Breves nociones sobre la Inteligencia Artificial y su interacción con el tratamiento de datos personales
Por Agostina Salamone (*)
Berton Moreno IP Law

Desde tiempos inmemorables el término “tecnología” ha estado presente en las distintas sociedades. Basta con irnos, por ejemplo, al año 1760 d.C -comienzo de la Revolución Industrial- para advertir en los libros de historia la mención a dicha palabra. Pues, para la época lo que estaba aconteciendo era, sin lugar a duda, un avance de una realidad más tecnológica. La sociedad en su conjunto lo veía de esa forma. Remontándonos aún más atrás, en la época de los egipcios -3200 a.C a 31 a.C- sucedía lo mismo, la comunidad había logrado contar con grandes conquistas tecnológicas y, en ese entonces, los habitantes posiblemente identificaron o entendieron que se hallaban frente a lo que se trataba de una realidad de avanzada, respecto a otros tiempos o sociedades.

 

Hoy por hoy -y seguramente en los libros de historia que se escriban sobre esta época- volvemos a poner sobre la mesa el término tecnología. Ahora bien ¿qué notas son características y cuales son sus señas de identidad más distintivas que la diferencian de manera pronunciada a cualquier otro momento o realidad pasada?.

 

Como puntapié, podría partirse de la siguiente afirmación:

 

Antes, las personas tenían acceso a la tecnología, hoy, la tecnología tiene acceso a las personas.

 

En la actualidad acontece algo que no sucedía anteriormente, por primera vez nos hallamos en una suerte de “omnipresencia tecnológica”. Hoy hablamos de una sociedad que se desenvuelve en su día a día con y en apoyo de tecnología, más precisamente en una tecnología digital. Esto implica, sencillamente, que existe una dependencia humana al ciberespacio, nos encontramos inmersos en él.  Dicha inmersión se lleva a cabo de forma -casi- total en todos los campos: desde la comunicación hasta las compras, pasando por el entretenimiento y la educación, todo está influenciado por la tecnología digital. Esta era ha transformado la forma en que las personas interactúan entre sí y llevan a cabo los negocios y producción.

 

Si bien resulta innegable reconocer los beneficios que otorgan los avances tecnológicos y digitales, no debe pasarse por alto que también existen ciertos peligros, tales como la violación de la privacidad o el mal uso de los datos personales -entre otros-. Por tanto, no se busca desmerecer lo que de beneficioso ha de reconocerse en la informática, la reflexión que puede llevarse a cabo -desde un punto de vista jurídico- gira en torno a la capacidad gravemente lesiva de la intimidad que puede existir en esta nueva era. Pues, “la actividad tecnológica no es un fenómeno transitorio y excepcional sino permanente, a veces intrusivo e irreversible”[1].

 

En este orden de ideas, una de las diferencias más claras que podemos advertir con respecto a otros momentos de la historia es que hoy por hoy prácticamente todo el orden social depende del entorno digital.

 

Señalados estos aspectos, comencemos por definir y entender determinados conceptos que aparecieron en auge estos últimos tiempos y que se posicionan como protagonistas de esta nueva era digital:

 

Inteligencia Artificial:

 

La “inteligencia artificial” es un hecho y se encuentra en boca de todos. Desde juristas a empresarios, políticos y periodistas -entre otros-. Si bien es un tema en boga ¿qué entendemos cuando hablamos de Inteligencia Artificial? ¿cuál es su vinculación con la protección de datos personales?.

 

La inteligencia artificial (IA) es una rama de la informática que se enfoca en la creación de sistemas y algoritmos capaces de simular la inteligencia humana. Esto implica el desarrollo de mecanismos que permiten a sistemas informáticos aprender, razonar, percibir y resolver problemas de manera autónoma. Se trata de una tecnología que busca imitar la inteligencia y la capacidad de aprendizaje del cerebro humano, permitiendo realizar tareas que antes solo podían ser realizadas por seres humanos.

 

Por su parte, la Unión Europea (UE) ha definido a la IA como aquellos “sistemas software diseñados por humanos que, dado un objetivo complejo, actúan tanto física como digitalmente a través de la obtención de datos, ya sean estructurados o no, interpretando, razonando o procesando la información derivada de estos datos, y decidiendo la mejor acción a tomar para lograr el objetivo deseado” (Grupo de Expertos de la Unión Europea, 2019).

