La inteligencia artificial y los datos personales

  1. Inteligencia Artificial: Status Legislativo Global. Reseña y tendencias.

Durante los últimos meses, el desarrollo de los sistemas de inteligencia artificial (“IA”) -con Chat GPT como ícono representativo de la misma- marcó un hito por sus logros insospechados hace menos de un año y el crecimiento exponencial de su uso. Esto causó reacciones a nivel global de gobernantes, filósofos y -en lo que a los abogados nos concierne en el aspecto profesional- una suerte de rally legislativo por intentar regularla. 

Y si bien el derecho corre siempre detrás de los hechos (cosa que suele notarse más en el campo de la tecnología por su rápida evolución), en el caso de la inteligencia artificial este desfasaje se hizo muy evidente en muy poco tiempo. La proliferación masiva de herramientas de IA, los efectos advertidos de su uso y, especialmente por sus probables potenciales efectos, hicieron más palpable esta laguna normativa.    

A HOY prácticamente no hay en el mundo leyes que regulen integralmente el uso de la IA. Existen contadas normas muy puntuales sobre ciertos usos de sistemas de IA en sectores o actividades específicas, como sucede por ejemplo en USA con las normas estaduales laborales de New York e Illinois que establecen recaudos que deben cumplir los empleadores para el uso de sistemas de IA que afecten a sus empleados. También existe normativa o acuerdos de ‘soft law’, de carácter no vinculante, que generalmente establecen principios y recomendaciones de carácter éticos, guía de buenas prácticas, etc en el uso y desarrollo de herramientas de IA. Ejemplos de esto último lo constituyen los principios éticos genéricos de la OCDE sobre uso de la AI, suscriptos por más de 40 países; los ‘AI white papers’ emitidos por los gobiernos de USA, UK y la Unión Europea; o los ‘AI Ethics Frameworks’ emitidos en los últimos meses por distintas entidades gubernamentales de Australia, Japón o Usa, por citar solo algunos.

Sí hay, en muchos países (desde Canadá a India o incluso China), proyectos de regulación integral del uso de AI, avanzando -o intentando avanzar- rápidamente en los últimos meses. El proyecto más ‘comentado’ por así decirlo es la AI Act de la Unión Europea, abstracto, genérico y abarcativo. Aun así, todavía parece faltar consenso entre los miembros de la UE para la sanción de este proyecto, a punto tal que les cuesta ponerse de acuerdo sobre la definición misma de IA.

Con todo, 2023 probablemente sea el año del inicio de la regulación de la IA. Es razonablemente esperable, que durante 2023 en una o varias jurisdicciones (más probablemente en los países del ‘mundo occidental’) se sancione algún tipo de marco normativo común que regule específicamente la IA.

 

  1. Regulación corporativa

En este escenario de evolución desenfrenada de herramientas de IA generativa, masividad de su uso, imprevisibilidad de sus consecuencias y vacío regulatorio, algunas empresas han comenzado a dictar sus propias políticas internas sobre las mejores prácticas y medidas de precaución al usar estas herramientas, principalmente por cuestiones de seguridad de la información y para minimizar riesgos. Ante la falta de reglas generales, dictan sus reglas particulares, válidas al menos para su uso interno.

Así, varias ‘grandes’ empresas han restringido o directamente prohibido ChatGPT en el lugar de trabajo (JP Morgan Chase, Wells Fargo, Bank of America, Goldman Sachs y Deutsch Bank, Amazon y Verizon, entre otras). Otras empresas están moldeando sus políticas internas de privacidad para circunscribir el uso interno de chatbots. La génesis de muchas de estas políticas corporativas se debe al ‘pegado’ de datos confidenciales en ChatGPT por parte de los empleados, que así comparten mediante esta herramienta (vaya a saber con quiénes) datos personales de terceros e información confidencial de la empresa.

