Entrevistamos a Adrián Palma Ortigosa, Profesor de Derecho Administrativo de la Universidad de Valencia y miembro del área de privacidad de OdiseIA, con motivo de la reciente celebración del Congreso del DPD, organizado por la AEC, y su ponencia:
Antes de nada me gustaría comenzar mencionando el papel de OdiseIA, se trata de uno de los observatorios sobre inteligencia artificial más importantes a nivel nacional formado por expertos de diferentes ramas del conocimiento y sectores productivos que tiene como objetivo velar por el buen uso de la inteligencia artificial. Dentro de esta organización, el área de privacidad, de la cual es director Lorenzo Cotino Hueso y de la que formo parte, analiza las implicaciones legales que tiene el uso de sistemas de inteligencia artificial sobre la normativa de protección de datos. Esta área está integrada por una serie de expertos y expertas sobre privacidad procedentes tanto del ámbito privado como público. Entre los trabajaos que hemos realizado se encuentra la “GuIA de buenas prácticas en el uso de la inteligencia artificial ética”.
El ciclo de vida de los sistemas de IA está integrado por todas aquellas etapas que van desde que se plantea la idea de desarrollar el sistema y comienza su diseño, hasta que éste se retira del mercado. Las dos grandes fases que integran este ciclo de vida son: la fase de desarrollo, cuyo objetivo principal es diseñar y elaborar el sistema de IA y, la fase de despliegue, la cual tiene como finalidad la puesta en marcha del sistema en el entorno donde éste desplegará sus efectos.
La recomendación de la Unesco sobre Ética de la IA supone un paso muy importante en la apuesta por el desarrollo ético de sistemas de IA, no sólo porque es el primer texto –no vinculante- que establece una serie de principios éticos aplicables a la IA a nivel internacional sino también por su contenido, el cual marca unas pautas adecuadas para el desarrollo y uso de los sistemas de IA. Por lo que se refiere al principio de privacidad, podemos destacar algunas de las propuestas específicas que desarrollan este principio. Así, es de alabar el apartado 34 de la recomendación que expresamente establece la necesidad de que se incorpore desde la fase de concepción de los sistemas de IA el elemento de privacidad, es decir, un reflejo del principio de privacidad desde el diseño reconocido en el artículo 25 del RGPD. Se destaca también la necesidad de implementar evaluaciones de impacto ético en las que se tenga en cuenta específicamente la privacidad y las consecuencias socioeconómicas derivadas de los tratamientos de datos presentes durante el ciclo de vida de los sistemas de IA. En la Universidad de Valencia hemos hecho toda una serie de videos y píldoras educativas sobre cada uno de los principios éticos que se reconocen en esta norma, entre los cuales se encuentra el de privacidad.
El RGPD adopta un enfoque neutral a la hora de regular las tecnologías que tratan datos personales. Esto es lógico. Me explico, el RGPD tiene como objetivo establecer un marco adecuado de protección del tratamiento de los datos personales. Es decir, esta norma no está diseñada para regular un ámbito específico de una determinada tecnología que pueda tratar datos personales sino que, cuando esa determinada tecnología lleve a cabo tratamientos de datos personales, esta norma resultará plenamente aplicable. Esa misma idea tenemos que trasladarla al ciclo de vida de los sistemas de IA cuando traten datos personales. El derecho a la protección de datos irremediablemente quedará afectado por el desarrollo de los avances tecnológicos, sin embargo, el hecho de que se utilice una tecnología u otra no puede ser el elemento esencial para establecer por ejemplo la aplicación o no de la normativa. Dicho lo anterior, es cierto que el RGPD hace mención a varios tratamientos de datos que están estrechamente relacionados con algunas de las fases presentes durante el ciclo de vida de los sistemas de IA, me estoy refiriendo a las decisiones plenamente automatizadas que generan efectos relevantes (Artículo 22) y la elaboración de perfiles (Artículo 4.4).
No, creo que el RGPD apuesta por un enfoque muy interesante para dicho trato diferencial. Me estoy refiriendo al enfoque del riesgo, este enfoque obliga a las organizaciones a valorar el riesgo presente en los tratamientos de datos que llevan a cabo y, en función del ese riesgo, prever unas u otras medidas y garantías para mitigarlo. Es cierto que en muchos casos, el uso de un sistema de IA presentará un riesgo mayor que otro sistema algorítmico que no sea de IA, sin embargo, en otros supuestos puede ser diferente. Piénsese por ejemplo en el uso de un sistema algorítmico relativamente sencillo y no basado en técnicas de inteligencia artificial que se utiliza para denegar una subvención y un sistema de IA que tiene como objetivo recomendar una película. Los riesgos potenciales que se pueden derivar del tratamiento de datos del primer sistema pueden ser en muchos casos mayores que los del segundo, a pesar de que la IA no esté presente en el primero. Lo que quiero decir, y ya de camino vuelvo a hilar con la pregunta anterior, es que la tecnología que se utilice no siempre será el elemento esencial diferenciador sobre el cual pivote el establecimiento de más o menos exigencias, las organizaciones deben valorar si ese concreto algoritmo, sea o no de inteligencia artificial, puede generar más o menos riesgos para los particulares afectados por esos sistemas.