 

Clarificado esto, la pregunta que sigue es ¿cómo logran estos sistemas actuar con autonomía propia? Y la respuesta está dada en las definiciones mismas: Los sistemas de IA para funcionar requieren, necesariamente, de la recolección y tratamiento de datos. En la mayoría de los casos, en gran escala. Suele graficarse esta utilización señalando que los datos son el “combustible” para que la inteligencia artificial funcione.  

 

Sobre este punto encontramos el primer problema, pues como suele suceder, la legislación se encuentra por detrás de la realidad fáctica. En tal sentido, se viene proliferando un tratamiento de datos colosal, de una envergadura sin precedentes que no cuenta con una regulación estricta que lo controle. Así “los derechos se ven sacudidos por la revolución tecnológica y requieren, para mantener su esfera de protección, una reconstrucción desde el enfoque de la tecnología”[2].

 

Marco regulatorio argentino en materia de datos personales:

 

Cuando hablamos de utilización y tratamiento de datos en Argentina, debemos mencionar especialmente la Ley N° 25.326 - Ley de Protección de Datos Personales- pues es el marco regulatorio con el que contamos en la actualidad. Dicho esto, cabe poner de resalto que la mentada normativa data del año 2000 y si bien han existido varios proyectos de reforma, lo cierto es que al día de hoy nos encontramos frente a la misma legislación que la existente hace veintitrés años atrás.  De este modo, la regulación ha quedado obsoleta con respecto a la realidad actual en la que nos encontramos. No obstante a ello, y si bien la ley debería haber sido reformada hace tiempo -incluso antes de este último estallido tecnológico-, ciertamente, en ninguna parte del mundo se cuenta con una normativa actualizada en materia de datos personales que abarque o contemple la utilización de IA. Esta ausencia genera preocupación en las distintas autoridades, pues, estos sistemas recolectan datos de forma prácticamente imperceptible, en muchos casos sin siquiera conocimiento -y, por tanto- consentimiento de los titulares.

 

Así, en estos últimos días ha resonado fuertemente el caso de Italia. Como bien es sabido, dicho país se rige por el Reglamento General de Protección de Datos (GDPR en sus siglas en inglés), normativa que fue considerada referente en todo lo que respecta a la recolección y tratamiento de datos. Las autoridades italianas han prohibido el “ChatGPT”, -el chatbot de OpenAI que se comunica a través de inteligencia artificial-, por haber considerado que infringía las normas del GPDP en el marco de una supuesta recopilación ilícita de información de los usuarios. En efecto, la prohibición tuvo lugar dado que se detectó que el bot había revelado datos personales de ciertos titulares tales como: nombre y apellido, dirección de correo asociada al pago, los últimos cuatro dígitos de tarjetas de crédito, fechas de expiración. Generándose de este modo una vulneración a la normativa vigente.  Según el ente regulador existe una ausencia de una base jurídica adecuada en relación con la recopilación de datos personales y su tratamiento con fines de formación de los algoritmos subyacentes al funcionamiento de ChatGPT.

 

Aspectos pendientes en la regulación Argentina:

 

Como se ha adelantado, la IA utiliza como “combustible” base para funcionar, un flujo bestial de datos. Sin embargo, en Argentina carecemos de una regulación que contemple aspectos que, independientemente de la IA, ya deberían haber sido tratados.

 

En este orden de ideas, conviene indicar que la ley 25.326 no menciona ni define  qué se entiende por datos biométricos, así tampoco se hace alusión a los incidentes de seguridad. La norma no regula, en parte alguna, parámetros específicos para menores de edad en relación al tratamiento de datos. Por otro lado, actualmente no existe la obligación para los responsables del tratamiento de datos de notificar incidentes de seguridad, o de actuar conforme al principio de responsabilidad proactiva (establecido, por ejemplo, en el GDPR).

 

Así las cosas, la ausencia de actualización de la ley nacional se ha traducido en riesgos y desventajas con relación a países de la región -tales como Brasil- que elevaron su regulación conforme a los estándares de la UE-. Ahora bien, esta desactualización debe ser analizada y ocupada ahora también teniendo en cuenta la aparición y proliferación de la utilización de la IA. Pues, si antes estos silencios normativos implicaban ciertos riesgos, actualmente los mismos pueden multiplicarse con la aparición de dicha herramienta.

 

No obstante a lo mencionado, resulta interesante señalar los recientes pronunciamientos de la Red Iberoamericana de Protección de Datos (RIPD) relativos a dicha materia.

