Entrevistamos a María Loza, Lead advisor en Tecnologías emergentes de Govertis, Part of Telefónica Tech, con ocasión de la reciente celebración del II Insight Club DPD 2023.
- María, para aquellos de nuestros lectores que aún no conozcan el Club de DPD de AEC ¿podría presentárnoslo, qué servicios presta y cuáles son sus objetivos?
La Asociación Española para la Calidad, junto a sus partners estratégicos, Govertis part of Telefónica Tech y Telefónica Tech, pusieron en marcha en 2018 el Club del DPD, que podemos decir que se ha consolidado como el espacio de referencia en el sector para los Delegados de Protección de Datos.
Son muy conocidos los Insights periódicos que se realizan, con ponencias en abierto de profesionales de reconocido prestigio y el Congreso anual, en abierto, que ya es un clásico punto de encuentro anual para los DPD y profesionales del sector de la privacidad. Recientemente se han incorporado los monthly coffee que son un debate abierto sobre un tema propuesto por los propios miembros.
Además de estos eventos, entre los objetivos concretos del Club también se encuentra impulsar la figura profesional del DPD, la formación continua, incluyendo formación para la obtención de la Certificación oficial AEPD-ENAC, ser un espacio referente de intercambio de experiencias, buenas prácticas y tendencias DPD, fomentar la relación entre sus miembros, promover la reflexión y el debate (en “el Club del DPD” en LinkedIn) y, en definitiva, ser un foro de encuentro y referencia en cuanto a difusión y divulgación.
- ¿Por qué es tan importante vigilar los desarrollos que en materia de IA se están sucediendo en estos momentos con el fin de preservar la privacidad?
Cualquier uso de la tecnología que impacte en derechos fundamentales, es un riesgo que debe ser controlado. Y no sólo con el fin de preservar la privacidad o el derecho fundamental de protección de datos, sino cualquier otro derecho fundamental.
En este punto debemos recordar que el derecho de protección de datos actúa como posibilidad de ejercicio de otros derechos de fundamentales, como “un derecho instrumental ordenado a la protección de otros derechos fundamentales”, tal y como ha afirmado nuestro TC, y de ahí la importancia de garantizar su respeto en el ámbito de la Inteligencia Artificial (IA).
- Usted ha moderado la mesa redonda “Chat GPT a debate desde la óptica de la Privacidad y Seguridad”. A su juicio ¿cuáles considera que son los principales retos que en el ámbito de la privacidad suscita el uso de la tecnología IA en el Chat GPT?
Los principales retos que presenta el uso de Chat GPT en materia de protección de datos y privacidad, son los relativos a los datos personales que trata el sistema para entrenar al algoritmo, pero también, respecto a los datos que se introducen en Chat GPT y a los propios datos del usuario que utiliza Chat GPT y que se generan por dicha utilización. Se plantean cuestiones como la base de legitimación para que Chat GPT pueda utilizar dichos datos personales (Principio de licitud); el cumplimiento del deber de información a los interesados; del Principio de exactitud, en relación a la calidad y exactitud de los datos personales; del Principio de integridad y confidencialidad, cuya vulneración puede dar lugar a ciberataques y/o brechas de seguridad ante la falta de medidas de seguridad.
También es muy importante, la calidad de la información y posibles sesgos, debido a que Chat GPT obtiene su información (incluyendo datos personales) de cualquier fuente disponible en internet, sin que el hecho de que nos la proporcione en forma de respuesta escrita de la manera más coherente, le dote de la fiabilidad de la que pueda carecer, pero aparente tener. Asimismo, la descontextualización, los sesgos en los propios resultados, en el lenguaje utilizado, en definitiva, los sesgos existentes en nuestra sociedad, de los que internet es fiel reflejo.
Por último, no podemos dejar de mencionar el impacto en derechos fundamentales: el hecho de la utilización masiva a esta herramienta, podría amplificar los riesgos comentados, al reproducirlos a gran escala. De ahí la importancia de que estos sistemas hayan sido entrenados con datos fiables y depurados, para no reforzar, ni perpetuar en el tiempo el impacto a derechos fundamentales tales como el derecho de protección de datos, de igualdad y no discriminación, entre otros.
