo medidas de bloqueo sobre el uso del ChatGPT en territorio italiano hasta que no hayan quedado claras las formas de tratamiento sobre los datos. El motivo por el que la autoridad italiana ha bloqueado esta herramienta es la inseguridad respecto del modo en que se recopilan los datos que utiliza ChatGPT para emitir sus respuestas a los usuarios. Asimismo, a la autoridad italiana no le queda claro el modo en que se tratan los datos de los titulares, por lo que considera que se están incumpliendo los deberes de información. Además, tampoco queda clara la existencia de una base de legitimación que ampare la recogida y tratamiento de los datos.

Asimismo, en España también tenemos a la AEPD[15] investigando de oficio a la empresa OpenAI, propietaria de la herramienta, tal y como la propia AEPD anunció por medio de una nota de prensa.

Hay que tener en cuenta que el RGPD ya plantea previsiones sobre tecnologías que pueden llevar a cabo los procesos propios de las IA, por ejemplo, el derecho que tiene el titular de los datos a no ser objeto de una toma de decisiones de forma automatizada que puede desplegar efectos jurídicos sobre su persona. Es decir, aquellos casos en que la IA se utiliza para llevar a cabo una toma de decisiones en la que no va a producirse ninguna “intervención humana” artículo 22 RGPD.

Por este motivo, la AEPD ha venido publicando a lo largo de estos últimos años una serie de guías donde establece criterios para utilizar estas herramientas y garantizar la salvaguarda de los datos personales.

En primer lugar, la AEPD publica una Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial, que ya desde el preámbulo nos avisa que el documento es una “introducción”, por lo que la AEPD nos prepara para la publicación de otras guías que complementarán estas previsiones. Lo segundo que me llama la atención es, teniendo en cuenta lo mucho que estamos hablando de los tratamientos de IA en estos días, lo poco que se ha hablado de este documento.

La Guía tiene por objetivo señalar los aspectos más relevantes en relación con el impacto que el RGPD pueda tener sobre las herramientas IA de tipo débil. En este sentido, es importante resaltar que la AEPD entiende que hay dos enfoques en la toma de decisiones que puede llevar a cabo la IA:

  • La IA sirve de ayuda para el proceso de toma de decisiones.
  • La IA toma y ejecuta la decisión, no hay intervención de un ser humano.

La cuestión tiene una importancia capital a la hora de contemplar cómo le va a afectar al proyecto la normativa en protección de datos, como hemos visto anteriormente en el caso del derecho a no ser objeto de un proceso de toma de decisiones de forma automatizada.

A la hora de comentar la Guía de la AEPD intentaré centrarme en los aspectos más específicos de la IA, obviando los aspectos generales de cumplimiento RGPD. Los aspectos de análisis de la Guía, que he considerado relevantes, son los siguientes:

  1. Análisis sobre el tratamiento que emplea una IA: el primer paso a la hora de afrontar un análisis de privacidad, o de cumplimiento normativo de la protección de datos, consiste en evaluar la propia herramienta de la IA sin olvidar su interrelación con el tratamiento de datos personales que la engloba. Es decir, debemos tener en cuenta la herramienta en sí misma sin olvidar cómo juega con el contexto en el que está interactuando. Este aspecto del análisis tiene mucho que ver con lo que comentábamos en el apartado II., sobre la posibilidad existente en el funcionamiento y configuración de estas herramientas de generar conclusiones basadas en sesgos discriminatorios. Es por ello que la AEPD considera que debemos estudiar el aspecto cultural y escala de valores que rodean el desarrollo de la IA, el contexto en que se despliega el servicio con requisitos de calidad, así como los aspectos que se derivan de la interconexión masiva de estas herramientas en la sociedad de la información. Estos elementos de análisis deben valorar de forma crítica cuál ha sido el proceso lógico que ha seguido la herramienta para llegar a una conclusión, así como la propia conclusión que ha extraído.

Asimismo, parte de este análisis inicial será estudiar los roles de los intervinientes en el tratamiento[16], lo que podrá determinarse en función de la solución IA que se haya adquirido a un tercero, el modo en que se ha adquirido, o por qué se haya desarrollado internamente por el responsable del tratamiento.

