Inteligencia artificial, reconocimiento de emociones y protección de datos: horizonte, retos y obligaciones
Tribuna de Daniel López, socio de ECIJA, para Lefebvre con motivo del Día Europeo de la Protección de Datos.
En los últimos tiempos hemos ido viviendo grandes avances en el ámbito de la tecnología, aspectos que han ido evidenciado la necesidad de, denominativamente, dejar de hablar de nuevas, teniendo en cuenta el nivel de superación que ellas conllevan.
Si bien, no hace mucho hablábamos de la importancia del big data o el establecimiento de sistemas predictivos y los grandes beneficios que ello conllevaba, no sólo para las propias empresas (en lo relacionado con la atención a sus clientes, definición de productos, entre otros aspectos), sino, también, para las propias personas en relación con sus necesidades, este avance ha ido evolucionando, junto con otras cuestiones, hasta un nuevo hito, la adopción de sistemas de inteligencia artificial.
Rara es la semana en la que no encontramos en los medios noticias sobre esta temática, donde sistemas como ChatGPT, nos ayudan a entender su funcionamiento y, lo que es más importante, la definición de posibles usos, desde la óptica del presente, pero, sobre todo, con la mirada puesta en el futuro.
Si bien esta tipología de avances se produce en el ámbito de la tecnología, en ocasiones, nuestro regulador -nacional y europeo-, parece ir dando pasos más lentos, una cuestión que puede entenderse alineada con los pronunciamientos de las propias autoridades de control.
En el horizonte, encontramos reflexiones de éstas o proyectos normativos que, aun quedando camino por recorrer, vendrán a regular y aportar una mayor seguridad jurídica en el ámbito del tema que, de fondo, nos ocupa.
Así, hemos ido conociendo, lo que será tras su tramitación, la propuesta de futuro Reglamento Europeo, donde parte de los principios y limitaciones de uso quedaron previamente recogidos en el Libro Blanco de Inteligencia Artificial (publicado por la Comisión Europea en 2020).
Igualmente, ante las dudas y retos que se plantean, debemos considerar que, alguna de las soluciones las encontramos en la normativa actual. Es decir, parte de esos retos, nacen de planteamientos jurídicos que, en ocasiones, ya se encontraban regulados, tal y como ocurre con la normativa en materia de protección de datos. Cuestiones tales como el derecho/deber de transparencia, la necesaria legitimación para el tratamiento, la realización de evaluaciones de impacto, o relación con los proveedores, se encuentran asentadas dentro de las obligaciones y derechos, en relación con los responsables y encargados del tratamiento y, fundamentalmente, hacia las propias personas y el tratamiento de sus datos personales.
Así, en lo que respecta a la normativa en materia de protección de datos, por ejemplo, no puede obviarse que una de las grandes funcionalidades que integran los sistemas de inteligencia artificial es, precisamente, la capacidad de realizar análisis masivos de datos que posibiliten la adopción de determinadas decisiones, en la mayor parte de los casos. Un reto en el marco de la protección de los datos personales, que encuentra su respuesta en el Reglamento General de Protección de Datos (en adelante, el “RGPD”) que, en su artículo 22 reconoce el derecho de las personas a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluyendo la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente, con la salvedad de que la adopción sea necesaria para celebración de un contrato, estuviese por una norma o se legitimara en el consentimiento (libre, expreso, inequívoco) de la propia persona.
Un derecho que, precisamente, posibilidad a la persona reclamar ante la toma de decisiones en las que no haya intervención humana, paliando el posible efecto negativo que puedan tener sobre él los criterios observados por el algoritmo diseñado.
Estas obligaciones ya existentes encuentran su reflejo en las nuevas normas que se están elaborando, donde esos pilares de la protección de los datos personales que anticipábamos se asientan dentro de las obligaciones que, quienes vayan a desarrollar o utilizar estos sistemas, deben cumplir.
La propuesta referida de Reglamento de Inteligencia Artificial dispone obligaciones específicas referidas a la transparencia respecto al uso de sistemas de inteligencia artificial. De considerarse fundamental, por ejemplo, facilitar información específica y clara a los propios interesados sobre el uso de estos sistemas. Cuestión de debe reforzarse en aquellos casos en los que dichos sistemas se hayan desarrollado para que las personas puedan interactuar con ellos, evitando así, no sólo ficciones, sino menoscabos a los derechos de las personas. Un aspecto que adquiere mayor relevancia en sistemas, como los que nos ocupan, que posibiliten el reconocimiento de emociones o de aquellos otros enfocado hacia la categorización biométrica, exceptuando aquellos casos en lo que, por ejemplo, exista autorización legal para su utilización, en el caso de que sea empleado para la detección, prevención, investigación o enjuiciamiento de infracciones penales.
