El hecho de que nos encontramos en la era digital ya no está en discusión. Hoy por hoy, la gran mayoría de negocios se realiza por medios electrónicos y digitales, lo cual implica un constante tratamiento de datos. Para el manejo masivo de esta infinidad de información, han nacido nuevas herramientas que utilizan la Inteligencia Artificial (IA) un tema sobre el que, jurídica y socialmente, conviene poner atención.

Ahora bien, con toda esta revolución digital en la que nos encontramos, en donde vemos numerosas herramientas que facilitan varios aspectos del día de día mediante el uso de algoritmos de procesamiento, cabe preguntarse ¿estamos legalmente protegidos del tratamiento y procesamiento de datos por medio de la IA? En esencia, la respuesta concreta a esta disyuntiva es no, pues este aspecto es uno de evolución constante y rápida, que no da tiempo para que las leyes sean actualizadas para cubrir todos sus aspectos. Sin perjuicio de lo anterior, se ha procurado tomar regulaciones conocidas como sandboxes, que en el mundo de la informática son entornos regulatorios cerrados, diseñados para experimentar de forma segura con proyectos de desarrollo web o de software[1].

La IA -que puede ser definida de varias maneras- implica, en resumen, el procesamiento de datos personales a través de un algoritmo para arrojar resultados automáticos muy aproximados a un hecho concreto. Ahora, es importante conocer que al menos en el ámbito de la Ley Orgánica de Protección de Datos Personales (LOPDP), el uso de un sistema de IA que implica el tratamiento y procesamiento de datos personales activa la gran mayoría de las disposiciones de la LOPDP, con lo cual estamos debida y jurídicamente resguardados y protegidos.

Ante lo anterior, podemos decir que la LOPDP, en este caso específico del uso de IA, actúa como un sandbox regulatorio. Los datos personales son un componente vital para el ciclo de vida completo y de procesamiento de un sistema de IA, por lo que, sin el consentimiento y tratamiento legítimo y autorizado de estos datos, el sistema no puede ser iniciado o el procesamiento no será genuino, anulando el uso de la información automatizada que pudo arrojar la herramienta de IA.

Cabe señalar que no todos los sistemas de IA procesan datos personales, pero incluso, aquellos que no lo hacen, deben utilizar técnicas de anonimización para evitar un riesgo de reidentificación, lo cual está debidamente regulado por la LOPDP, demostrando su efectivada y aplicación para estos casos.

Ahondando sobre la protección de datos IA, los proveedores de servicios de este tipo, recaen y dependen de una base legal para el procesamiento, que incluyen la obtención de consentimiento, intereses legítimos, obligaciones legales y necesidades contractuales. Como sabemos, el consentimiento debe ser libre, expreso, informado e inequívoco, lo cual es manejable; no obstante, referente al interés legítimo, los prestadores de servicios de IA están obligados a equilibrar los intereses que persiguen con los intereses y derechos de las personas cuyos datos personales se tratan y procesan. En el contexto de la IA, esto implica una definición clara del fin último del procesamiento de la herramienta de IA desde el principio.

Ahora bien, entrando más a fondo a la regulación, hemos visto que las personas que usan sistemas de IA deben determinar el propósito del uso del sistema de IA al comienzo de su gestión y realizar una reevaluación de esto para determinar si el procesamiento del sistema arroja resultados inesperados, pues no es posible, por prohibición expresa de la LOPDP, a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas.

En el mismo sentido, sobre la base del derecho a la información y principio de finalidad, se requiere que los datos personales sean precisos y estén actualizados para un correcto tratamiento y procesamiento, que viene a ser importante para sistemas totalmente automatizados, donde la salida podría tener un impacto significativo en individuos con poca supervisión humana. Alimentar un sistema de IA con datos inexactos podría disminuir la calidad del resultado.

Finalmente, es importante hacer eco al principio de responsabilidad proactiva o accountability que requiere que aquellos que procesan datos personales establezcan una organización integral para garantizar que los datos personales se procesen de conformidad con la LOPDP y que sus políticas y procedimientos sean demostrables.

En el contexto de la inteligencia artificial y protección de datos, los proveedores deben rendir cuentas tanto a los reguladores como a las personas, y deben tener en cuenta la probabilidad y gravedad de las consecuencias del uso de la IA en las personas. No pueden simplemente desplegar un sistema de inteligencia artificial y luego culpar a ese sistema cuando su salida daña a las personas o resulta en incumplimiento, en esencia debido a que la responsabilidad de tener una correcta protección de datos personales, sobre todo mediante el uso de las herramientas de IA, se debe dar desde el diseño y por defecto En definitiva, consideramos y reiteramos el hecho de que la IA es un asunto de difícil regulación, pero confiamos en que la LOPDP, y posteriores regulaciones de la autoridad, vayan a controlar estas herramientas comunes y usuales, siendo necesario que los proveedores estén conscientes de las regulaciones de la norma en firme para la consecución de sus actividades

Mario Ruiz

[1] Tomado de https://www.bbva.com/es/que-es-un-sandbox-regulatorio/