  1. Licitud del tratamiento: la fase en que se debe definir cuál es la base de legitimación del tratamiento será en los momentos iniciales de la definición del proyecto, en su concepción, ya que el proceso no podrá continuar, en tanto en cuanto, no tengamos clara cuál de las bases puede amparar la legitimación del tratamiento de datos. La AEPD pretende valorar cuáles son las bases legitimadoras más comunes para amparar este tipo de tratamientos (el consentimiento y la ejecución de un contrato del que el interesado es parte) donde llama la atención que recurra como tercera posibilidad al interés legítimo habida cuenta del nulo desarrollo que ha querido proporcionarle[17]. Así todo, tampoco podemos olvidar el resto de las bases de legitimación del artículo 6 del RGPD como alternativas viables.

 

El principal obstáculo con respecto a la licitud surge desde el momento en que una solución de IA suele emplearse para múltiples finalidades, muchas de ellas potencialmente diferentes de las que justificaron la recogida inicial de los datos personales, así como en el acceso a datos de terceros que la herramienta realiza para generar sus respuestas, o conclusiones. Hay que tener en cuenta que la base de legitimación ampara la finalidad a la que va asociada, la cual motiva la recogida de los datos, lo que implica que esa base no tiene por qué tener la capacidad de amparar finalidades posteriores que puedan surgir durante, o al finalizar, el tratamiento.

A esto hay que añadir que las obligaciones en materia de información (art. 12 y 13 del RGPD) nos imponen tener informado al titular sobre el tratamiento que llevamos a cabo de sus datos personales. No podemos informar a la persona sobre una finalidad, tratamiento y base de legitimación que, posteriormente, cambiaremos en función de las necesidades de negocio que podamos tener en el futuro. Si esos aspectos cambian, además de amparar el nuevo tratamiento en una nueva base de legitimación, tendremos que informar nuevamente al titular de los datos sobre cómo van a ser tratados bajo los nuevos parámetros. Asimismo, como especialidad en el deber de información destaca el requisito del artículo 13.2.f) del RGPD sobre la necesidad de que el titular de los datos comprenda la lógica aplicada por el mecanismo automatizado que tratará sus datos, así como la importancia y consecuencias de la decisión que puede tomar.

Además de lo anterior, respecto del tipo de datos que vamos a tratar con estas herramientas de IA, hay que tener en cuenta el artículo 22.4 del RGPD cuando impone una limitación adicional a la prohibición general de tratar categorías especiales de datos (datos sobre la salud y biométricos y genéticos, vida y orientación sexual, opiniones políticas o creencias filosóficas o religiosas, afiliación sindical, origen racial o étnico) consistente en exigir que se hayan tomado medidas adecuadas para salvaguardar los derechos del titular de los datos, y se aplique la base de legitimación del consentimiento o del interés público. Por tanto, para tratar categorías especiales de datos con técnicas de IA será necesario recurrir a una de esas dos bases de legitimación, necesariamente.

  1. Gestión de solicitudes de ejercicio de Derechos: el principal obstáculo que se puede encontrar la gestión de las solicitudes de derechos previstos en el RGPD reside en la potencial diversidad de actores, especialmente diferentes responsables del tratamiento, que pueden intervenir en proyectos de IA. En este sentido, es importante que exista un modelo de colaboración entre estos actores que permita la eficaz gestión de estos derechos.

Cabe mencionar la especialidad del bloqueo de datos, por la cual, debemos tener en cuenta esta posibilidad en el momento del diseño de la tecnología de IA, para permitir que los datos puedan ser bloqueados por el tiempo jurídicamente oportuno.

Sobre el derecho de rectificación, es interesante el conflicto, y la solución, que plantea la AEPD, respecto de los datos que llama “de entrenamiento”, aquellos datos que utiliza la herramienta de IA en las fases iniciales para “pulir” su actividad. En este sentido, de acuerdo con el derecho de rectificación, y voy más allá, el principio de actualización de los datos, sería obligación del responsable del tratamiento aplicar los derechos de rectificación sobre estos datos. Para evitarlo, la AEPD entiende que cuando esos datos en fase de entrenamiento no tienen un efecto directo con el titular de los datos, el hecho de que los datos se encuentren inexactos puede funcionar como una técnica de ofuscación de los datos. La AEPD entiende que no se dará ese efecto sobre el interesado cuando no es posible vincular la información que ha quedado inexacta, desactualizada, con los interesados, a la hora de distribuir la herramienta de IA. En el caso contrario, las obligaciones de rectificar y actualizar los datos seguirán plenamente vigentes.

