Privacidad & Inteligencia Artificial. Aspectos claves de su desarrollo
Durante meses, se ha estado hablando en prácticamente todos los sectores de la sociedad sobre la Inteligencia Artificial (“IA”) y sobre ventajas y riesgos de la misma para los menores, para los trabajos, para los artistas y sus obras, etc.
Ahora bien, antes de empezar a plantearnos el potencial de la IA para todas estas actividades y de preocuparnos por su potencial, debemos empezar, antes todo, a preguntarnos sobre los riesgos y características que deben intervenir en su creación, desarrollo y mejora. Para ello, un punto esencial es analizar dichos aspectos desde la perspectiva del uso de los datos personales y los requisitos aplicables que deben extraerse del Reglamento General de Protección de Datos (“RGPD”).
Y es que varias autoridades de control en materia de protección de datos, como la española, la francesa, la inglesa, etc., han ido examinando a lo largo de los años esta materia, de cara a establecer unos requisitos mínimos que deben tenerse en cuenta por dichas IAs cuando las mismas vayan a tratar o vayan a ser entrenadas con datos personales.
Igualmente, el Supervisor Europeo de Protección de Datos (“EDPS” por sus siglas en inglés) también ha tenido en cuenta los posibles impactos en el tratamiento de datos personales en las recomendaciones finales que ha remitido relativas al nuevo reglamento de IA que está trabajando la Unión Europa
De todos estos organismos, podemos extraer unos elementos comunes cuyo conocimiento es esencial para los desarrolladores de IA, de los que nos gustaría destacar los siguientes:
· Definir un objetivo y ser transparente con el usuario y usar sólo datos para los que contamos con autorización
La creación de una IA se basa, principalmente, en la recopilación de grandes cantidades de información que ayudan a la IA a aprender a identificar patrones, tipos de datos, tipos de imágenes, etc., de forma que sea capaz de aplicar dichos conocimientos a la información que luego proporcione el usuario final.
Tanto para esta fase de entrenamiento como para la fase de producción, es necesario que el usuario cuyos datos están siendo tratados sea plenamente consciente de esta posibilidad y sea informado con transparencia de este hecho. Para ello, es esencial que exista un objetivo claro que poder trasladar y explicar al usuario (ej.: sus datos serán tratados con la finalidad de elaborar una IA destinada al reconocimiento de X enfermedad en pacientes futuros) y se le informe con transparencia de los posibles tratamientos posteriores.
Incluso si la información personal a tratar va a ser anonimizada, habría que informar al usuario de que se van a recopilar sus datos y anonimizar con una finalidad concreta.
Además, es importante encontrar una base legitimadora que permita el tratamiento de los datos personales de los usuarios, ya que la ausencia de ésta puede implicar una importante sanción por las autoridades de control. No todos los datos que una empresa tiene en su poder pueden usarse con fines analíticos o de desarrollo, hay que analizar si este tratamiento es compatible con el fin original para el que se compartieron los datos por el usuario.
Finalmente, debe tenerse en cuenta que el EDPS ha recomendado que se prohíba el uso de la IA con fines de puntuación social, reconocimiento de rasgos humanos, inferencia de emociones y similares, lo que constituye un claro ejemplo de que no todos los objetivos perseguidos, incluso informados y aceptados por el usuario, van a ser válidos conforme a los ojos de los legisladores y la sociedad.
Por ello, es muy importante analizar los datos que necesitamos para limitar el acceso de la IA y sus desarrolladores a los mínimos datos posibles, así como garantizar que dichos datos no han cumplido su plazo de retención notificado, ya que su conservación más allá de dicho plazo, sin notificación al usuario, implicaría vulnerar la información proporcionada al mismo y, por tanto, incumplir el principio de transparencia y de conservación de datos que impone la normativa.
· Supervisar la mejora continua del aprendizaje y el proceso y evitar posibles riesgos y discriminaciones
Aunque la IA haya sido formada mediante un procedimiento adecuado y guiado por expertos desarrolladores, la ventaja de la misma es que siga mejorando y aprendiendo conforme es usada por los usuarios. Sin embargo, esto entraña un riesgo, debido a que una vez dicha IA empieza a aprender sin supervisión, pueden generar situaciones que deriven en un tratamiento de datos ilícito o no intencionado.
Por ejemplo, es posible que la IA empiece a utilizar los inputs que han sido entregados por un usuario final (respuestas, documentos, modelos, etc.) para responder las nuevas consultas, lo que implica que puedan verse filtrados a dicho usuarios datos personales de los usuarios originales.