El texto que conocemos de la futura norma europea establece diferentes niveles riesgo, que incluyen una línea roja que no debe cruzarse por su impacto en los derechos y libertades de las personas, a otros menores atendiendo al escalado de los mismos. Concretamente, dentro de los considerados como riesgo alto, se encuentran: juguetes y aparatos electrónicos; medios de transporte (embarcaciones de recreo y motos acuáticas, ascensores, transporte por cable); sanitarios y/o protección de personas (diagnóstico in vitro, protección individual); identificación biométrica y categorización de personas físicas; gestión y funcionamiento de infraestructuras esenciales; educación y formación profesional; empleo, gestión de trabajadores y acceso al autoempleo (tanto en contratación como con la finalidad de tomar decisiones referidas a la promoción profesional); acceso y disfrute de servicios públicos y privados esenciales (evaluación de personas para ayudas y subvenciones, evaluación de la solvencia y clasificación crediticia, envío de servicios de primera intervención en situaciones de emergencia), entre otros.
Dentro del desarrollo de sistemas de alto riesgo se deberá cumplir con una triple configuración: la necesidad de llevar a cabo una evaluación de riesgos (garantizando la implementación de un sistema de control de calidad durante todo el ciclo de vida), contar con documentación técnica que permita acreditar los usos particulares del sistema y contar con una evaluación de conformidad de la UE, por el organismo competente en el estado miembro en el que esté ubicada su actividad.
Aspectos que, en otro orden, se recogen dentro de las obligaciones que establece RGPD, en relación con determinados tratamientos y la aplicación de evaluaciones de impacto o de los principios de privacidad desde el diseño y por defecto, entre otros. Es por ello por lo que, parte de los aspectos que venimos enunciando, no deben resultar desconocidos para aquel obligado con la normativa en materia de protección de datos.
Centrándonos en el ámbito de la protección de datos, debemos partir de la premisa de que entendemos por datos personal. Si tomamos la definición recogida en el RGPD (que venía dándose también en las normas europeas y nacionales previas), cualquier información que identifique o haga identificable a una persona sería entendido como datos personal, por tanto, no puede contemplarse el cumplimiento exclusivamente desde el momento de recogida de la información en que quizás, el sistema no identifique a una persona concreta (bien porque no se le solicite determinada información o porque el número de datos no posibilite la identificación a priori), sino desde una visión completa, teniendo en cuenta que las operaciones que posteriormente se realicen o que el enriquecimiento de la información -incluso con aquellos datos que facilite el propio interesado, puedan posibilitar la identificación posterior. Esta es una cuestión que ya ha sido analizada en diferentes ocasiones, en el establecimiento de sistemas de big data, donde el concepto de anominzación se hace complicado, posibilitándose la identificación o reidentificación a posteriori.
En este punto, en el momento de analizar si nos encontramos o nos encontramos ante datos personales, la aplicación de procedimientos de privacidad desde el diseño y por defecto. Sólo mediante la interacción de todas las áreas implicadas de la empresa, pueden obtenerse conclusiones que faciliten el cumplimiento normativo (con la consiguiente reducción de riesgos sancionatorios).
Caso parecido nos encontramos dentro de la definición de tratamiento, atendiendo a que cualquier operación que vayamos a realizar con un dato personal, desde su recogida, explotación, modificación, utilización, conservación o, incluso, eliminación, estarían bajo el concepto recogido por el RGPD.
Partiendo de estas premisas, para difícil llegar a la conclusión de que no será de aplicación la normativa en materia de protección de datos, tanto a los propios desarrolladores de estas soluciones, como a aquellos que las vayan a implementar en su ámbito de acción, con la consiguiente definición de roles, como responsables o encargados del tratamiento.
Durante el ciclo de vida del dato, precisamente, atendiendo al proceso de aprendizaje de la solución, se produce un enriquecimiento de este, que, además, permite realizar los ajustes necesarios, la mejora de la experiencia, su grado de efectividad, entre otros aspectos. Si buen pudiera darse el caso de que, no fuese necesaria la identificación unívoca de una persona en ese momento, debe considerarse si se realiza un proceso de anonimización completo o la naturaleza personal sigue persistiendo. Aspecto que no precisa mandatoriamente de la identificación de una persona concreta o el registro en el sistema.