Por último, tiene especial relevancia el derecho a no ser sometido a toma de decisiones basadas únicamente en un tratamiento automatizado. Esta negativa es válida en aquellas soluciones que cumplan los siguientes requisitos:

  • No media una intervención humana.
  • La decisión produce efectos jurídicos sobre la persona.
  • Puede afectar de forma similar y significativamente a la persona que si produjera efectos jurídicos.

A pesar de lo anterior, hay excepciones en el artículo 22.2 del RGPD donde la negativa al tratamiento no va a operar. Son las siguientes:

  • Se ha recogido el consentimiento explícito del interesado y existen garantías suficientes para proteger sus derechos. En este caso, la AEPD matiza que el responsable del tratamiento debe proporcionar al interesado alternativas viables al tratamiento del que le está informando, así como garantizar que el hecho de rechazar la opción de ser objeto del tratamiento automatizado no va a suponer un perjuicio para el interesado en la relación que mantiene con el responsable.
  • El tratamiento es necesario para la celebración o ejecución de un contrato, y no afecta a categorías especiales de datos.
  • El tratamiento está basado en el derecho de la UE o España, y no afecta a categorías especiales de datos.
  • El tratamiento está basado en el derecho de la UE o España, y es necesario para proteger un interés público esencial.
  1. Análisis y gestión de riesgos: con respecto del análisis de los riesgos que implica el uso de una IA, para la AEPD hay que fijarse en dos factores fundamentales: por un lado, el sesgo en los sistemas de toma de decisiones sobre la persona, que puede llevar a su discriminación, y, por otro lado, los riesgos derivados del contexto social y efectos colaterales que puede desplegar sobre la persona objeto de tratamiento.

Respecto de la elaboración de Evaluaciones de Impacto en la Protección de Datos, dado que uno de los casos en que estos análisis son obligatorios remite a la elaboración de perfiles basados en tratamientos automatizados sobre los que se tomen decisiones que produzcan efectos jurídicos para los titulares de los datos, o les afecten significativamente (art. 35.3.a) del RGPD), parece que los tratamientos basados en técnicas de IA deben estar sujetos a esta obligación.

Resalta la AEPD que la posibilidad contemplada en el artículo 35.9 del RGPD de recabar la opinión de los interesados, es especialmente relevante en los casos en que intervengan soluciones de IA para entender la tecnología que se está utilizando, el contexto preciso en que se va a utilizar, y los modelos específicos de gestión del riesgo que entrañará para el tratamiento de los datos. Una labor que tendrá una gran utilidad a la hora de analizar e identificar las decisiones que toma la herramienta en las distintas fases del proceso, motivo por el que debemos tenerlo en cuenta a la hora de desarrollar estos modelos.

En relación con las medidas de seguridad específicas resultado de la EIPD, resulta interesante comentar el conflicto que subraya la AEPD respecto de las medidas de transparencia, de gran importancia a la hora de garantizar que el interesado pueda tener un control efectivo sobre lo que se hace con sus datos. El problema surge a la hora de aplicar medidas de transparencia en soluciones que están sujetas a derechos de propiedad industrial e intelectual, que requieren de medidas de confidencialidad para evitar que competidores puedan utilizar estas herramientas de forma ilícita. Concretamente, la AEPD considera lo siguiente:

 

  • En la fase de entrenamiento de la herramienta hay que informar al interesado sobre si existe la posibilidad de que, a partir de los datos utilizados en el modelo, sus datos sean reidentificables.
  • Para evitar los problemas de confidencialidad derivados de la propiedad industrial de la herramienta, la AEPD considera una buena práctica recurrir a mecanismos de certificación sobre la herramienta de IA. Sin embargo, como ya sabemos, todavía no se ha desarrollado un esquema de certificación respecto del cumplimiento RGPD.
  • Se debe informar al interesado respecto de los mecanismos a su alcance para solicitar intervención humana en la evaluación, o cuestionar la decisión automatizada.

