Con motivo del Día Europeo de la Protección de Datos, que se celebra el próximo 28 de enero, desde la tecnológica española Paradigma Digital han analizado la situación actual y retos que afronta la protección de datos y entre ellos han destacado el reto de la protección de datos de la IA generativa, conscientes de la importancia que tiene en la sociedad y en la economía con una legislación que, aunque de forma ágil aprobada, no entrará en vigor hasta dentro de dos años.
La nueva ley europea de Inteligencia Artificial se aplicará por fases, pero no estará en vigor por completo hasta el año 2026. Es un gran avance, pero los usuarios demandan protección y seguridad, derecho al Digital Trust o confiabilidad en el uso de servicios digitales como explica Carmen Troncoso, Delegada de Protección de Datos en Paradigma Digital: “Las personas y las empresas necesitan confiar en que la IA generativa, los servicios digitales con los que interactúan en su día a día son seguros y confiables o no los utilizarán. La ley busca desarrollar un ecosistema de confianza mediante un marco jurídico que haga que la IA sea fiable y esté centrada en los valores de la UE. Se subraya la importancia de garantizar la seguridad, ética y protección de derechos fundamentales en el uso de la IA. Sin embargo, las empresas no pueden esperar hasta 2026 a que entre en vigor esta regulación, deben adelantarse e incluir algunos principios de protección de datos en el desarrollo de sus productos si quieren contar con la confianza de los usuarios”.
Desde el punto de vista de la protección de los datos personales, la ley prevé determinadas prohibiciones, al considerarlos riesgos inasumibles, mediante las que brinda una protección específica a determinados tipos de tratamientos de datos.
Por ejemplo, se prohíben calificaciones sociales basadas en IA por autoridades públicas y sistemas de IA que evalúan la fiabilidad de las personas físicas en función de su comportamiento social en múltiples contextos.
También se prohíbe el uso de sistemas de identificación biométrica remota en tiempo real en espacios públicos para aplicación de la ley, salvo excepciones limitadas, dando así una protección específica a este tipo de datos.
Relacionado con ese sistema basado en el enfoque de riesgos, una cuestión muy relevante a tener en cuenta por las empresas es que los sistemas de alto riesgo deberán cumplir con requisitos legales sobre datos, gobernanza, documentación, transparencia, vigilancia humana, solidez, precisión y seguridad.
Algunos de estos sistemas de alto riesgo son: Componentes de seguridad de productos, fines de identificación biométrica y categorización de personas, de gestión y funcionamiento de infraestructuras esenciales, de educación y formación profesional, empleo, o por parte de autoridades públicas para la gestión de servicios públicos (acceso a prestaciones, emergencias…), con fines de detección del riesgo de comisión de infracciones penales, o detección del estado emocional de una persona, ultrafalsificaciones, gestión de la migración, …
Con el objetivo de evitar ciertos riesgos que la propia ley reconoce, como son la opacidad, el sesgo o la autonomía parcial, y generar confianza en el usuario, las empresas de servicios digitales, en particular relacionadas con tratamientos de alto riesgo, deben tener en cuenta los siguientes aspectos:
- Contar con un sistema de gestión de riesgos que abarque todo el ciclo de vida del sistema.
- Garantizar la transparencia y comunicación de información a los usuarios.
- Vigilancia humana: Los sistemas deberán ser vigilados por personas durante su uso.
- Deben garantizar precisión, solidez y ciberseguridad. Los sistemas de aprendizaje continuo deben corregir posibles sesgos en la información de salida. También deben ser resistentes a intentos no autorizados de alteración.
- Garantizar el desarrollo de una IA ética (por ejemplo, evitando sesgos) es importante para evitar el uso de la tecnología de manera dañina o discriminatoria. Por ejemplo, un sistema de IA generativa podría utilizarse para crear contenido que sea discriminatorio u ofensivo.
- También deberá ser una IA fiable, para garantizar que los sistemas sean precisos y útiles. Por ejemplo, un sistema de IA generativa podría utilizarse para crear modelos de pronóstico que no sean fiables.
Para ello en la propia norma se referencian directrices y guías que profundizan en cada uno de estos aspectos clave.
Algunos retos de la ley serán la efectiva garantía de los derechos en materia de protección de datos con carácter general, esbozado en su artículo 10 “Datos y gobernanza de datos”, así como conjugar la seguridad y los derechos humanos con el impulso a la innovación para desarrolladores europeos, aspectos sobre los que seguiremos profundizando.