Entrevistamos a Lorenzo Cotino con ocasión de la reciente celebración del I Insight del Club del DPD AEC 2024 del que ha sido ponente. Entrevista realizada por Rosario Fernández, Paula Fernández y José Ramón Moratalla, Redacción de la sección Derecho TIC, del portal www.elderecho.com
1.- Hola Lorenzo, teniendo en cuenta tu amplia experiencia en derecho constitucional, ¿cómo se concilia la necesidad de fomentar la innovación y el desarrollo tecnológico con la protección de los derechos fundamentales?
La conciliación entre innovación tecnológica y protección de derechos fundamentales exige un enfoque equilibrado utilizando técnicas cada vez más habituales para los juristas de análisis de riesgos y estudios de impacto en marcos de cumplimiento normativo. El RGPD y el Reglamento de Inteligencia Artificial de la UE establecen marcos interesantes basados en el riesgo e impacto en derechos fundamentales: más obligaciones preventivas y de acciones de garantía conforme más impacto y riesgos haya. Se trata de poner en práctica el equilibrio y la proporcionalidad que es la base en el tratamiento de los derechos fundamentales. El paradigma de la privacidad por defecto y en el diseño al que estamos tan acostumbrados en la protección de datos se ha trasladado en general a la IA. Ello se ha unido al mismo tiempo con el modelo de protección al consumidor en la UE para poder comercializar los productos de cierto peligro, bajo el marcado “CE”. Así, la inteligencia artificial de “alto riesgo” debe pasar por un proceso preventivo para su comercialización.
2.- ¿De qué manera podrían los avances en la IA contribuir a mejorar la protección de datos y la privacidad en lugar de ponerlos en riesgo?
Los avances en IA pueden mejorar la protección de datos y privacidad mediante el desarrollo de tecnologías de encriptación más avanzadas, sistemas de anonimización de datos y algoritmos de detección de brechas de seguridad. Estas tecnologías pueden ayudar a minimizar los riesgos de exposición de datos personales y asegurar el cumplimiento del principio de minimización de datos del RGPD. Como ya ha sucedido con otras tecnologías, de cara a la protección de datos o a la ciberseguridad implican un arma de doble filo, de un lado exponen y ponen en peligro esta información o datos, o abren posibles brechas, pero al mismo tiempo son herramientas ya insustituibles para “luchar” automatizadamente contra estos peligros. Hoy día no hay seguridad de datos ni ciberseguridad sin IA.
3.- ¿Consideras que hay un impacto potencial de las decisiones automatizadas tomadas por algoritmos de IA en los derechos constitucionales de los individuos?
Las decisiones automatizadas por algoritmos de IA tienen el potencial de afectar los derechos constitucionales con -si se me permite- “fuego graneado” y en ocasiones indiscriminado. No se trata de la protección de datos, sino que muchos derechos quedan al mismo tiempo comprometidos con el uso de decisiones automatizadas, más si cabe si incluyen tecnologías autónomas de inteligencia artificial. Así, por ejemplo, el uso de técnicas biométricas con IA en determinados espacios, no sólo afecta a la privacidad, a la protección de datos, sino que muy fácilmente compromete las libertades públicas como pueda ser la reunión, manifestación, libertad ideológica o religiosa, el ámbito de salud y un largo etcétera. Lo mismo sucede por ejemplo con el uso de sistemas automatizados -y más si cabe con IA y sistemas autónomos en ámbitos como el laboral o el educativo. Asimismo, suele ser generalizada la puesta en peligro del derecho a la no discriminación por los peligros de sesgos y errores de los sistemas automatizados y, de nuevo, más si cabe si son de IA. Es por ello que a más riesgos y derechos impactados, mayor necesidad de garantías. Entre las garantías y salvaguardas, cabe tener en cuenta la posibilidad de explicación, transparencia e información, obligación de una buena gestión y gobernanza de los datos, control humano preventivo o ex post de la decisión automatizada, obligaciones de mitigación y minimización de errores o sesgos, etc. En esta línea va tanto el Reglamento de IA como la interpretación que se está dando a la aplicación del RGPD cuando la IA trata datos personales.