 

La Red Iberoamericana de Protección de Datos es un espacio conformado por distintas autoridades de protección de datos personales de Iberoamérica -entre ellas las Autoridades de Argentina, Colombia, Costa Rica, Chile, España, México, Perú, Portugal y Uruguay-, además de organizaciones de la sociedad civil vinculadas al tema, autoridades nacionales e internacionales y expertos en la materia.

 

Los objetivos y labores de la Red giran en torno a desarrollar iniciativas y proyectos relacionados con la protección de datos personales en Iberoamérica, con la finalidad de fomentar, mantener y fortalecer un estrecho y permanente intercambio de información, experiencias y conocimientos entre ellos, así como promover los desarrollos normativos necesarios para garantizar una regulación avanzada del derecho a la protección de datos personales en un contexto democrático[3].

 

La RIPD ha manifestado que el servicio de inteligencia artificial ChatGPT  "puede conllevar riesgos para los derechos y libertades de los usuarios en relación con el tratamiento de sus datos personales, los que abarcan aspectos tales como, los fundamentos legales para dichos tratamientos, la información que sobre los tratamientos se brinda al usuario, el ejercicio de los derechos reconocidos en las normativas de protección de datos, las posibles transferencias de datos personales a terceros sin contar con el consentimiento de los titulares,  el no contar con medidas de control de edad para impedir que menores accedan a su tecnología así como no saber si cuenta con adecuadas  medidas de seguridad para la protección y confidencialidad de los datos personales recabados”[4] Asimismo, la RIPD anunció que iniciará una "labor de supervisión" del mentado servicio.

 

Pese a la supervisión que se llevará a cabo, la mencionada Red ha dado una serie de recomendaciones a los usuarios con respecto al uso del Chat GPT, entre ellas:

 

- Consultar la política de privacidad asociada al servicio;

 

- Valorar la conveniencia de aportar datos personales incluidas las propias consultas que realicen;

 

- Tomar con cautela la información que el servicio suministra;

 

- Hacer uso de los derechos que las normativas de protección de datos les reconocen.

 

A pesar de que dichas recomendaciones tienen por objeto el resguardo de los derechos de los titulares de datos, lo cierto es que lejos están de resultar suficientes. Pues, si bien resulta destacable la labor que la RIPD viene llevando a cabo, tales recomendaciones y trabajos no suplen la exigencia de actualizar la normativa a la luz de esta nueva realidad.

 

Conclusión:

 

Efectivamente, y pese a las diferencias marcadas al comenzar el artículo, sí podemos encontrar semejanzas entre la presente situación y los sucesos histórico-tecnológicos pasados. En efecto, nuevamente estamos frente a la presencia de una herramienta que tiene la capacidad de ser utilizada con una funcionalidad dual:  por un lado, la IA puede articularse (y de hecho ya está sucediendo) como una gran aliada del progreso humano, facilitando procesos y optimizando resultados. Pero, al mismo tiempo, puede erigirse como un peligro para la sociedad -y la intimidad de los individuos-, en caso de que se utilice de formas contrarias a los derechos y principios fundamentales en materia de protección de datos personales. De ello se desprende la importancia de una regulación acorde.

 

 

Berton Moreno IP Law
Ver Perfil
Citas

(*) Abogada egresada en la Facultad de Derecho de la Universidad de Buenos Aires (FDUBA). Docente de Comercio Electrónico y Nuevos Medios de Contratación; y Abogacía Digital y Tecnologías Emergentes, ambas materias dictadas en FDUBA. Actualmente cursando la Diplomatura en Criminalidad Cibernética e Inteligencia Artificial dictada por la Universidad del Salvador. Abogada Senior en Berton Moreno IP LAW.

[1] Avila Renata et al. Derechos digitales en Iberoamérica: situación y perspectivas, Ed. Fundación Carolina, Madrid, Marzo 2023, Pag 12.

[2] Avila Renata et al. Derechos digitales en Iberoamérica: situación y perspectivas, Ed. Fundación Carolina, Madrid, Marzo 2023, Pag 11.

[3] Ver sitio web oficial: https://www.redipd.org/es/la-red/historia-de-la-red-iberoamericana-de-proteccion-de-datos-ripd

[4] Ver: https://www.redipd.org/es/noticias/autoridades-red-iberoamericana-de-proteccion-de-datos-personales-inician-accion-chatgpt

Opinión

Aportes irrevocables a cuenta de futuras suscripciones de acciones y nuevas normas de la IGJ: ¿resurgimiento como opción de financiamiento?
Por Dolores M. Gallo
Barreiro
detrás del traje
Diego Palacio
De PALACIO & ASOCIADOS
Nos apoyan