 

Respecto del principio de exactitud de los datos, la AEPD relaciona la aparición de sesgos en los modelos de las IA con la inexactitud de los datos, que es uno de los aspectos que vulneran los principios de calidad de los datos del artículo 5 RGPD. Esto también puede provenir de errores deliberados en los datos utilizados para la fase de entrenamiento. Con respecto a estos problemas, la AEPD recomienda implementar mecanismos que garanticen la depuración de los datos objeto del proceso, así como permitir garantizar la trazabilidad, a pesar de que es una labor especialmente compleja por cuanto no toda la información que opera como fuente de un sistema de IA tiene por qué ser rotundamente objetiva (pensemos, por ejemplo, en opiniones subjetivas o la evaluación de distintas tendencias científicas). Sin embargo, la exactitud de los datos cobrará especial relevancia en aquellos procesos donde su rigurosidad tenga un peso específico en el tratamiento, como es el caso de la información de tipo biométrico donde la IA debe ser capaz de identificar a la persona de forma fidedigna. En estos casos, no cabe la inexactitud.

La minimización de datos también cobra una especial relevancia para la AEPD sobre los tratamientos que tengan por objeto el uso de técnicas de IA, por cuanto estas técnicas tienden a recurrir a una gran cantidad de fuentes de datos para alimentar sus procesos. Es por ello que un desarrollador puede tener la tentación, y de hecho la tiene, de incluir muchos más datos de los que realmente son necesarios para cumplir con la finalidad que hemos informado a los titulares (es por ello que resulta especialmente relevante tener muy claras las finalidades del tratamiento en el que vamos a utilizar la IA), con el objetivo de obtener un juego de pruebas lo más rico posible para la fase de entrenamiento.

Finalmente, la AEPD define una serie de amenazas que considera específicas de los sistemas de IA, sobre los que pone especial énfasis en la necesidad de aplicar medidas para mitigar el riesgo que suponen:

  • Hay que evitar la posibilidad de que los datos de entrenamiento sean manipulados antes de configurar el modelo de IA.
  • Evitar la inclusión de troyanos y puertas traseras en el desarrollo de la herramienta de IA, o en el propio código.
  • Evitar la manipulación de la API (interfaz de aplicación) del usuario para realizar accesos al modelo que pueden suponer la manipulación de los parámetros del mismo, filtrarlo a terceros, atacar su integridad o la disponibilidad de las conclusiones que elabora la herramienta.
  • Aplicar análisis de robustez y control para evitar que se alimente la IA con datos que pueden conducir a la herramienta a tomar conclusiones erróneas.
  • Hay que evitar que se pueda producir la reidentificación de los datos personales.
  • Hay que evitar que los interesados puedan llevar a cabo un fraude a la IA. Para ello, es necesario analizar la robustez de los procesos de la herramienta y realizar auditorías sobre todo el proyecto.
  • Proteger el acceso a los logs resultado de las conclusiones generadas por la IA en su interacción con los interesados.

Respecto de los logs, la AEPD considera necesario que se registre como mínimo la siguiente información: quién o bajo qué circunstancias accede a los datos incluidos en el modelo de la IA, trazabilidad sobre la actualización de los modelos de conclusiones de la IA, comunicaciones del API del usuario con el modelo y detección de intentos de abuso; trazabilidad para permitir la gobernanza en la comunicación de datos entre todos los agentes que han intervenido en la herramienta de IA, así como un seguimiento de los parámetros de calidad de la solución cuando la herramienta de IA se utilice para la toma de decisiones.

En segundo lugar, la AEPD publica una Guía de Requisitos para Auditorías de Tratamientos que incluyan IA, donde desarrolla una serie de controles que debemos tener en cuenta a la hora de auditar sistemas de IA desde la perspectiva de la protección de datos. Por tanto, a sensu contrario, podemos entender esta guía como una serie de requisitos para validar nuestra herramienta de IA en términos de protección de datos.

A continuación, voy a comentar algunos de los controles que me han parecido más interesantes, dentro de los objetivos de control, y que no hayamos visto anteriormente en la guía de adecuación (como ocurre con las obligaciones de transparencia, por ejemplo). Son los siguientes:

