Sana convivencia entre el desarrollo de la Inteligencia Artificial y la protección de datos personales
Por Natalia Passalacqua
Mabe Argentina

Las principales empresas tecnológicas están compitiendo por ser la primera en alcanzar la próxima evolución aplicando Inteligencia Artificial (en adelante IA). Entre las más destacadas encontramos Open AI, Microsoft, Google, Anthorpic, XAI, Amazon, entre otras.

 

La recompensa es obtener una ventaja competitiva inigualable que podría poner a cualquiera a dominar los mercados enteros e incluso con una amplia influencia a nivel mundial.

 

La IA podría encontrar la cura a algunas enfermedades y revolucionar la medicina, optimizar procesos, predecir tendencias, personalizar experiencias del cliente, generar una interacción entre el ser humano y sus objetos e incluso, por qué no, colaborar en forma activa en el ejercicio de la abogacía.

 

Pero ¿Cómo se pone a trabajar la IA? ¿Qué necesita para aprender? Una serie de evidencias, datos y experiencias que le permitan, a través de una enorme recopilación, desarrollar habilidades cognitivas. Los procesos cognitivos son los que le permiten a la IA recibir, procesar y elaborar información, permitiéndole tener un papel activo en los procesos de interacción, percepción y comprensión del entorno.

 

El machine learning

 

Conocido también como el aprendizaje automático es unas disciplinas en el campo de la IA que, a través de algoritmos permite a los ordenadores reconocer los patrones que llegan en datos masivos, y así, poder realizar distintas predicciones, permitiendo que el ordenador realice tareas específicas y especializadas. Esta técnica de aprender automáticamente es indispensable en el big data.

 

La carrera del conocimiento y la protección de datos personales

 

El objetivo de la IA es que los ordenadores se comporten de manera inteligente, de tal forma que puedan imitar el conocimiento humano a través de procedimientos simbólicos o conexionistas, detectando patrones en la cantidad masiva de datos que puede procesar por minuto.

 

De esta forma el big data o el conjunto de datos se transformaron en el petróleo de este siglo, lo que hace peligrar la integridad de una gran cantidad de datos personales que, día tras día, a través de diferentes aplicativos, objetos o simplemente con un click en los “términos y condiciones” de cualquier aplicación, estamos aceptando compartir de forma irracional, gratuita y fuera de control.

 

La protección de los datos personales se ve desafiada por el rápido desarrollo de la IA, pues su utilización y el aprendizaje implica el tratamiento de datos de forma masiva, dentro de los cuales se incluyen diferentes categorías de datos personales. Los datos son necesarios no solo para que la IA aprenda y alcance su máximo potencial, sino también para que esta pueda evitar sesgos o errores al momento de realizar un tratamiento.

 

En este sentido surge la urgente necesidad de implementar modificaciones rápidas a la legislación local, de tal forma que pueda adaptarse a este nuevo contexto. La Ley 25.326, promulgada en el año 2000 (1), ya tiene más de dos décadas de vigencia y no logra dar respuesta a los constantes planteos tecnológicos que van ocurriendo.

 

A este planteo hay que sumarle que la protección de datos personales tiene el desafío de tutelar al consumidor, pero sin ser un obstáculo a los nuevos modelos de negocios que se nutren de ellos para dar una mejor experiencia al cliente. La pregunta es ¿Una mayor experiencia o una intromisión abusiva?

 

Usamos Netflix y disfrutamos de que la plataforma elija, casi por nosotros, el estilo de series o películas de nuestro interés, de acuerdo con nuestro perfil y las últimas visualizaciones. Usamos plataformas para escuchar música (youtube o Spotify) y no nos sorprende que a los pocos días contemos con carpetas con selección rápida, favoritos olvidados, mixes especialmente elaborados a la medida de uno. En definitiva, es una recopilación de nuestros datos, asociado a gustos, consumo, edad, ubicación geográfica, sexo y un sinfín de datos que, conectados unos con otros, permiten la eficiencia de las plataformas digitales y nos ahorra tiempo de búsqueda.

 

Los nuevos modelos de negocios y más aún aquellos asociados a la IA están basados en la recopilación de información, término que incluye datos personales, de esta forma estos se convierten en mercancía a ser utilizada con fines de lucro para generar publicidad orientada, para mejorar productos, personalizar experiencias, entre otras opciones.

 

Pensemos en Tesla ¿Qué hacen sus autos a través de sus sensores? Recopilan información de sus conductores a través de la cual pueden trabajar en la mayor eficiencia de sus robots. En este sentido, los invito a pensar en las plataformas de ventas, plataformas digitales, redes sociales, sistemas informáticos donde dejamos rastros de datos que se convierten en una gran mina de oro (2).