 

  1. Normativa de Datos Personales aplicada a la Inteligencia Artificial.

Ante la ausencia legislativa antes descripta ¿Qué normas del derecho positivo actual pueden usarse para adoptar medidas respecto de los sistemas de Inteligencia Artificial, que hoy carecen de regulación específica? La normativa de datos personales. Es lo que ya está sucediendo en algunos países como Italia (la autoridad de datos personales local dictó un bloqueo temporal de Replika y de ChatGPT hasta que se acredite el cumplimiento de determinadas medidas sobre los datos personales que procesan), España y Alemania.

¿Por qué sucede esto? Porque los sistemas de IA, como la mayoría de las nuevas tecnologías, se ‘nutren’ de datos, funcionan en base a datos, logran resultados derivados de recolectar y procesar enormes volúmenes de datos, la mayor parte de ellos datos personales. La IA, además, genera decisiones y resultados por sí misma (sin intervención humana), pero ello en nada cambia que los datos sean su combustible. Por eso resulta natural que se controle que los sistemas de IA cumplan con los requerimientos legislativos de datos personales.

¿Cuáles son los requerimientos legislativos de datos personales a los que nos referimos? Aparte de verificar el cumplimientos de los principios básicos presentes en casi todas las legislaciones de datos personales (consentimiento, adecuación, finalidad, seguridad de los datos, etc.), las normativas más avanzadas contienen preceptos más específicamente aplicables a los sistemas de  Inteligencia Artificial.

Veamos el caso del Reglamento de Protección de Datos de la Unión Europea (GDPR), una suerte de ‘biblia’ en materia de protección de datos personales, que varios países han tomado como modelo inspirador de sus leyes o proyectos de leyes al respecto (incluyendo Argentina) y que además es la norma de fondo que están actualmente utilizando las agencias europeas para requerir medidas a las empresas de IA, con Italia a la vanguardia. Mediante los principios de “Protección de datos desde el diseño y por defecto” (art. 25), GDPR exige la adopción de ciertas “medidas técnicas y organizativas” ‘ex-ante’ desde el desarrollo mismo de los sistemas de tratamientos masivos de datos personales; así como medidas “con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento…. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.”

Por otra parte, GDPR exige una “evaluación de impacto relativa a la protección de datos” (art. 35), cuyos requisitos mínimos se describen detalladamente (ítems a a d del inc. 7 del art. 35) “cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas”. Esta evaluación (‘Data Protection Impact Assessment’) debe ser realizada por el responsable “antes del tratamiento de datos”, previendo GDPR situaciones específicas al respecto (especialmente para tratamiento de datos sistemáticos, automatizados y a gran escala) y la necesidad de requerir la consulta previa a la autoridad de control para determinados supuestos de riesgos potencialmente altos (art. 36).

En suma, la falta de legislación específica sobre IA en nada veda el control de cumplimiento de la normativa sobre datos personales a los responsables de tratamiento de datos que utilizan sistemas de IA. Ese es el control que están ejerciendo, hoy, las autoridades de datos personales de los países de la UE más vanguardistas en esta materia.

 

  1. La situación en Argentina

Nuestro país se encuentra lamentablemente alejado, jurídicamente hablando, de los conflictos regulatorios suscitados por las nuevas tecnologías y por la IA en particular. Pese a haber sido el primer país de américa en contar con una ley de datos personales, pese a ser cuna sudamericana de ‘start-ups’, Argentina tiene hoy un régimen legislativo arcaico respecto de las nuevas tecnologías. Carecemos de normas elementales como las que regulan la responsabilidad de los proveedores de servicios de internet (aun cuando desde hace 20 años se han presentado decenas de proyectos, algunos con unanimidad parlamentaria). Los proyectos para modernizar nuestra obsoleta ley 25.326 de protección de datos personales -el último de los cuales emanó de la autoridad de aplicación de la misma- adaptándola a los estándares de GDPR han venido naufragando sucesivamente. Incluso en este contexto, el régimen de datos personales argentino cuenta con normativa (escasa, débil y poco específica, pero normativa vigente al fin) bajo la cual pueden revisarse jurídicamente los sistemas de IA; y eventualmente adoptar medidas al respecto.   