Hay que llamar la atención especialmente en la casi generalizada obligación es un estudio de impacto del RGPD en los casos de decisiones automatizadas o con IA masivas. Asimismo el Reglamento IA impone a los fabricantes o proveedores a hacer un análisis de riesgos. Es más, los “deployers” que utilicen los sistemas de IA de los proveedores van a tener también la obligación de hacer un estudio de impacto de derechos fundamentales que ha de converger con el de protección de datos.
4.- ¿Qué medidas proactivas pueden tomar los individuos para proteger su privacidad en un mundo cada vez más dominado por la IA?
Como punto de partida, soy muy escéptico sobre la capacidad personal que tenemos en los ecosistemas digitales. Las medidas esenciales que funcionan son preventivas y en el diseño, responsabilidad de los responsables de tratamiento, encargados, proveedores de sistemas o usuarios o implantadores de los mismos.
Dicho lo anterior, obviamente, los afectados por la IA podemos adoptar medidas útiles. Conocer y ejercer nuestros derechos, aunque no es fácil ser un “Schrems”, la acción de unos pocos puede ser muy significativa. También e importante la educación digital para poder tomar decisiones informadas sobre el uso de estas tecnologías. Teóricamente es importante gestionar bien y conscientemente nuestro consentimiento, que no puede ser por defecto. Pero lo cierto es que no es una protección realista porque nadie quiere privarse de los avances de la IA. Sí que es muy efectivo el uso de configuraciones de privacidad avanzadas y no por defecto. Es bastante accesible el uso de herramientas de protección de la privacidad como VPNs, gestores de contraseñas, y software de seguridad y cifrado para proteger la información personal en línea. También, para sujetos más cualificados puede ser relevante la realización de auditorías periódicas.
5.- ¿Cuál es tu opinión sobre la importancia de la transparencia y el consentimiento informado en la recopilación y el tratamiento de datos personales, especialmente en relación con la implementación de tecnologías como la Inteligencia Artificial?
La transparencia y la explicabilidad de los algoritmos es un pilar fundamental tanto respecto del tratamiento de datos personales como respecto del uso de IA. Viene exigida por diversos derechos fundamentales en juego (privacidad, datos, no discriminación, decisiones automatizadas que nos impactan, etc.), y especialmente se intensifica en el caso del uso público de IA en razón de las garantías del debido proceso y la transparencia y el derecho de acceso a la información pública. La Comunidad Valenciana es pionera en la garantía de la transparencia y desde la Universidad de Valencia estamos trabajando desde hace años y formulando propuestas concretas para mejorar la transparencia algorítmica pública.
Para usos de alto riesgo de la IA la explicabilidad ha de estar garantizada en el diseño. No se pueden elegir algunos sistemas IA que no sean explicables si van a impactar seriamente en nuestra vida y derechos.
Soy más escéptico, como ya he adelantado, respecto del consentimiento informado. Nunca he pensado que sea una garantía efectiva, sino incluso más bien lo contrario: se logra el consentimiento y parece que se desvanecen los principios de la protección de datos de calidad, minimización, adecuación, proporcionalidad, etc.
6.- ¿Crees que existe una vulneración de los derechos y libertades de los individuos cuando una página web obliga al usuario a aceptar las cookies por el hecho de que estos no quieran abonar la cuota de suscripción?
