«¿Es la protección de datos una barrera en el desarrollo de la inteligencia artificial?», tribuna de Elena Peña, abogada de ECIJA, para LegalToday.

El pasado 23 de octubre se publicaron las Directrices Universales para la Inteligencia Artificial, que ponen de relieve la necesidad de encontrar un equilibrio entre este avance tecnológico y el derecho fundamental a la privacidad en el marco del RGPD.

Fue en 1997 cuando la inteligencia artificial pasó de un concepto que comúnmente se asociaba con películas de ciencia ficción futuristas a una realidad, cuando el campeón mundial de ajedrez Gary Kasparov cayó ante la supercomputadora de IBM Deep Blue.

Dos décadas después, los avances en este tipo de tecnología se han sucedido a pasos agigantados, y el año pasado AlphaGo, un programa de ordenador desarrollado por Google Deep Mind, ganó a uno de los mejores jugadores de Go, un juego de estrategia que se caracteriza por tener más combinaciones posibles de las que pueden calcularse. Aunque a primera vista no lo parezca, este avance supuso un salto estratosférico, ya que en vez de aprender únicamente de la información con la que se le alimentó, el programa se entrenó jugando contra sí mismo, llegando a desarrollar estrategias desconocidas hasta el momento. Es más, la siguiente versión, AlphaGo Zero, aprendió sin información sobre partidas anteriores: fue programado únicamente con las normas del juego, y tras 40 días jugando contra sí mismo ganó a la versión anterior del programa 100-0, requiriendo mucha menos energía.

Ahora, la inteligencia artificial va haciéndose un hueco en nuestro día a día: desde los avances en coches autónomos, a aplicaciones de música que hacen sugerencias en base a nuestro historial de reproducciones o chatbots en páginas web que nos ofrecen su ayuda.

En este escenario hay quien piensa que la entrada en aplicación del Reglamento Europeo de Protección de Datos (RGPD) supondrá un freno a estos avances tecnológicos cuando la información analizada contenga datos personales. Sin embargo, de cara a que el progreso de esta tecnología se construya de manera eficiente es necesario considerar la privacidad como la base en la que debe apoyarse, y no como el techo que frene su crecimiento.

La inteligencia artificial es en esencia una forma de explotar Big Data, siendo actualmente el llamado machine learning o aprendizaje automático su rama más comercializada. Esta técnica supone la creación de algoritmos matemáticos basados en el análisis de grandes cantidades de datos, extrayendo correlaciones para crear modelos que posteriormente se aplican a nueva información. Así, esta herramienta es capaz de aprender de su propia experiencia, incluso con independencia del aporte de información por parte del hombre.

Atendiendo a esta definición, podemos afirmar que los datos son la gasolina de la inteligencia artificial. De ahí que actualmente las empresas sientan rechazo a la hora de eliminar información, y tiendan a almacenar un abanico de datos de cada titular mayor del necesario, al considerar que en algún momento podrán sacarle rendimiento. Sin embargo, cuando se utilicen datos personales, esta consideración entra en conflicto con dos principios de la protección de datos: la minimización de datos y la limitación de la finalidad.

Así, de acuerdo al RGPD, únicamente podrán tratarse aquellos datos adecuados, pertinentes y limitados a lo necesario en relación con los fines, que a su vez deben ser determinados, explícitos y legítimos. Una excepción a esta prohibición de tratamiento ulterior con fines distintos sería en el caso de que la nueva finalidad fuera, entre otras, la de investigación científica. La cuestión a dirimir sería, ¿puede llegar a considerarse el desarrollo de herramientas de inteligencia artificial como subsumible en este concepto de «investigación científica»?  Teniendo en cuenta que en el considerando 159 se indica que dicho concepto debe ser interpretado de manera amplia, esta decisión parece fácil en aquellos casos en que el objetivo sea, por ejemplo, la investigación de enfermedades, pero si el fin tiene un carácter comercial parece más complicado defender dicha postura, por lo que habrá que atender a cada caso.

Otra aplicación que se da al machine learning es en relación con toma de decisiones automatizadas basadas en profiling o elaboración de perfiles de los interesados. Cuando esta decisión produzca efectos jurídicos en el interesado o le afecte de manera significativa, se añaden consideraciones al genérico deber de informar del tratamiento de datos. En estos casos, deberá trasladarse a su vez al interesado, entre otros, información relevante sobre la lógica implicada en la toma de decisiones. Esto puede suponer una complicación, ya que por la naturaleza de esta tecnología no siempre es posible determinar cómo se ha llegado a ese resultado o razonarlo en términos entendibles al ser humano. A este fenómeno se le conoce Black Boxo caja negra: se desconoce el proceso seguido por el sistema a la hora de llegar a una conclusión, renunciando al porqué en pos del qué.

El Grupo de Trabajo del artículo 29 ha entendido que esta complejidad no es excusa suficiente para evitar cumplir con la obligación de informar, aunque interpretó de manera suavizada este requisito entendiendo que lo que se traslade al interesado debe ser suficientemente comprensible para que pueda entender las razones detrás de la decisión, pero sin necesidad de dar una explicación compleja sobre los algoritmos utilizados o revelar el algoritmo completo[1].

(…)

Haga click aquí para acceder a la versión completa del artículo.