Por empezar, la ley 25.326 -de orden público- establece principios de fondo similares a los de GDPR (consentimiento informado, finalidad, confidencialidad, seguridad de los datos, etc.), obligatorios para cualquier proceso de recolección y tratamiento de datos personales. La autoridad de aplicación de dicha norma, la Agencia de Acceso a la Información Pública “AAIP”, dentro de la cual se encuentra la Dirección Nacional de Protección de Datos Personales, ha establecido “Medidas de seguridad recomendadas para el tratamiento y conservación de los Datos Personales en medios informatizados” (Res. AAIP 47/2018). 

También se encuentra vigente la Disposición AAIP 18/2015, mediante la cual el organismo citado aprueba una “Guía de Buenas Prácticas en Privacidad para el Desarrollo de Aplicaciones”. La misma prevé los conceptos de ‘Privacy by Design and by Default’ (“Privacidad desde el Diseño y por Defecto”), de modo sustancialmente similar a GDPR, aunque menos detalladamente; además, esta norma indica la implementación de ‘Privacy-Enhancing Technologies (PET)’ respectivamente, para cuidar la privacidad de las personas (titulares de los datos) en el desarrollo de aplicaciones (incisos b, c y d de la Sección 3 del Anexo I, “Privacidad Aplicada al Desarrollo”). 

Cabe agregar que la adopción de “medidas tecnológicas y organizativas apropiadas para proteger la privacidad desde el diseño y por defecto” se encuentra expresamente prevista en la última versión de la propuesta de proyecto de ley de datos personales (que reemplazaría a la 25.326) elaborada por la AAIP hace pocos meses. Más aún, la obligación de implementar este tipo de medidas se encuentra también contempladas en el Protocolo Modificatorio del Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, suscripto en Estrasburgo en 2018 (conocido como “Convenio 108 modernizado” o simplemente “Convenio 108+”) recientemente aprobado en nuestro país con la promulgación de la Ley 27.699 (art. 10 inc. 2 y 3, conf secciones 88 y 89 del “Informe Explicativo” del Convenio). Si bien resta un tiempo para le entrada en vigor del Convenio 108+, la aprobación legislativa del mismo por parte Argentina ratifica el rumbo regulatorio de nuestro país en materia de datos personales de acuerdo a los términos de dicho tratado. El principio de responsabilidad proactiva (‘accountability’) que deben implementar preventivamente los responsables de tratamiento de datos; y el deber de realizar un examen del probable impacto del tratamiento de datos sobre los derechos de los titulares de datos también integran las obligaciones contraídas por Argentina bajo el mencionado tratado internacional.

Como puede apreciarse, pese al atraso regulatorio de nuestro país en el área tecnológica, Argentina cuenta con un bagaje legislativo a la luz del cual pueden evaluarse jurídicamente las herramientas de IA que se apliquen en nuestro territorio.

 

  1. Resumen y reflexión. 

La necesidad y urgencia de regular el desarrollo de sistemas de IA es proporcional a la velocidad con que estos evolucionan.

Según Yuval Harari, “aún podemos regular las nuevas herramientas de IA, pero debemos actuar con rapidez…antes de que ella nos regule a nosotros”. Quizás suene exagerado. Pero ignorar legislativamente la IA es como pretender tapar el sol con la mano; e implica que los Gobiernos se desentiendan de un factor decisivo en la vida y decisiones de las personas. La dicotomía ‘Innovación versus Regulación’ constituye una falsa polarización, muchas veces alimentada por intereses creados en torno al uso y comercialización de tecnología.

En Argentina parece utópico bregar por regulaciones sobre IA cuando carecemos de normas mucho más básicas respecto del uso de la tecnología. Mientras tanto, podemos (debemos) analizar jurídicamente las herramientas de IA en base a la normativa sobre datos personales (vigente en nuestro país, como lo están haciendo los principales países de la Unión Europea) y de otra normativa (como por ej., la de consumidor, cuando resulte pertinente), menos específica pero igualmente aplicable. 

 

Autor: LISANDRO FRENE

RICHARDS, CARDINAL, TüTZER, ZABALA & ZAEFFERER

Fuente: www.abogados.com.ar