- La Inteligencia Artificial empieza a estar omnipresente ¿cuál es el rumbo idóneo que el legislador debería seguir de cara a preservar la protección de datos personales para afrontar un inevitable escenario y coyuntura de Inteligencia Artificial extendida, y por qué?
La opción del legislador materializada en la Propuesta de Reglamento de IA que se está gestando actualmente en la UE, bajo mi punto de vista ha sido la correcta, ya que regula los usos que se pueden dar a la IA, y no la tecnología en sí misma, como no podía ser de otra manera, pues las leyes deben ser tecnológicamente neutras. Por otro lado, la normativa de protección de datos ya existe y es aplicable con independencia de la irrupción de nuevas tecnologías, o la aplicación combinada de las mismas de diferentes formas. De hecho, estos dos Reglamentos serán de aplicación en paralelo, por lo que en este y en cualquier futuro escenario, la normativa de protección de datos será de plena aplicación. Cuestión diferente es que, una vez evolucionados este y otros modelos que puedan surgir en un futuro, se aprueben nuevas normas más específicas para cuestiones que sea preciso regular en un futuro, como ha ocurrido, por ejemplo, con el Reglamento de Servicios Digitales u otras normas que se están aprobando en Europa.
Personalmente, la clave considero reside en garantizar el respeto, no solo al derecho fundamental de protección de datos, sino a esos otros derechos y libertades de las personas que también pueden verse afectados, tales como el derecho a la no discriminación, derecho a la igualdad, la dignidad humana o, en definitiva, cualquier derecho de los establecidos en la Carta de los Derechos Fundamentales de la UE, la Convención Europea de Derechos Humanos u otros instrumentos internacionales, como por ejemplo, la Declaración Universal de Derechos Humanos.
-La irrupción de nuevas tecnologías como la Inteligencia Artificial, el Machine Learning, la Big Data, el Blockchain, IOT, la computación cuántica… ¿obligan a los DPD a estar formados tecnológicamente y de forma permanente para comprender y asimilar estas neotecnologías y saber gestionar su cohabitación en las organizaciones?
Sí, sin duda. Con independencia de que los equipos de trabajo son multidisciplinares y, afortunadamente, cada vez es más habitual el trabajo conjunto entre profesionales de diferente formación y especialización, es imprescindible que el DPD entienda la tecnología, de la misma forma que, considero necesario que los profesionales de formación más tecnológica tengan nociones de la parte legal.
La formación de los DPD en tecnologías emergentes es esencial, pues si no se comprende el funcionamiento de la tecnología, no es posible asesorar e interpretar correctamente la normativa de protección de datos, ni prever todas las consecuencias, pues hay que recordar que no sólo se debe prestar atención a la solución de IA en concreto, sino al tratamiento global de datos del que formará parte y todos los aspectos derivados de dicha interconexión.
- ¿El futuro próximo pasa por fiar el Compliance o cumplimiento normativo en materia de privacidad a la Inteligencia Artificial? ¿El próximo DPD podrá ser un asistente virtual basado en IA?
En absoluto. La tecnología ha de servirnos para simplificar procesos y ser más eficientes, pero de ahí a confiar el cumplimiento normativo a la IA, hay una gran distancia. Se realizan múltiples afirmaciones como que la IA va a eliminar diferentes profesiones, pero no creo que sea así, al menos en su totalidad. Lo que sí debemos tener presente, es que la IA puede servirnos en gran medida en nuestro día a día, de forma que, al reducir el tiempo dedicado a tareas que no aportan valor o que no precisan de conocimiento experto, podamos dedicar el tiempo realmente a aquellas tareas en las que nuestra aportación sea clave y, en general, aquellas a las que la IA, al menos por ahora, no puede llegar. A nivel interno, modelos como GPT ofrecen posibilidades muy interesantes para los profesionales a la hora de buscar o relacionar información, o simplemente, para procesarla, solicitando resúmenes, generación de modelos u otras tareas. A nivel externo, Chat GPT es una herramienta muy potente para la comunicación con terceros, que podría facilitar, por ejemplo, la comprensión de las políticas de privacidad o resolver dudas que los usuarios puedan tener en materia de privacidad u otras cuestiones, configurando, por tanto, un primer filtro muy útil en cuanto a las funciones de los DPD.
- ¿Cómo deben las organizaciones prepararse o qué deben hacer para incorporar a sus procesos soluciones que incorporen Inteligencia Artificial?