El principio de privacidad desde el diseño resulta esencial en este contexto (Artículo 25). Tenemos que tener en cuenta que durante la fase de despliegue la normativa de protección de datos entrará en juego en la mayoría de las ocasiones donde las decisiones adoptadas por un sistema de IA afecten a particulares. Si esas exigencias normativas no se han previsto o programado durante la fase de desarrollo de los sistemas algorítmicos, posiblemente estos sistemas presentarán defectos de cumplimiento normativo en materia de protección de datos cuando se incorporen al entorno donde éste irradiará sus efectos. Y ello, independientemente de si en la fase de diseño se trataron o no datos personales. Por ejemplo, los sistemas de IA se deben desarrollar teniendo en cuenta que los titulares de los datos personales sobre los que se adoptarán decisiones podrán en su caso ejercer los derechos que la normativa de protección de datos reconoce en su favor. Entre otros, derecho de acceso, rectificación, supresión, supervisión humana, impugnación de la decisión, etc. Esta misma idea es trasladable a los sistemas evolutivos de machine learning, es decir, corresponde a los desarrolladores implementar herramientas que aseguren que, a pesar de que el sistema pueda evolucionar, la normativa de protección de datos se siga cumpliendo, por ejemplo demostrando que el sistema mantiene los niveles de precisión adecuados cuando se ingresan datos similares a los que se utilizaron para la construcción del sistema.
Algunas características presentes durante el ciclo de vida de los sistemas de IA aportan un factor de complejidad relevante a los tratamientos de datos personales. Las normas ISO pueden ser una buena herramienta para estandarizar y mitigar en parte algunos de los riesgos presentes en este ecosistema tal y como ocurre por ejemplo con la norma ISO de seguridad de la información. En este sentido, la propuesta de Reglamento de Inteligencia artificial contempla la necesidad de que los desarrolladores de sistemas de IA deban pasar un proceso de evaluación de conformidad de sus productos de IA, entre las opciones para pasar dicha conformidad destaca el uso de normas armonizadas elaboradas por organismos de normalización o certificación. Muy posiblemente, estas normas podrán ser utilizadas en parte por las organizaciones para demostrar el cumplimiento de la normativa de protección de datos. Por ejemplo, la propuesta de Reglamento de IA establece que los desarrolladores han de diseñar sistemas de IA lo suficiente transparente para que las organizaciones que posteriormente los utilicen puedan comprender su funcionamiento. Esta información que se les facilitará a las organizaciones usuarias de los sistemas de IA será útil para cumplir con algunas de las obligaciones de transparencia que se derivan de la normativa de protección de datos personales.
Los datos inferidos o inferencias son aquella información que infiere un algoritmo una vez que ha procesado los datos de una persona física. Esta información puede o no ser cierta, sin embargo, la organización la utiliza para generar sobre el particular una serie de consecuencias. Por ejemplo, un algoritmo puede inferir que las personas que escuchan un determinado tipo de música a unas determinadas horas del día son personas que están deprimidas y, en función de esa información, la organización envía publicidad de antidepresivos. Es decir, el sistema infiere que la persona está deprimida y una vez inferida esa información, se adopta un proceso que afecta al particular. Por tanto, desde el momento que esa información queda vinculada a esa persona y sobre la cual se generan ciertas consecuencias, el concepto de dato personal entra en juego. Ello supone entre otras cosas que los datos inferidos, al ser considerados datos personales, también les resultará aplicable el conjunto de derechos previsto por esta normativa, entre otros, derechos de acceso, rectificación, etc. Ahora bien, dado que esos datos personales inferidos han sido creados por un algoritmo, es posible que en determinadas ocasiones algunos de estos derechos puedan quedar en parte limitados por otros intereses jurídicos.
La automatización de los procesos decisorios en las organizaciones es un fenómeno que está eclosionando en los últimos años. Tanto el sector público como el privado son conscientes de las ventajas que implica e implicará el uso de la IA para estos. Esta automatización no ha sido del todo posible porque hasta ahora no se han dado las condiciones ideales para que este tipo de máquinas puedan incorporarse a dichos procesos decisorios con un nivel de precisión lo suficiente tolerable. Dado que estos sistemas dependen de datos personales durante el ciclo de vida de los sistemas de IA, los profesionales de la privacidad tienen y tendrán un papel sumamente relevante en dichas fases, ya que deberán aportar el factor legal al proceso técnico presente en dicho ciclo de vida.