Como sabemos, el RGPD y la Directiva ePrivacy de la UE exigen que el consentimiento para el tratamiento de datos personales, incluido el uso de cookies, sea libre, específico, informado y unívoco. La obligación de aceptar cookies a cambio de acceso a servicios, sin ofrecer una alternativa real de elección, puede constituir una vulneración de los derechos y libertades de los individuos. Lo cierto es que la nueva Guía sobre el tema de la AEPD aplicable desde 2024 expresamente afirma que la alternativa a la no aceptación de cookies puede no ser "necesariamente gratuita" y se está generalizando la práctica de cobrar si no aceptas las cookies que exigen. El modelo de "aceptar cookies o pagar una suscripción" podría interpretarse como un consentimiento no genuinamente libre según el artículo 7 del RGPD. No obstante, la UE desde una Directiva de 2019 oficializó el pago de servicios con datos personales y puede ser una salida razonable. Si las cookies no son esenciales para el servicio, sino para otros fines es cuestionable obligar a los usuarios a aceptarlas bajo la amenaza de tener que pagar. Se irá definiendo criterios más finos en los próximos meses.
7.- Y en este sentido, a la luz de nuestro actual marco normativo nacional y europeo en materia de protección de datos ¿sería admisible el caso de que un navegador, una red social o incluso una plataforma de IA Generativa exigiesen una contraprestación a la persona o entidad que pretendiese hacer efectivo el derecho al anonimato en Internet (right of invisibility and non-recognition), es decir, exigiera un coste de invisibilidad (invisibility cost)?
No es una cuestión preclara, mi intuición es tendente a que estas prácticas sean admitidas evitando excesos particulares. Exigir una contraprestación para ejercer el derecho al anonimato podría contravenir el espíritu del RGPD y otros marcos de protección de datos, que abogan por la gratuidad en el ejercicio de los derechos de privacidad. No obstante, bajo el principio expresado del pago de servicios con datos, si no se quiere facilitar los datos, el servicio “premium” sí que puede exigir una contraprestación económica. Los límites en el contexto del artículo 5 y 7.4 RGPD sería la desproporcionalidad manifiesta de los datos que -si se me permite- absorbe la plataforma, sin muy claramente están desconectados del servicio que se presta es un tratamiento desproporcionado contrario a la minimización y reclamar un pago pasa a ser una extorsión sobre una base ilegal. Además, El derecho al anonimato en Internet -raramente reconocido como tal, con avances en la carta de derechos digitales y el seudoanonimato- ha de considerarse un aspecto inherente al derecho a la privacidad y también en muchos casos, a la libertad de expresión. Imponer un coste por el derecho a la invisibilidad en Internet puede ser un servicio “premium” como el mencionado, pero hay que evitar casos claramente abusivos. Ya en clave de IA, no hay que olvidar que la nueva normativa busca la IA confiable (Digital Trust) y esto puede verse afectado si se monetiza el anonimato, pero no hay que excluirlo.
8.- Y para terminar ¿la privacidad es un derecho o una obligación? ¿Cabe renunciar a la privacidad personal teniendo en cuenta que el artículo 18.4 de la Constitución alude a la intimidad como derecho protegible, concepto que aunque similar, a nadie se le escapa que difiere del de privacidad?
La privacidad es un derecho de los sujetos y a la vez implica muchas obligaciones preventivas y en ocasiones reactivas para todos los que tratan datos personales o realizan acciones que puedan poner o hayan puesto en riesgo o impactan en la privacidad. La renuncia absoluta a los derechos de la personalidad es contraria a la dignidad de la persona, que está en la base de estos derechos. Dicho esto, sin que suponga una renuncia esencial el sujeto sí que puede disponer de diversos ámbitos que quiere proteger su privacidad a través del consentimiento y las circunstancias personales. Sobre estas bases, no hay que negar la realidad. Y la realidad es que la contraprestación por los servicios que recibimos en el ecosistema digital -y ahora también con la IA generativa- puede ser a cambio de ceder y rebajar nuestras garantías de nuestra privacidad y protección de datos. Pero estas cesiones no pueden llegar a una renuncia esencial. De ahí que la proporcionalidad es un elemento básico para analizar cada situación, teniendo en cuenta también factores como la posición en el mercado de quien reclama nuestros datos, su posible abuso de poder, el cumplimiento del principio de minimización en el tratamiento de datos por ellos, etc. El Derecho tiene mecanismos, órganos e instituciones para fijar criterios relativamente claros para la industria y para la ciudadanía.