En 2009 Facebook era una red social joven, con cinco años a sus espaldas. Abundaban los teléfonos móviles Nokia y había pocos y primitivos smartphones en las calles. Ni Instagram ni TikTok existían. Fue en ese año, cuando el concepto de privacidad era aún de nicho, cuando se creó la Asociación Profesional Española de Privacidad (APEP). Eran 53 personas con perfiles singulares dentro del mundo del derecho, con una cierta vinculación a la rama tecnológica.
Entre ellos estaba Marcos Judel, socio del bufete Audens y, desde 2019, presidente de la APEP. La protección de datos se ha ligado especialmente a la rama del derecho tecnológico y, con el paso de los años, se han creado perfiles especializados en privacidad. No solo abogados, también especialistas dentro de las empresas, que se dedican a la gobernanza de la información.
La entidad estudia desde hace años sistemas de inteligencia artificial, como chatbots o modelos de predicción, que recogen y usan datos personales. En el marco del Congreso IA, Derecho y Empresa, organizado por Lefebvre, hablamos con el presidente de la APEP, que ya cuenta con más de 1.300 afiliados, sobre protección de la información personal en pleno apogeo de la IA generativa.
¿Cómo se puede garantizar la privacidad en esta omnipresencia de la inteligencia artificial?
Tenemos una gran ventaja; el Reglamento General de Protección de Datos, que establece un marco basado en identificar riesgos para los derechos y libertades de las personas. El reglamento de IA es un reglamento más orientado a producto, a marcado CE, orientado a desarrolladores, comercializadores y usuarios. Y estos van a tener que llevar a cabo una serie de análisis de riesgos y tomar una serie de medidas de transparencia. Es como cuando te compras un juguete o un dispositivo electrónico que viene con un marcado CE, que indica que está hecho conforme a la normativa europea. Pues con la inteligencia artificial, lo mismo.
¿Cómo se conjugan estos dos reglamentos?
Cuando los sistemas de IA tengan interacción directa con datos personales entra el Reglamento General de Protección de Datos. Y ahí tenemos que entrar los profesionales de la privacidad y los delegados y delegadas de protección de datos. Va a ser necesario montar alrededor de la IA todo un sistema de gobernanza, de gobernanza de la IA.
Esto es muy importante porque nos va a dar las líneas y las claves de quién tiene que entrar en cada proceso, y en cada sistema y en cada modelo. Va a haber momentos en los que tienen que estar los profesionales técnicos de la IA. Va a haber otros momentos más importantes para los de ciberseguridad.
Y también para los especialistas en privacidad…
Y también habrá momentos clave para los delegados de protección de datos o los profesionales de la privacidad. Aunque no siempre estos últimos van a tener que estar presentes, porque si es una IA que lo único que hace es controlar los sistemas hidráulicos del tren de aterrizaje de un avión, pues ahí no hay datos personales. Pero cuando sea una IA que analiza las características de una persona, los currículums para entrar en un proceso de selección, para saber si vas a ser o contratado o no, pues ahí sí que tienen que estar desde el principio.
¿En qué parte del proceso de creación de un sistema de IA tiene que entrar la persona encargada de la protección de datos?
Una de las características clave del Reglamento General de Protección de Datos, unido al de inteligencia artificial, es la privacidad desde el diseño. Cuando un sistema o un modelo de IA tenga implicación en datos personales, el profesional de la privacidad tiene que estar enterado desde el principio para poder establecer los cauces para que ese sistema cumpla con la protección de datos y se protegen los derechos y libertades de las personas.
Cada empresa necesitará su propio sistema de gobernanza…
Es un tema que van a tener que abordar. Y lo primero que va a tener que hacer la empresa de cara a abordar estos sistemas de gobernanza es enterarse de qué tiene y analizar qué tipos de inteligencias artificiales tiene. Porque nosotros nos estamos encontrando muchas veces que en las empresas se están utilizando sistemas de inteligencia artificial vinculados a datos personales.
¿Cómo por ejemplo?
Pues un simple chatbot en una página web es una inteligencia artificial y podría estar aprendiendo de lo que una persona le está diciendo. Imaginemos a un ayuntamiento, y el usuario pregunta cuál es el autobús para ir al hospital X. [El chatbot] te dice que es uno, pero si vas a urgencias es este otro. Con eso ya tiene esos datos y tu IP. El sistema va aprendiendo y eso puede tener una implicación importante. Así que es necesario ver cómo organizarlo. Y sobre todo saber qué tienes y para qué lo vas a utilizar. Además, hay que determinar si ese sistema es necesario para esa finalidad en concreto. Esto es una de las claves del reglamento de protección de datos. Los tratamientos tienen que ser legítimos y tienen que adecuarse a una proporcionalidad y a una necesidad real. Si no, esto se nos va de las manos.
¿Esta legitimidad también tiene que aplicarse en la recogida de datos personales?
Cada vez es más fácil reunir datos personales. Pero claro, depende de cómo lo vayas a hacer, si tienes una base de legitimación, si depende de las personas, si has informado a esas personas de que vas a coger sus datos para una determinada actividad. Dentro de la gobernanza no solo habrá que saber qué tienes, sino también para qué. Y cómo va a ser la vida de ese dato. Es decir, son cosas que hay que ir analizando desde el principio. Porque como se haga todo un sistema de inteligencia artificial y no tenga bien montada desde el diseño la privacidad que afecta a la protección de datos, se te cae.
¿No se podría utilizar este sistema de IA?
Claro, te lo pueden prohibir. Te puede venir la agencia de protección de datos y decir que el tratamiento de datos que estás utilizando con este sistema no se puede hacer. O te puede venir otra agencia competente, como la Agencia del Medicamento (AEMPS), si un sistema de IA tiene que ver con temas médicos, y decirte que esto no lo puedes hacer.
¿El RGPD condensa las aspiraciones de privacidad que tenían los usuarios más informados y asociaciones como la suya?
El Reglamento General de Protección de Datos se ha convertido en una referencia mundial. Porque no es una norma taxativa que dice que hay que hacer esto o lo otro. Lo que dice es que tienes que proteger los derechos y libertades de las personas. Y la protección de datos y la privacidad es un derecho fundamental de las personas. Entonces, cuando vayas a hacer un tratamiento de datos, tienes que analizar qué riesgo implica para las personas. Y los riesgos van a depender muchísimo de cómo se aborde cada cosa.
¿Esto cómo se traslada a los sistemas de IA?
Una empresa puede tener un proceso de selección de personal con un riesgo muy bajo y otra empresa puede tener un mismo proceso de selección de personal de una forma mucho más descontrolada o con una serie de factores que pueden implicar un riesgo alto. Por ejemplo, porque les están pidiendo a los candidatos datos de afiliación sindical, orientación sexual o cosas así, cuando la anterior no. Esos impactos hay que analizarlos. Y hay que aplicar medidas adecuadas para que ese riesgo no exista. Porque si luego algo está mal pueden venir las sanciones. Y las multas, que ya nos parecían muy altas con el reglamento de protección de datos, ahora con el reglamento de IA son más altas todavía.
¿Pueden ser compatibles los dos tipos de sanciones?
Pueden ser complementarias. Pueden sancionarte por una cosa y por otra. Pero eso va a ser más complicado porque las multas del reglamento de IA van más orientadas, en general, al fabricante, es decir, al desarrollador y al comercializador. Al usuario de un sistema de IA [la entidad o persona que lo despliega] le irán más por la parte de datos. Independientemente de que si se está haciendo una actividad prohibida por el reglamento de IA, como puede ser influir subliminalmente en las personas o categorizaciones, eso será otra cosa.