En la presente era, donde continúan los crecientes avances tecnológicos y la existencia de la Inteligencia Artificial (IA), se hace cada vez más notoria, vislumbra una relación conexa entre las presentes leyes en materia de protección de datos y la IA.
¿Qué es la Protección de Datos?¿Y la Inteligencia Artificial?
Cabe comenzar dando definición a la protección de datos, que es la disciplina que se encarga de estatuir preceptos y principios con la finalidad de amparar la información personal y garantizar que el titular de dicha información mantenga en todo momento el control sobre la misma.
Continuaremos puntualizando qué la IA, podríamos decir que es la capacidad que se le otorga a una máquina, para que adquiera las mismas características que un ser humano, como puede ser pensar, tomar decisiones o solucionar problemas.
En un mundo, donde vivimos conectados a las redes sociales, trabajamos en remoto, las comparecencias a los juzgados se hacen vía online, entre muchos otros trámites, cabe preguntarse ¿Cómo afecta la Protección de Datos a la IA? ¿Cómo se manejan los datos personales recopilados y procesados por los sistemas de IA? ¿Cuál es el papel de la IA en la violación de la privacidad y qué medidas legales se pueden tomar para proteger los derechos de las personas?
La protección de datos, da lugar a un gran desafío debido a su celeridad en el desarrollo y en gran parte por el nacimiento de la IA, pues este computo de circunstancias trae consigo de manera forzosa procesar una cantidad de datos incalculables, y dentro de los cuales también se incluyen los datos personales.
¿Cómo afecta la Protección de Datos a la IA?
Si nos paramos a analizar con detenimiento la IA, podemos ver recovecos donde las leyes no pueden llegar, y cabe la posibilidad de crear la duda de si la IA nos ofrece un beneficio o nos puede crear un riesgo.
Hay varios factores, de especial mención en la IA, entre ellos: es que como ya hemos dicho anteriormente la IA puede tomar decisiones por sí misma, como lo haría una persona; y otra, es que es un sistema, lo cual hace que evolucione a raíz de la información que se le da e incluso del conocimiento de lo vivido con el devenir del tiempo.
Con todas estas casuísticas, nos planteamos si es posible dar cabida a un tratamiento de los datos personales efectivo y el desarrollo de la IA.
El art. 28 de la LOPD, sienta las bases de aquellas obligaciones que le corresponden a los responsables y encargados del tratamiento de los datos personales, en base a esto, queda de manifiesto que si en el proceso de la IA, se va tener trato con datos personales u análogos se hará uso de la presente ley, para dar salvaguarda a los mismos.
Por tanto una manera, de proteger estos datos, con la finalidad de no violar la privacidad de las personas incursas en dicho proceso, es que el responsable del tratamiento tome las medidas necesarias para asegurar que se cumplen los principios claves y señalados al efecto en la LOPD, y que se remarcan a continuación:
- Legalidad: El tratamiento de los datos personales se realizará acorde a lo estipulado por la LOPD, con pleno respeto de los derechos fundamentales de sus titulares. Dando lugar a la prohibición de la recolección de datos de forma ilícita o fraudulenta.
- Consentimiento: Para tratar dichos datos, se debe tener consentimiento explicito o autorización del titular de los datos.
- Finalidad: no podrá ser distinta a la establecida al momento de su recogida.
- Proporcionalidad: Todo tratamiento debe estar acorde a la finalidad de la recogida de los mismos, siempre usando la información necesaria al efecto pero sin caer en excesos.
- Calidad: Los datos deben de ser verídicos, exactos y adecuados. Su conservación será llevada a cabo de tal manera que se garantice su seguridad y la confidencialidad.
- Seguridad: se adoptarán las medidas que precisen, para dar garantía de seguridad y confidencialidad de los datos personales.
- Nivel de Protección adecuado: para el flujo transnacional de datos, se debe dar garantía con un nivel suficiente de protección, equiparable a los previsto por esta ley o por los estándares análogos a nivel internacional.
¿Cómo se manejan los datos personales recopilados por los sistemas de IA?