En primer lugar, debe existir un proceso de toma de decisión. En relación a Chat GPT, hemos observado que muchas empresas no realizan ese proceso previo necesario para poder tomar la decisión de si incorporar dicha herramienta al catálogo de herramientas corporativas, lanzándose directamente a su utilización sin saber para qué exactamente se va a utilizar, ni por parte de quién, ni qué riesgos puede implicar. Por ello, desde el Centro de Excelencia de Tecnologías Emergentes de Govertis, hemos confeccionado una infografía-resumen sobre los pasos que debería seguir toda entidad que esté pensando en implantar Chat GPT, u otra herramienta. No obstante, la cultura de cumplimiento normativo y enfoque basado en el riesgo va calando cada vez más, y también son numerosas las entidades que nos solicitan apoyo para planificar todo este proceso y realizar el análisis de los riesgos que deberían tener en cuenta.
Por otro lado, desde Telefónica Tech siempre hemos tenido muy claro que la IA, IoT y big data son tecnologías que no pueden entenderse por separado. De hecho en 2021 publicamos un Informe sobre las implicaciones en privacidad y seguridad de la convergencia entre IoT, Big Data e IA. Lo que está claro es que, para fomentar la confianza en el desarrollo de la IA, es necesario garantizar un uso responsable, desde su diseño hasta su aplicación. Entendemos que, además de cumplir con el futuro marco normativo en materia de IA, como no puede ser de otra manera, las directrices globales y la autorregulación, juegan un papel fundamental, constituyendo estos tres aspectos, los pilares de la gobernanza de la IA. En esta línea, Telefónica adoptó ya en 2018 sus Principios éticos para la IA, de obligado cumplimiento interno a la hora de diseñar, desarrollar o utilizar IA. Por ello, consideramos que la aproximación al debate sobre la regulación de la inteligencia artificial requiere una visión holística que combine cooperación internacional, autorregulación, el establecimiento de políticas públicas apropiadas y un enfoque regulatorio basado en riesgos.
- Y, para terminar, pensando en el público fiel de nuestra sección Derecho TIC compuesto mayoritariamente por profesionales jurídicos y resto de consumidores de contenidos legales, y entre ellos cada vez más DPDs ¿qué consejo principal en materia de privacidad les recomendaría adoptar en estos momentos?
El avance tecnológico y el cada vez mayor grado de intrusión en nuestra esfera privada es directamente proporcional al impacto en nuestros derechos fundamentales. Por ello, en primer lugar, incidiría en nuestra responsabilidad, en la parte que nos toca, de trabajar en la concienciación sobre el derecho fundamental de protección de datos, de forma que las personas sean conscientes de sus derechos y asuman el control, y también la responsabilidad, sobre la utilización de sus datos.
En segundo lugar, si tenemos en cuenta, sobre todo a raíz del auge de la IA, la mayor afectación de diferentes derechos fundamentales, debemos ser conscientes de ello y, desde el lugar que ocupamos en las organizaciones, garantizar el respeto de todos los derechos fundamentales, a través de una mirada más amplia, que contemple los aspectos sociales y éticos del uso de los datos.
En tercer lugar, formación. La IA es una tecnología que, debido a su carácter transversal, afectará a todos los sectores, por lo que, con independencia del área de especialización que tenga el profesional, considero muy importante la formación en la materia y, en general, en cuestiones relacionadas con las tecnologías y competencias digitales. Para los profesionales de la privacidad considero imprescindible la formación en materia de IA. Será habitual que una solución de IA implique tratamientos de datos personales, por lo que, además de cumplir con el Reglamento General de Protección de Datos, deberá cumplir con el futuro Reglamento de IA que se está tramitando ahora mismo en la UE. Por ello, el profesional de la privacidad se convertirá en el referente que lidere y asesore en lo que respecta a la adopción de este tipo de soluciones por parte de las entidades en las que o para las que preste sus servicios y garantice el cumplimiento de la normativa aplicable. La evidente interacción entre la futura normativa en materia de IA y el Reglamento de protección de datos, convierte al DPD en una figura clave a la hora de asesorar en materia de IA, debido a la experiencia obtenida durante estos años en la aplicación del RGPD y el enfoque basado en el riesgo, así como el conocimiento en materia de privacidad.