  1. Identificación de la herramienta de IA: o la identificación del “componente”, como lo denomina la AEPD, haciendo alusión a la inclusión de la IA dentro de un tratamiento de datos personales más amplio. Los controles tienen que ver con la necesidad de tener inventariado el proceso de IA e identificadas las responsabilidades de los roles que intervienen en el tratamiento. En general, lo ideal para poder evidenciar la responsabilidad proactiva del responsable del tratamiento en que se encuadra la IA es tener documentadas estas obligaciones. Una manera de hacerlo es incluir un apartado relativo a estas cuestiones de la IA dentro del Registro de Actividades de Tratamiento.
  2. Controles relacionados con las finalidades de la IA: es reseñable que el responsable del tratamiento debe identificar el contexto de uso de la IA, lo que está muy relacionado con la gestión de los sesgos que pueden aparecer al realizar estos tratamientos (tal y como vimos en los apartados II., y III.). Asimismo, en estos controles es dónde debemos plantear medidas tendentes a proteger el principio de necesidad o minimización de datos, y de proporcionalidad del tratamiento, relacionado con la cantidad de datos que la IA va a procesar, y su tendencia a utilizar excesivos conjuntos de datos para entrenar la herramienta. En definitiva, debemos tener un modelo de gestión de datos claramente documentado para poder evidenciar que nuestra herramienta de IA cumple con estos controles.
  3. Controles relativos a los fundamentos de la IA: estos controles se relacionan estrechamente con los relativos a la transparencia de cara al titular de los datos respecto de cuestiones como la lógica que va a utilizar la IA. Concretamente, lo que se pide es que el desarrollo que se ha utilizado para llevar a cabo el componente de IA tenga su acomodo en la política de protección de datos del responsable del tratamiento. Para ello, una evidencia del cumplimiento de estos controles consiste en implicar al DPD en las adecuaciones al RGPD de todos los aspectos que intervienen en el desarrollo de la herramienta (metodología, modelos teóricos base, arquitectura de la solución, fases del ciclo de vida de la IA, etc).
  4. Gestión de los datos: en primer lugar, los controles tienden a asegurar que los datos sean exactos y se encuentren actualizados, es decir, cumplir con los principios de calidad del dato del artículo 5 del RGPD. Así, al responsable del tratamiento le conviene tener un procedimiento donde explique cómo y quién está encargado de garantizar la actualización de los datos que utiliza la herramienta de IA. Asimismo, todos los análisis previos que podemos englobar en las obligaciones de privacidad desde el diseño pueden operar como evidencias del cumplimiento por el responsable del tratamiento. En este objetivo de control se vuelve fundamental la necesidad de documentar el proceso de elección de las fuentes de datos usadas para entrenar la IA, como evidencia de cumplimiento del objetivo de control. Asimismo, también se pone el foco en las “buenas prácticas” respecto de la limpieza de datos para la depuración de la herramienta, buscando, nuevamente, que se encuentren documentados.

En segundo lugar, se dedica un objetivo específico dedicado al control del sesgo, relacionándolo con la actualización de los datos. En este sentido, los controles contemplan la definición de procedimientos para identificar y minimizar su existencia, pero también respecto de análisis previos a la puesta en funcionamiento de la herramienta para evitar la introducción de sesgos en los datos que se ingresan para el entrenamiento de la herramienta. Asimismo, parece evidente que el control más relevante a la hora de mitigar el riesgo por sesgo en la herramienta es la implementación de mecanismos de supervisión humana que asegure el proceso. Como una derivada de esta medida, también se contemplan controles que permitan a los interesados solicitar la intervención humana, o expresar su punto de vista con la decisión que la herramienta ha tomado.

  1. Verificación y validación: respecto de la evidencia que el responsable del tratamiento pueda mostrar para cumplir con el principio de responsabilidad activa respecto de la adecuación de la herramienta de IA al RGPD. En definitiva, se trata de buscar fórmulas (procesos de verificación, estándares de cumplimiento certificables, definición de métricas y criterios de medición de la herramienta, estrategia de pruebas), que nos permitan evidenciar la adecuación a los principios del RGPD.

Finalmente, al AEPD también publicó una Guía de Tecnologías y Protección de Datos en las AA.PP., donde se encarga de valorar una serie de tecnologías “emergentes”, que tienen un enorme potencial para mejorar la eficacia en la prestación de servicios públicos por parte de las Administraciones Públicas. Así, la guía realiza un repaso sobre el uso de cookies y tecnologías de seguimiento, el uso de redes sociales, la utilización de herramientas como el cloud computing, el big data, el blockchain, el desarrollo de smartcities y el uso de técnicas de inteligencia artificial.