Teniendo en cuenta que la finalidad última de la LOPD es proteger el derecho de las personas titulares de los datos para que estos puedan decidir y control cómo quieren que terceras personas utilicen sus datos, se requiere que los responsables del tratamiento de los datos en representación del sistema de IA (al ser considerados estos terceros), sean transparentes acerca de la manera en la que van a proceder para tratar los datos.
Por tanto para dar transparencia, deben de ser claros y concisos, dando a los titulares de los datos todos los detalles acerca de como procesaran los mismos.
A tenor de lo estipulado en el Art. 5.2 del RGPD, uno de los principios que reconoce el presente reglamento es la responsabilidad proactiva, en dicho principio impera la exigibilidad hacia el responsable del tratamiento de los datos para que aplique las medidas tanto a nivel técnico, organizativo como legales apropiadas a fin de dar garantía y mostrar que el tratamiento llevado a cabo es conforme a leyes de protección de datos.
En términos generales, la persona responsable del tratamiento de los datos, tiene que avalar y tener capacidad para acreditar de forma fehaciente el cumplimiento de los principios que dan legitimación al tratamiento de los datos personales, en lo que se supone que es toda la vida útil de los mismos, dando comienzo con la obtención de los mismos y finalizando con la supresión o anonimato de ellos.
Por ende, las características que imperan en este principio son la consciencia, diligencia y proactividad por parte de las organizaciones que realicen los tratamientos de datos.
¿Cuál es el papel de la IA en la violación de la privacidad y qué medidas legales se pueden tomar para proteger los derechos de las personas?
La privacidad es un principio que nos aterra a todos, y desde que entró en juego la IA, podemos llegarnos a sentirnos más vulnerables y expuestos que nunca.
Cabe recordar, el año 2010, cuando Mark Zuckerberg, fundador y director ejecutivo del hoy tan conocido Facebook, en una de sus entrevistas vino a decir que “la era de la privacidad ha muerto”.
A colación de eso, 10 años más tardes, 2020, la Comisión Federal de EE.UU, sancionó a la compañía Facebook, con 5 mil millones de dólares, por su mala gestión en cuanto a la privacidad del tratamiento de los datos de los usuarios.
Todo esto vino tras el escándalo de Cambridge Analytica, donde dicha consultora, tuvo acceso a datos de 87 millones de usuarios, que fueron usados de manera fraudulenta para manipular a los votantes, para la compaña electoral de EE.UU.
A donde quiero llegar remontándome a este tipo de escándalos, es el hecho claro de cómo se puede vulnerar el principio de finalidad por el que imperativamente se rige el tratamiento de los datos.
Otra violación de la privacidad la encontramos en el Big Data, que son el conjunto de datos masivos, y que se sustenta precisamente en la reutilización de los datos que han sido obtenidos previamente para una finalidad distinta, a la que se le dará en ultimo lugar.
Al respecto de todo lo anterior, conviene enfatizar que el principio de proporcionalidad exige a los desarrolladores, así como responsables del tratamiento de datos un examen exhaustivo del modelo previsto para facilitar los datos seleccionados, al momento de traspasar dichos datos a la IA, debiendo de escoger solo y exclusivamente aquellos datos que sean de gran relevancia e imprescindibles para las finalidades previstas. De manera más concisa, el responsable del tratamiento, en base a este principio, deberá de escoger la siempre la opción menos perjudicial e invasiva para los titulares de los datos. Y se aconseja documentar la decisión tomada, a modo preventivo para mitigar las consecuencias o riesgos que puede conllevar con posterioridad la presentación de los mismos a la Autoridad de Protección de Datos Personales, si llegado el momento diera lugar a una fiscalización.
¿Qué sucede, si además de todo lo anterior se incumple con la Protección de Datos?
Como hemos visto con anterioridad, en el caso de Mark Zuckerberg, el incumplimiento del adecuado tratamiento de la protección de datos, conlleva una serie de infracciones que la LOPD y el RGPD, califican desde leves hasta muy graves, y se verán sancionadas en virtud de su calificación desde un mínimo de 40.000€ hasta un máximo de 20.000.000€, en función de la gravedad que revierta la misma.
