Actualmente, la aplicación de la inteligencia artificial (en adelante, IA) al tratamiento masivo de datos personales está marcando el avance tecnológico en el que la tutela efectiva de los derechos fundamentales y, más aún, el derecho a la protección de datos personales se ha convertido en una prioridad indiscutible para las autoridades de control.
La autoridad italiana de protección de datos – Il Garante -, a través de un reciente caso sancionador con la empresa Luka Inc., desarrolladora de un ChatBot basado en IA, ha ejemplificado la importancia de la protección de datos personales y el rigor con el que deben aplicarse las normas del Reglamento General de Protección de Datos (en adelante, RGPD).
La sanción asciende a un importe total de 5 millones de euros por la comisión de graves infracciones al RGPD incluyendo una política de privacidad deficiente y la falta de una base de legitimación del tratamiento, entre otras, atacando así principalmente en los principios de licitud, transparencia y protección desde el diseño y por defecto. La autoridad italiana detectó que no se habían adoptado las medidas suficientes para implementar mecanismos efectivos de verificación de la edad, identificar las bases de legitimación para el tratamiento de los datos o informar sobre los fines del tratamiento, entre otras.
El Chat Bot Replika, desarrollada por la empresa estadounidense Luka Inc., permitía a sus usuarios crear compañeros virtuales mediante un sistema de IA generativa que simulaba roles como un amigo, mentor e incluso pareja romántica y, podían así interactuar mediante texto o voz, creando interacciones emocionales generando importantes riesgos en materia de protección de datos y seguridad, más si cabe respecto a los menores.
En base a esto, el Garante fundamentó su decisión en lo siguiente:
- Ausencia de verificación de edad y falta de protección de los menores (art. art. 5.1.c, 24 y 25 RGPD). No estaba limitado el contenido más sensible a los menores y tampoco se adoptaron unos mecanismos efectivos para la verificación de la edad, lo cual tampoco habría sido suficiente porque Replika no se bloqueaba cuando el usuario se declaraba menor de edad.
- Incumplimiento del principio de minimización (art. 5 RGPD) y del principio de privacidad desde el diseño y por defecto (art. 25 RGPD) porque recogía más datos de los estrictamente necesarios.
- Infracción del principio de licitud y transparencia (art. 5.1.a, 6, 12 y 13 RGPD) al carecer de una base de legitimación granular para cada tratamiento y no informar con la claridad y precisión suficiente sobre la interacción con el ChatBot y el desarrollo de modelos. Es más, la política de privacidad solo estaba disponible en inglés y no se aportaba una información clara sobre la ubicación de los datos en EE. UU, lo que suponía a mayores una posible falta de garantías en las transferencias internacionales.
Dada la magnitud del tratamiento por el uso de tecnologías disruptivas en el ChatBot, la cantidad estimada de 10 millones de usuarios afectados y la naturaleza transfronteriza de la actividad, conllevó que la autoridad italiana calificara estos incumplimientos como graves y no solo sancionara a Luka Inc., sino que le impusiese una serie de obligaciones y plazos estrictos para la corrección de las deficiencias de su sistema de IA, reforzando la protección de los derechos de los usuarios.
Este supuesto nos lleva a profundizar en las cuestiones jurídicas que debe tener en cuenta cualquier entidad, pública o privada, que gestione datos personales en la era digital puesto que, el RGPD no solo impone obligaciones formales, sino que, en cumplimiento del bien conocido ya principio de responsabilidad proactiva, exige la incorporación de medidas técnicas y organizativas que mitiguen los riesgos previstos desde la concepción misma del producto o del servicio.
Por ende, la transparencia no es opcional y todo usuario o interesado debe estar informado de forma clara y exhaustiva sobre qué datos van a ser recabados, cuál es la base legal de su tratamiento y con qué finalidad se procesan. Todo esto, reforzándose en el caso de los menores de edad mediante la implementación de mecanismos efectivos de verificación de la edad y limitación del contenido.
Esta sanción por la autoridad italiana de protección de datos a Luka Inc., pone de relieve la necesidad de integrar en los sistemas de IA las exigencias del RGPD como la minimización de datos, la transparencia y la responsabilidad proactiva desde la fase del diseño (privacy by design). La falta de transparencia en el funcionamiento del sistema, sumada a respuestas potencialmente sesgadas, pone en evidencia los riesgos reales que esta tecnología plantea en los derechos y libertades de los individuos, especialmente en donde las decisiones automatizadas pueden tener consecuencias jurídicas o similares.
La autoridad italiana envía un mensaje contundente y es que la innovación tecnológica no debe ni puede ir por delante de los derechos fundamentales de las personas. Así, refuerza la urgencia de establecer medidas y controles robustos en el desarrollo y despliegue de los sistemas de IA, sobre todo en aquellas herramientas en las que hay una interacción directa con usuarios y procesamiento automatizado de datos pues, ante la falta de garantías, será complicado acceder al mercado europeo.
A mayor abundamiento, la autoridad italiana indicó la intención de examinar el supuesto, en procedimiento separado, bajo el marco del Reglamento de Inteligencia Artificial (RIA). Su aplicación es interesante ya que el RIA contiene un enfoque específico sobre los sistemas de IA de alto riesgo y requisitos adicionales para estos supuestos, reforzando así la seguridad y transparencia del uso de estos sistemas.
Este enfoque conjunto del RGPD y RIA pone de manifiesto su clara independencia, pero la vez, amplía el campo de aplicación de la normativa de protección de datos ya que el impacto de ambos Reglamentos será crucial para el diseño y funcionamiento de los sistemas de IA, promoviendo un uso más responsable y ampliando el marco normativo aplicable para garantizar mayor seguridad, transparencia y confianza en estas tecnologías.
En definitiva, esta sanción refuerza la idea de alinear estrictamente la innovación tecnológica con el marco jurídico vigente e impulsa un cambio cultural hacia el uso ético y responsable de estas nuevas tecnologías en donde, como sostiene la autoridad italiana, el RGPD es la herramienta clave para asegurar la legitimidad y sostenibilidad de la IA en la sociedad digital garantizando el respeto de los derechos fundamentales de los usuarios.
