Regulación de la Inteligencia Artificial: ¿Qué dice el nuevo Reglamento General de Protección de Datos europeo?
Por Alejandro Anderlic
Director de Asuntos Corporativos, Externos y Legales de Microsoft para Argentina

Somos la primera generación que vivirá en un mundo donde la Inteligencia Artificial (IA) tendrá un papel cada vez más protagónico. Esto representa un desafío muy importante para los abogados ya que la mayoría de los estándares, leyes y regulaciones que hoy nos rigen no fueron hechas específicamente para legislar un mundo donde la IA está cada vez más presente.

 

Sin embargo, esto no significa que los productos y servicios basados en esta tecnología no estén regulados. Actualmente hay legislación que protege los principios, las políticas y las leyes que fomentan no solo un uso responsable de la IA sino también la privacidad y la seguridad de la información.  Este tipo de regulaciones se encargan de regir el flujo de los datos y cómo se utilizan. Están enfocadas en promover la equidad y aplican criterios específicos para el uso de productos y servicios digitales donde interviene explícitamente capacidades de IA.

 

El 25 de mayo de este año entró en vigencia el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés). Se trata de una normativa de privacidad dictada por la Unión Europea que establece mayores derechos para los titulares de datos y mayores obligaciones para las personas, empresas, gobiernos y organizaciones que ofrezcan bienes y servicios o que recopilen y analicen datos vinculados a los residentes de la UE. Entre las novedades que incorpora el Reglamento, están las siguientes:

 

·  Privacidad personal: En relación a los datos personales, el GDPR establece que las personas tienen derecho a acceder a ellos, corregir errores que puedan tener, borrarlos, objetar su procesamiento y exportarlos.

 

·  Controles y notificaciones: Las organizaciones deberán proteger los datos personales con las medidas de seguridad apropiadas, notificar a las autoridades las filtraciones de datos personales, obtener los consentimientos apropiados para el procesamiento de los datos y mantener registros detallados de su procesamiento.

 

· Directivas transparentes: Será obligatorio informar en forma clara la recopilación de datos, resumir los propósitos del procesamiento y los usos, así como también definir las directivas de conservación y eliminación.

 

· Tecnología y capacitación: Las organizaciones deberán capacitar al personal en relación a la privacidad, realizar auditorías y actualizar las directivas de datos, así como también elaborar y administrar contratos de proveedores compatibles.

 

Las normas como GDPR son esenciales para brindar protección a los derechos de privacidad de las personas. La sanción de esta normativa y los acontecimientos ocurridos este año, donde los usuarios han tomado mayor conciencia de las consecuencias que tiene el uso de sus datos para fines no deseados, servirán para que quienes hacen tratamiento de datos sean mucho más cuidadosos, más aún a la luz de las medidas que vayan a tomar los reguladores en caso de incumplimiento con la ley. En Argentina ya contamos con una ley que protege a los titulares de los datos pero es bueno que se refuercen esos derechos con normas complementarias y que incluso se pueda actualizar la ley en función de situaciones que han surgido por el transcurso del tiempo.

 

En resumen, este reglamento se basa fundamentalmente en la protección de los derechos de privacidad de las personas y establece requisitos estrictos que rigen la forma de administrar y proteger los datos personales respetando la elección individual, independientemente del lugar donde se envíen, procesen o almacenen. El éxito en cuidar los datos de los usuarios no sólo es de las autoridades, también de los ciudadanos, pero fundamentalmente de las empresas, ya que deben tratarlos de una manera ética. Los datos están en el centro de todo y hay que protegerlos.

 

La situación en Argentina y en América latina

 

El GDPR posee una extensa aplicación territorial y podría regir para las empresas latinoamericanas, incluso si estas procesan los datos personales fuera de la UE o si procesan datos personales de residentes que no son de la UE.  Los servicios basados en IA no están exentos de los requisitos que tendrán efecto con este reglamento. Para avanzar junto con estas normas y garantizar el pleno ejercicio de los derechos de los usuarios es importante que las empresas proveedoras de servicios en la nube se comprometan a proteger la seguridad y la privacidad de los datos que manejan, que inviertan en la infraestructura y los sistemas necesarios para cumplir con los estándares que entraron en vigencia en mayo.

 

En América latina, hasta el día de hoy, Uruguay y Argentina son los únicos países latinoamericanos que la Comisión Europea considera que ofrecen un nivel adecuado de protección. Sin embargo, esas decisiones están sujetas a la supervisión y pueden revisarse ocasionalmente.