Con respecto al apartado relativo a la IA, en primer lugar, la AEPD recuerda que la necesidad de contar con un ser humano que valide el proceso y decisiones que toma la herramienta de IA no es una obligación legal, sino una buena práctica que podíamos considerar como un deber casi moral (esto último lo aporta quien escribe este artículo). Porque esa intervención puede operar como un mecanismo de control respecto del (mal)funcionamiento de la herramienta, así como una garantía de un principio de seguridad básico como es la segregación de funciones entre quienes han desarrollado y entrenado la herramienta, y quienes deben auditarla.

En segundo lugar, la AEPD señala algunas claves al respecto del uso de herramientas IA en AAPP:

  • La AEPD considera que las AAPP no pueden acogerse a la base de legitimación del interés legítimo (porque para ello se ha definido la base de la misión en interés público). Es por ello que cuando quiera utilizar una herramienta de IA que se base en el interés legítimo, podrá usar la herramienta siempre y cuando defina una base alternativa de legitimación del tratamiento.
  • En las Administraciones Públicas debemos hablar de “sistemas de información”, previstos en el Esquema Nacional de Seguridad como un conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar (trata), mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir[18]. Los sistemas de información pueden coincidir con los tratamientos de datos personales o no, pueden englobarlos o ser englobados por tratamientos más grandes. En este sentido, las herramientas de IA serán parte de esos sistemas como uno de esos “recursos” que tratan información.
  • La AEPD recuerda que muchas de estas herramientas de IA se fundamentan sobre soluciones en nube, generalmente de Software como servicio. En este sentido, alerta del riesgo para la protección de datos respecto de la posibilidad de que se produzcan transferencias internacionales de datos. Lo que la AEPD no comenta, dentro del ámbito de las AAPP, es que existe un real decreto[19] que limita el tipo de información que una Administración Pública puede enviar fuera de España, y fuera del Espacio Económico Europeo. Es por ello que debemos ser especialmente recelosos cuando gestionemos transferencias internacionales de datos que afecten a la información de las AAPP.
  • Dado el especial impacto que puede tener la decisión de una Administración Pública sobre la vida de la persona, la AEPD recomienda medidas para minimizar el riesgo derivado del modelo de toma de decisiones basado en mecanismos de IA. Algunas de esas medidas son:
    • Constituir comités de ética y protección de datos para evaluarlos riesgos y beneficios para los interesados, y para la sociedad, de un tratamiento de datos.
    • Establecer controles periódicos de calidad de los sistemas de IA para garantizar que las personas no sean discriminadas.
    • Implementar mecanismos que permitan al interesado manifestar su punto de vista sobre el proceso de toma de decisiones.

Respecto de la intervención humana como mecanismos supervisor del proceso de toma de decisiones, y decisión tomada, la AEPD alerta del posible efecto “criterio de autoridad” por el que las personas que deben interactuar con la IA no revisan críticamente sus procesos.

5.- Conclusiones

De acuerdo con lo analizado a lo largo del presente artículo, podemos extraer las siguientes conclusiones:

  1. Las técnicas de IA han experimentado un rápido desarrollo que ha visto su reflejo en la preocupación del legislador por dotar a estas herramientas de un contexto legal adecuado que garantice el respeto a los derechos y libertades de las personas.
  2. Uno de los principales riesgos derivados del uso de estas herramientas se focaliza en la aparición de sesgos que pueden derivar en decisiones discriminatorias para las personas. Las medidas que tiendan a la mitigación y eliminación de sesgos en las decisiones tomadas por estos mecanismos serán fundamentales a la hora de presentar, o cumplir, un programa de compliance o un esquema de certificación ética de estas herramientas.
  3. Es con motivo del punto 2 que la principal recomendación al utilizar estos mecanismos consiste en garantizar la intervención humana en alguna, o en varias, de las fases del desarrollo de una IA, y su proceso de toma de decisiones.
  4. Los principales riesgos para la protección de datos son los siguientes:
  • En primer lugar, garantizar la exactitud de los datos que van a alimentar el modelo de la IA, de tal manera que podamos garantizar con una cierta solidez que la información tratada para conformar las conclusiones lógicas es de calidad.
  • En segundo lugar, es necesario garantizar que tan sólo se van a tratar los datos estrictamente necesarios, en relación con las finalidades para las que se ha elaborado el tratamiento de los datos que engloba la herramienta de IA. Es decir, es necesario tener un modelo de gestión de los datos desde las fases de diseño de la herramienta para garantizar los principios de minimización, necesidad y proporcionalidad.
  • En tercer lugar, es importante garantizar que la base de legitimación del tratamiento es adecuada a la finalidad para la que se han recogido los datos. Asimismo, esto afectará a la necesidad de no desviar la finalidad para la que se han recogido los datos en origen.
  • Por último, es necesario aplicar medidas para garantizar que no vamos a incurrir en incumplimientos derivados del régimen aplicable a las transferencias internacionales de los datos, especialmente cuando contratamos la solución de IA con un tercero. Esto cobra especial relevancia para las AAPP, que tienen restricciones más amplias respecto de los datos que pueden salir de España.

