Carmen Troncoso, DPO de Paradigma Digital: "Los DPO desempeñarán un papel relevante en la supervisión y control del uso corporativo de la IA"

Entrevistamos a Carmen Troncoso Recio, DPO de Paradigma Digital, con ocasión de la aprobación de la Ley de Inteligencia Artificial (IA Act) por el Parlamento Europeo

1.- Hola Carmen, para empezar en tu calidad de DPO ¿qué supone esta nueva ley en el ejercicio de la labor de los DPO?

Esta nueva ley tiene importantes implicaciones, sobre todo porque cumplir las obligaciones "de siempre", del RGPD, en este nuevo entorno tan específico, puede revestir mayor complejidad y desde luego mayor conocimiento por parte de los DPOs. Por ejemplo:

La realización de Evaluaciones de Impacto en la Protección de Datos (EIPD) para sistemas de IA requerirá una comprensión detallada de cómo estos sistemas procesan y utilizan datos personales, así como la capacidad para identificar y mitigar posibles riesgos para la privacidad.

Asegurar la transparencia y explicabilidad de los sistemas de IA implicará la implementación de medidas técnicas y organizativas para garantizar que los procesos de toma de decisiones automatizados sean comprensibles y puedan ser explicados a las partes interesadas, lo que puede ser especialmente desafiante dada la complejidad inherente de algunos algoritmos de IA.

Para garantizar la equidad y la no discriminación de los sistemas de IA podrá ser una labor conjunta de un equipo multidisciplinar, colaborando con equipos de ética y cumplimiento.

Para la gestión de riesgos y supervisión continua, dependerá de cada supuesto, pero los DPO también participarán en la gestión o supervisión de esos riesgos.

2.- ¿Será la supervisión y control del uso corporativo de la IA, así como la definición de los protocolos de su uso, una nueva competencia del DPO?

Es posible, dado que estos sistemas pueden implicar el procesamiento de grandes cantidades de datos personales y plantear riesgos significativos para la privacidad y la protección de datos, los DPOs desempeñarán un papel relevante en garantizar que las organizaciones cumplan con la norma y adopten prácticas éticas y responsables en el uso de la IA.

En todo caso, entiendo que será necesario, como comentaba, la colaboración con equipos de tecnología y cumplimiento para garantizar que los sistemas de IA cumplan con los requisitos legales y éticos, para desarrollar políticas y procedimientos internos para el uso responsable de la IA, proporcionar orientación y formación al personal sobre el uso ético y seguro de la IA, o participar en la evaluación continua de los riesgos asociados con el uso de la IA y en la implementación de medidas para mitigar estos riesgos.

Esto refleja la importancia de integrar consideraciones de privacidad y protección de datos en el desarrollo y despliegue de la IA en las organizaciones.

3.- El Reglamento de la IA, (IA Act en inglés), de ahí que la Comisión Europea la denomine Ley de Inteligencia Artificial, fue aprobado por el Parlamento Europeo el pasado 13 de marzo del presente año, y antes de ser plenamente aplicable 24 meses después de su entrada en vigor, ¿cuáles serán los próximos pasos a seguir hasta su adopción definitiva?

Los próximos pasos serán la revisión y aprobación por parte del Consejo de la Unión Europea, la publicación oficial del Reglamento en el Diario Oficial de la Unión Europea y la entrada en vigor del Reglamento.

Después habrá un período de 24 meses para que las empresas y las autoridades se preparen para cumplir plenamente con las disposiciones del Reglamento antes de que se apliquen por completo (aunque algunas partes podrán ser aplicables antes) y también podrá ser necesaria su implementación a nivel nacional, por ejemplo, mediante la publicación de legislación nacional complementaria.

4.- Como todo Reglamento de la UE, debería ser directamente aplicable en todos los Estados Miembros tras su entrada en vigor 20 días después de su publicación en el DOUE. En este sentido, ¿por qué el citado Reglamento será plenamente aplicable posteriormente, y se aplicará en distintos tramos con una serie de excepciones, nos podrías explicar esta peculiaridad del citado Reglamento, y sus distintos tramos de aplicación?

Al igual que ocurrió por ejemplo con el RGPD, que se aprobó en 2016 pero fue exigible en 2018 (incluso algún aspecto puntual preveía un plazo mayor), esta norma también prevé un plazo para dar tiempo a todos los obligados a su cumplimiento a adaptarnos a los requisitos, que será de 24 meses, con las excepciones previstas en el art. 85 de la ley.

5.- Además, existen unos requisitos de transparencia y documentación, que se concretan en el anexo IV y también se establece la obligación de implementar un sistema de gestión de riesgos. ¿Nos podrías explicar en qué consiste esa obligación?

En cuanto a la transparencia, siempre habrá que cumplir con los requisitos que prevé la ley, aunque el sistema de IA no sea considerado de alto riesgo. Por ejemplo, informar de que el contenido ha sido generado por IA, diseñar el modelo para evitar que genere contenidos ilegales, o publicar resúmenes de los datos protegidos por derechos de autor utilizados para el entrenamiento.

En cuanto al sistema de gestión de riesgos, como se recoge en el art.9, consistirá en un proceso iterativo continuo que se llevará a cabo durante todo el ciclo de vida de un sistema de IA de alto riesgo, el cual requerirá actualizaciones sistemáticas periódicas, y constará de varias etapas:

a) Identificación y análisis de los riesgos conocidos y previsibles asociados con cada sistema de IA de alto riesgo.

b) Estimación y evaluación de los riesgos que podrían surgir cuando se use el sistema de IA de alto riesgo según su propósito previsto, así como cuando se le dé un uso indebido razonablemente previsible.

c) Evaluación de otros riesgos que puedan surgir a partir del análisis de datos recopilados mediante el seguimiento posterior a la comercialización.

d) Implementación de medidas adecuadas de gestión de riesgos.

6.- Por último, ¿qué recomendarías a los DPOs, en particular, y al colectivo de abogados y resto de juristas, en general, a la hora de afrontar el estudio, el análisis y la implementación en su labor diaria, de esta trascendente Ley europea de IA?

Para los Delegados de Protección de Datos (DPOs) y el colectivo de abogados y juristas en general, afrontar la Ley europea de IA requerirá una combinación de comprensión técnica, conocimiento jurídico y capacidad de adaptación, pues será precisa una actualización constante. Habrá que ser creativos a la hora de abordar el cumplimiento del RGPD en este entorno, ya que además la propia Ley de IA en su actual redacción no contiene previsiones muy específicas al respecto. Y por último, de acuerdo con lo ya comentado, será precisa más que nunca una colaboración interdisciplinar, dada la complejidad técnica, así como un enfoque proactivo en la evaluación de riesgos y la formación interna.