Así mismo, también existe el riesgo de que la IA empiece a desarrollar patrones de respuesta que puedan constituir un incumplimiento de las leyes de igualdad y no discriminación, tanto porque los mismos estén basados en patrones discriminatorios como incluso en el caso de que estén basados en datos objetivos pero impacten en un ámbito que ha querido protegerse por las leyes estatales (por ejemplo, una IA destinada a establecer un valor para un seguro que trate de forma distinta a hombres y mujeres)
Así mismo, el EDPS ha sugerido prohibir también el uso de esta IAs con fines de categorización de personas o evaluación de sus riesgos de criminalidad de una persona concreta, con gran probabilidad debido al alto impacto que estos tratamientos pueden tener sobre el usuario y su potencial para discriminar
Por ello, es importante tener procedimientos de control y revisión de la IA que permitan atajar estos potenciales problemas antes de que los mismos tenga un impacto grave en los usuarios finales, ya sea mediante la discriminación de los mismos o mediante la revelación de información personal.
· Protección frente a los riesgos de los modelos de IA
Como puede imaginarse, las IA tienen acceso a una cantidad enorme de información personal, que, además, con carácter general, es capaz de identificar perfectamente entre el resto de la información que se le proporcionan en los entrenamientos y consultas.
Esto implica que exista un riesgo muy alto de que una IA, con una seguridad no apropiada, pueda ser objeto de ataques cibernéticos con el objetivo de obtener información personal, como puede ser información identificativa, bancarias, etc., con los grandes riesgos que esto conlleva en materia de suplantación de identidad, phishing, y similares.
Es por ello por lo que es muy importante establecer un procedimiento de pruebas de seguridad que garantice que los sistemas de IA tienen medidas robustas que impidan la extracción de la información personal a la que han tenido acceso, así como limitar la conservación de datos personales a la mínima indispensable de manera que se permita garantizar el impacto bajo (y, por tanto, el interés bajo del hacker) en caso de que se produzca cualquier brecha de seguridad en dicho sistema
· Derechos de los usuarios y decisiones automatizadas
Es importante tener en cuenta que los usuarios van a poder ejercer sus derechos en materia de protección de datos ante las empresas propietarias de estas IAs, esto implica que las mismas deben ser capaz de procurar al usuario el acceso a la información que pueda contener la IA, a rectificar la misma o suprimir la información.
Por ejemplo, al igual que ocurre con los buscadores online, si un usuario conoce que la IA en cuestión está mostrando información personal a terceros relativa a su persona o un evento pasado de relevancia pero que ya no tiene interés para terceros (por ejemplo, un caso de concurso de acreedores de una persona que ocurrió hace 10 años) tiene el derecho, y la empresa el deber, de que dicha información sea eliminada de inmediato.
Así mismo, en caso de que exista una decisión automatizada para el usuario y, según las recomendaciones del EDPS, en los sistemas de IA de alto riesgo, se precisa que exista intervención humana que explique y revise las decisiones que esta IA haya podido tomar sobre usuarios concretos y tenga un impacto significativo sobre los mismos.
Es por ello por lo que las empresas deben tener un procedimiento, organizativo, pero también a nivel técnico, claro para atender y gestionar estas peticiones de derechos o de impugnación de las decisiones de la IA.
Es por todo lo anterior que está claro que el desarrollo de la IA y solo puede hacerse acorde a unas reglas y, sobre todo, teniendo al ser humano y su protección presente a lo largo de todo el proceso, ya que sin las medidas anteriores corremos el riesgo de que la IA se convierta en una herramienta cuyo perjuicio supere a sus ventajas para la sociedad.
A nivel negocio, está claro que el tratamiento de datos personales va a ser uno de los puntos esenciales en los procesos que con toda seguridad se crearán para la evaluación y aprobación de las IAs por parte de las autoridades competentes, por lo que no tener en cuenta este aspecto en la creación de las mismas puede implicar la pérdida completa de la inversión si la misma posteriormente no puede ser lanzada.
Por ello, va a ser esencial que, dentro de cada entidad, se fragüe una estrecha colaboración entre técnicos de desarrollo, ingenieros y científicos de datos, personal de seguridad informática y expertos en protección de datos si se pretende lanzar al mercado una IA.
Articulo de Enrique Extremera Maestro, Head of Privacy, Legal Army.