 

Para la ley argentina, pueden transferirse datos personales a servidores localizados en el exterior, siempre que se cumpla con la Ley de Protección de Datos Personales. Sobre este punto, esa ley, y la Disposición 60/2016 de la Agencia de Acceso a la Información (antes Dirección Nacional de Protección de Datos Personales), establece que si los datos se transfieren a una jurisdicción que la ley argentina considera que no brinda adecuada protección para los datos -como es el caso de Estados Unidos- quien transfiere los datos debe firmar con el proveedor extranjero un acuerdo de transferencia internacional de datos que, entre otras cosas, establece que de existir cualquier controversia sobre la información, la misma debe resolverse por ley argentina y por un juez argentino. A eso hay que sumarle las exigencias del GDPR: quienes en Argentina -como en cualquier lugar del mundo- recopilen, traten datos u ofrezcan bienes o servicios en Europa, son alcanzados por GDPR. Por eso es importante, que todas las compañías tengan noción sobre la importancia de esta normativa porque a los requisitos que tenemos bajo la ley local hay que sumar lo que impone la Unión Europea.

 

¿Qué es necesario hacer para cumplir con GDPR?

 

El GDPR es un reglamento complejo que podría exigir cambios en la manera en que las empresas recopilan, almacenan y utilizan la información personal. Esto no sólo se refiere a cómo identifican y protegen los datos personales en sus sistemas, sino también a cómo aplican los nuevos requisitos de transparencia, cómo detectan y comunican las filtraciones de datos personales y cómo capacitan al personal en temas de privacidad. 

 

Las empresas deben tener claro que los sistemas que utilizan para crear, almacenar, analizar y administrar los datos pueden extenderse hacia una amplia variedad de ambientes tecnológicos, que van desde dispositivos personales, servidores on premise hasta servicios en la nube e incluso el Internet de las Cosas. Eso significa que la mayor parte del ambiente de TI podría estar sujeto a las normas del GDPR.

 

Es muy importante que las empresas trabajen para elevar sus estándares de seguridad según la nueva reglamentación. Los esfuerzos por cumplir los requisitos del GDPR serán más eficaces si se consideran holísticamente y dentro del contexto de todas las obligaciones de privacidad regulativas y legales. Por eso, para iniciar el proceso de cumplimiento del GDPR es recomendable enfocarse en cuatro aspectos clave:

 

1. Detección: Identificar los datos personales que la empresa tiene y el lugar donde se encuentran. 

 

2. Administración: Controlar el uso y acceso a los datos personales. 

 

3. Protección: Establecer controles de seguridad para prevenir, detectar y responder a las vulnerabilidades y filtraciones de datos. 

 

4. Información: Atender a las solicitudes de datos, notificar eventuales filtraciones y conservar la documentación solicitada.

 

Como dijimos más arriba, en Argentina ya contamos con una ley que protege a los titulares de los datos pero es bueno que se refuercen esos derechos con normas complementarias y que incluso se pueda actualizar la ley en función de situaciones que han surgido por el transcurso del tiempo.

 

Los avances en tecnología han cambiado rotundamente nuestra forma de vida en las últimas dos décadas, hacia el futuro estos cambios serán cada vez más rápidos. La IA ayudará a las personas a potenciar sus capacidades, pero es importante acompañar este progreso con normativas que estén a la altura de estos avances que, por sobre todo, protejan a los usuarios y a su privacidad. El mensaje más importante que GDPR nos transmite como usuarios es que estar conectados no debe ser a costa de nuestra privacidad. Pone en el centro de la escena a las personas, y lo hace empoderándolas para asegurarles que tienen el control de la información, sabiendo en todo momento para qué se usa, quién la tiene. Por eso es importante que los sectores público y privado trabajemos juntos en concientizar a los ciudadanos, para que no estén desprotegidos en el ciberespacio.

 

La nube está en el centro de la cuarta revolución industrial de la que somos protagonistas. Está cambiando la forma en que nos comunicamos, trabajamos y aprendemos. Para adoptar al máximo las ventajas que la nube y la inteligencia artificial nos brindan, tenemos que ayudar a generar confianza. Porque nadie va a adoptar una tecnología en la que no confía. Esa confianza se construye sobre la base de cuatro pilares: seguridad, transparencia, privacidad y cumplimiento con la ley.

 

 

Opinión

Aportes irrevocables a cuenta de futuras suscripciones de acciones y nuevas normas de la IGJ: ¿resurgimiento como opción de financiamiento?
Por Dolores M. Gallo
Barreiro
detrás del traje
Diego Palacio
De PALACIO & ASOCIADOS
Nos apoyan