 

Sin embargo, la idea de este artículo no es demonizar la IA ni evitar la necesaria evolución en la forma de ver el mundo, sino en tomar consciencia de como compartimos nuestros datos y de como estos deberían estar protegidos o amparados de tal forma que no pongan en riesgo nuestra integridad humana. El verdadero reto es que la IA se desarrolle dentro de patrones éticos y regulatorios, orientada al servicio del hombre y no a la inversa. Si bien es una afirmación con cierto contenido filosófico lo cierto e que no deja de ser un planteo legal, pues no se puede desarrollar un contexto regulatorio sin antes tener en claro cual es el objeto que amerita de una tutela.

 

De esta forma, cabe preguntarse cuáles son los escenarios en los que la IA podría generar un riesgo al titular de datos personales. Para contestar esta pregunta hay dos aspectos de la IA a tener en cuenta: (i) La IA puede tomar decisiones automatizadas por sí misma y (ii) El sistema se desarrolla aprendiendo de las experiencias e información suministrada.

 

Entonces ¿Cómo combinar el desarrollo de la IA con un adecuado tratamiento de datos? Para contestar a este interrogante es necesario saber que este contexto obligó a los diferentes países a reforzar los regímenes de protección de datos, junto a regulaciones sobre transferencia internacional de datos, intentando conciliar el comercio internacional con el concepto de soberanía sobre los datos personales. También se han celebrado convenios de cooperación en materia del combate del ciberdelito y sus limitaciones legales basados en la privacidad, la “Cloud Act” y el acceso a datos de plataformas de otros países. Las cuestiones de ciberseguridad y los ciberataques no solo a empresas sino también a estados redundan en conflictos que involucran una buena cantidad de datos y a veces IA.

 

Ya hace varios años que los efectos del Reglamento Europeo de Protección de Datos (RGDP) se han extendido a países de todo el mundo, incluyendo a la región latinoamericana, llegando incluso a los estados de California, Colorado, Connecticut, Utah y Virginia, dentro del territorio estadounidense y China, cuyo Código Civil incorporó normas de protección de datos con sabor europeo.

 

Sin lugar a duda, el RGDP se ha transformado en el estándar de cumplimiento a nivel mundial y atento a la enorme transferencia de datos que ocurren día tras día, sería recomendable que todos los países partan de esta base para legislar con el objetivo de evitar diferencias sustanciales que desprotejan a los ciudadanos o se transforme en un obstáculo para el inevitable flujo de datos personales.

 

Al respecto y durante el transcurso de estos 24 años en Argentina se creó primero la Dirección Nacional de Protección de Datos Personales, dentro del Ministerio de Justicia, que luego fue transferida a la Agencia de Acceso a la Información Pública, consolidándose como autoridad independiente de datos personales.

 

Acá no terminan los aciertos, toda vez que el 15 de diciembre de 2017, por medio de la Ley 27.411, la República Argentina adhiere a la Convención de Budapest sobre el Ciberdelito; el 2 de enero de 2019 se aprobó el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal (Convenio 108) junto con el protocolo adicional, por medio de la Ley N° 27.483 y durante el año 2020 adhiere al Convenio 108+. Sin embargo, aún resta un largo camino por recorrer en este arduo contexto, con una ley ajustada que nació desactualizada, como bien menciona Eduardo Bertoni (3), toda vez que la norma promulgada en el año 2000, se basa sustancialmente en la Ley orgánica española 5/92, derogada con fecha 13 de septiembre de 1999, por la Ley Orgánica 17/1999 de Protección de Datos de Carácter Personal.

 

En este marco hay conceptos que se vuelven urgentes e importantes a ser tratados, como ser el consentimiento, el interés legítimo, la protección en la transferencia internacional o la portabilidad por parte del titular de datos personales. Principios rectores que se vuelven sustanciales, como ser:

 

  • Principio de legalidad: Garantizar que los datos recolectados sean de acuerdo a las normas y con apego a las leyes aplicables, contando con el consentimiento “informado” del titular, o que se recolecte en cumplimiento de un interés público, para la ejecución de medidas contractuales, para proteger intereses vitales o para satisfacer intereses legítimos del titular de la base.
  • Principio de información: Para garantizar que el titular de los datos tiene conocimiento de quién trata su información y para qué fines, colocando los avisos de privacidad que deben estar expresados de forma clara y sencilla.
  • Principio de Calidad: Asegurar que los datos sean exactos, completos, correctos, adecuados para los fines que fueron recabados y que no puedan generar sesgos, menos aún en el uso de la IA.
  • Principio de proporcionalidad y minimización: Que se recaben los datos necesarios, adecuados y relevantes solo para cumplir uno o varios objetivos concretos que deben estar claros y en conocimiento del usuario.
  • Principio de seguridad: Que se cumplan todas las medidas de seguridad para evitar fuga, pérdida o eventos de “data breach”. A los efectos de proteger la información que los titulares de datos confían.
  • Principio de responsabilidad: Las compañías, estados u organizaciones que recopilen, traten, y utilicen los datos personales ya sea para implementar IA o con cualquier otro fin deberían implementar las acciones necesarias para cumplir con la normativa de protección de datos; elaborando las políticas de privacidad, contando con un sistema de seguridad, un programa de capacitación, un sistema de supervisión y vigilancia, destinando recursos para instrumentar programas de protección de datos.
  • Principio de transparencia: Proporcionar la información clara, comprensible y accesible a todos los individuos cuyos datos están siendo recopilados, de forma que se pueda garantizar qué datos se procesan, con qué fines, cómo y quién es el responsable del tratamiento.

Sin embargo, en la carrera del conocimiento la obtención de los datos no siempre es transparente, lineal y objetiva a un fin específico, los datos se obtienen por el simple hecho de que la información, desde épocas inmemoriales, es sinónimo de poder y en la actualidad más que nunca. No puede existir ningún sistema de Inteligencia Artificial sin datos.

 

Ejemplifiquemos ¿Un ordenador podría simular a un juez? Por supuesto que sí, en tanto y en cuanto se lo pusieran a leer todas las normas, doctrina y jurisprudencia de tal forma que pueda elaborar razonamientos propios y similares. Con este cuestionamiento no estoy infiriendo que la IA pueda reemplazar a un funcionario judicial o a un abogado, pero si cooperar activamente en su labor e incluso hacer más eficiente al profesional con su uso, no nos engañemos, la capacidad de estudio de un ordenador es superior a la de un humano. Pero ¿Qué necesita ese ordenador para actuar como un juez? Datos y alguno de ellos pueden ser personales.

 

Otro ejemplo más sensible ¿Cómo utilizar la IA en el ámbito de la salud? ¿Podría reemplazar a un médico? Probablemente no, pero si podría cooperar en la elaboración de nuevos tratamientos para curar enfermedades tan populares como el cáncer. Sin embargo, para aprender puede necesitar una serie de información médica, catalogada como información sensible.

 

Entonces ¿Cómo desarrollar IA y proteger los datos personales al mismo tiempo? Con regulación eficiente, con consciencia social, con organismos independientes y con mucha responsabilidad social por parte de los desarrolladores. El objetivo principal no debe ser invalidar negocios o el desarrollo de tecnología que puede redundar en enormes beneficios para la población mundial, sino en evitar un uso inadecuado que pueda generar sesgos, tráficos de datos o incluso que el uso inapropiado de la IA pueda influir sobre decisiones o la consciencia de la humanidad.

 

El hecho de que la IA pueda tomar decisiones automatizadas y aprenda de la información proporcionada puede poner en riesgo la integridad de los datos que se tratan y con ello la integridad de sus titulares, de allí radica la importe tarea y carrera por regular eficientemente la protección de datos y la creación, puesta en marcha y uso de la IA.

 

ALGUNOS DESAFÍOS

 

Los desafíos atraviesan a los abogados, legisladores, al poder político, empresarios y a toda la sociedad que tiene el deber de tomar consciencia del valor de sus datos. Tal como fue la revolución industrial que supondría el reemplazo de mano de obra por máquinas, con la consecuente escalabilidad productiva; la tecnología supone un cambio en la forma de percibir el mundo, en el ejercicio de muchas profesiones y actividades, como así también del concepto que se entenderá como mano de obra calificada.

 

No es un reemplazo sino una transformación que nos corta trasversalmente como sociedad y nos coloca ante el desafío de dominar y controlar aquello que está a nuestro alcance. Uno de los puntos a dominar es el portafolio de datos que utiliza la IA para aprender, de tal forma que estos cumplan con los siguientes requisitos:

 

(i) Tengan un fin específico;

 

(ii) El fin para el que son usados esté dentro del principio de legalidad;

 

(iii) Que estén limpios de sesgos que puedan generar discriminaciones;

 

(iv) Que no sean sensibles;

 

(v) Que su uso sea proporcional y limitado al objetivo que generó su recolección;

 

(vi) Que no estén orientados a manipular la opinión pública;

 

(vii) Que puedan ser conocidos por sus titulares y que, a su vez, a estos les asista el derecho a suprimirlos, modificarlos o simplemente transportarlos.

 

(viii) Que estén protegidos

 

(ix) Que los responsables estén visibles

 

Hay muchos aspectos adicionales a debatir y consensuar, el objetivo de este artículo es que todos pensemos un poco más y nos desafiemos no a pensar en la tecnología o la IA como un demonio devorador de datos personales, sino como una herramienta que puede adaptarse a evolucionar como humanidad, la eficiencia de la regulación dependerá de los riesgos que deseamos asumir como sociedad.

 

 

Citas

(1) Ley 25.326 B.O. 30/10/2000

(2) Elon Musk – Walter Isaacson – Coches que aprenden de las personas, página 673.

(3) Protección de Datos Personales – Doctrina y Jurisprudencia – Tomo 1 – Pablo A Palazzi.

Opinión

Aportes irrevocables a cuenta de futuras suscripciones de acciones y nuevas normas de la IGJ: ¿resurgimiento como opción de financiamiento?
Por Dolores M. Gallo
Barreiro
detrás del traje
Diego Palacio
De PALACIO & ASOCIADOS
Nos apoyan