Pablo García-Girón Pérez 

9 de junio de 2023

6.- Referencias

Recursos jurídicos

  • Reglamento UE 2016/679, del PE y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) RGPD. Consulta.
  • Resolución del Parlamento Europeo, de 12 de febrero de 2019, sobre una política industrial global europea en materia de inteligencia artificial y robótica. Consulta.
  • Ley 15/2022 de 12 de julio, integral para la igualdad de trato y la no discriminación. Consulta.
  • Real Decreto-Ley 2/2023, de 8 de marzo, de medidas urgentes de impulso a la inteligencia artificial en Extremadura. Consulta.
  • Real Decreto-Ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones. Consultar.
  • Guía de adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Consulta.
  • Guía de Requisitos para Auditorías de Tratamientos que incluyan IA. Consulta.
  • Guía de Tecnologías y Protección de Datos en las AAPP. Consulta.

[1] Puede consultarse el caso del diario deportivo Marca aquí.

[2] Respecto del conflicto con derechos de propiedad intelectual, puede consultarse la noticia aquí.

[3] Para conocer aspectos más generales, conceptuales o básicos, de la IA, podéis consultar el artículo “El impulso Kubrick: la Inteligencia Artificial en la era post-coronavirus” que escribí para A definitivas aquí.

[4] Se puede consultar aquí.

[5] El término IA fue usado por primera vez en 1956 por John McCarthy, matemático e informático teórico, ver aquí.

[6] Ver la Guía de adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial aquí.

[7] Ver la Guía de adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial aquí y en el blog de tecnología de BBVA una de las entidades bancarias que más ha venido apostando por la transformación digital aquí.

[8] Así lo entienden empresas dedicadas al análisis de mercados como la consultora Garner, quien incluye los modelos de IA entre las tecnologías emergentes con mayor proyección en su informe 2021-2023 aquí.

[9] Así se recoge en la noticia de la Cadena Ser que puede consultarse aquí.

[10] Como referencia se puede consultar esta cuestión en el Libro blanco de la inteligencia artificial aquí.

[11] Aspectos sobre los que ya comentamos algunas ideas en el artículo “La economía del dato: reutilización de la información del sector público”, disponible aquí.

[12] Se puede consultar aquí la noticia.

[13] Así, la autoridad de control italiana ha decidido limitar cautelarmente el tratamiento de datos de ciudadanos italianos por parte del ChatGPT, y la AEPD ha iniciado

[14] Puede consultarse aquí.

[15] Puede consultarse aquí.

[16] La AEPD analiza los “casos más comunes” en la Ver la Guía de adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial aquí, con una extensa tabla donde desgrana los roles por cada fase del ciclo de vida. Sin embargo, advierte que ese modelo de relaciones se puede complicar al introducir variables como la tecnología blockchain.

[17] A pesar de esto, es cierto que el Grupo del Artículo 29 elaboró un dictamen sobre cómo aplicar la base del interés legítimo, que la AEPD se encarga de recordarnos, puede consultarse aquí.

[18] Ver el Glosario de Términos (CCN-STIC 401) del Centro Criptológico Nacional aquí.

[19] Real Decreto-Ley 14/2019 que puede consultarse aquí.

 

Pablo garcia giron perez
Pablo García-Girón Pérez 

Pablo García-Girón Pérez 

Licenciado en Derecho por la UAM y Máster en Derecho de las Telecomunicaciones y Tecnologías de la Información por la UC3M, ha desarrollado su carrera en el ámbito de la consultoría en nuevas tecnologías. 

Actualmente es abogado y consultor especializado en ciberseguridad y protección de datos.

Deja un comentario

A %d blogueros les gusta esto: