TYTL

Contacto: (51-1) 618-1515

Email: contacto@tytl.com.pe

Edificio Lima Central Tower, Av. El Derby N° 254, Piso 14, Oficina 1404 – Surco – Lima – Perú

Inteligencia Artificial: Un reto adicional para la protección de datos personales

En una sociedad diversa, Laura siempre había luchado por la igualdad de oportunidades. Sin embargo, se encontró con un obstáculo en su búsqueda de empleo. Las empresas utilizaban un sistema de inteligencia artificial para seleccionar currículums y realizar entrevistas virtuales. Este sistema, sin embargo, estaba programado con sesgos inconscientes, lo que llevaba a una discriminación sistemática contra personas de ciertos orígenes étnicos o géneros. A pesar de las habilidades y la experiencia de Laura, su solicitud fue rechazada una y otra vez debido a la discriminación inherente del sistema de inteligencia artificial. Su derecho constitucional a la igualdad de oportunidades y a la libertad de trabajo se vieron afectados negativamente por el tratamiento de datos personales por parte de ese sistema”.

Esta historia escrita por ChatGPT, sistema de inteligencia artificial (en adelante, IA), demuestra cómo es que un tratamiento indebido de datos personales por parte de un sistema de IA puede conllevar no solo a la afectación del derecho fundamental a la autodeterminación informativa (protección de datos personales), sino a la vulneración de otros derechos fundamentales como consecuencia de un mal tratamiento de los datos personales de una persona. Y si bien esta historia podría sonar a ciencia ficción, es una práctica cada vez más común en distintas empresas, en diversos sectores.

A modo de ejemplo, las empresas del sistema financiero están utilizando programas de IA que podrían conllevar a que una persona no pueda acceder a un crédito hipotecario como consecuencia de una evaluación hecha por un programa, sin la intervención de un humano. También podría darse el caso que una persona solicite un seguro médico y este sea denegado debido a una decisión automatizada basada en el análisis de datos de salud. Cabe señalar que programas como COMPAS (Correctional Offender Management Profiling for Alternative Sanctions) en Estados Unidos pueden decidir si una persona puede salir bajo fianza de prisión o no. Últimamente, hemos visto como las redes sociales eliminan o remueven publicaciones legítimas de sus usuarios pues lo consideran como ”Fake News” o como “mensajes de odio” En todos estos casos, el sistema de IA tuvo que recopilar, almacenar, usar y procesar datos personales y en base a ese tratamiento tomó una decisión. ¿Qué ocurre si estos programas de IA se equivocan como consecuencia del sesgo algorítmico[1]? ¿Acaso no tenemos el derecho a no ser objeto de una decisión basada únicamente en medios automatizados?

Tal como se puede apreciar, el sesgo algorítmico es uno de los retos más grandes a los que se enfrenta la protección de datos personales, pues las decisiones automatizadas pueden conllevar no solo a un descontrol total sobre nuestra propia información sino a la afectación de otros derechos fundamentales como consecuencia de esa pérdida de control sobre nuestra data personal, infringiendo así el principio de legalidad. La IA puede generar resultados sesgados basados en características personales como la raza, el género, la edad, el patrimonio o la ubicación geográfica. Estos sesgos pueden dar lugar a decisiones discriminatorias en áreas cruciales como el trabajo, la salud, la vivienda, el crédito, los seguros y la justicia. Cuando los datos personales se utilizan para alimentar algoritmos sin una supervisión adecuada, existe el riesgo de que la conducta discriminatoria de la IA se perpetúe viole así los derechos constitucionales de los ciudadanos.

Adicionalmente, este sesgo algorítmico se complica por el denominado “Blackbox Effect”, el cual se refiere a la falta de transparencia y comprensión sobre cómo funcionan los algoritmos y los sistemas de IA. Es decir, aunque se obtengan resultados de los algoritmos, no se comprende cómo se llegó a esas conclusiones o qué variables se tuvieron en cuenta. Esto se debe a la complejidad de los modelos y algoritmos utilizados, así como a la falta de información y explicación clara proporcionada a los usuarios que pueden ser afectados por las decisiones automatizadas. ¿Cómo un usuario puede tener control sobre sus datos personales si ni siquiera sabe cómo un sistema de IA llegó a un determinado resultado? ¿Cómo un responsable del tratamiento puede cumplir con el deber de informar si no comprende cómo un determinado “input” de información dio un determinado “output”? Esta falta de transparencia impide que las personas ejerzan un control efectivo sobre sus datos personales y dificulta la rendición de cuentas por parte de las organizaciones responsables.

Por otro lado, uno de los retos más grandes que plantea el uso de la IA es que estos sistemas necesitan de cantidades masivas de información (que incluye datos personales) para que sus algoritmos puedan ser entrenados y mejorados. Esto implica la recopilación masiva de datos personales, lo cual entra claramente en conflicto con el principio de proporcionalidad que establece que solo se deben recopilar y utilizar los datos personales necesarios y pertinentes para lograr un propósito específico. En ese sentido, la IA debería operar con la menor cantidad de datos personales posible, evitando la recopilación y el procesamiento excesivo, lo cual es contradictorio con la propia naturaleza del entrenamiento a los que son objeto los sistemas de IA.

Cabe señalar que otro de los desafíos que presenta la utilización de la IA es que, en virtud a la capacidad de los algoritmos de analizar y utilizar datos personales de forma dinámica, generando resultados y conclusiones que pueden tener múltiples finalidades. Esto plantea un reto dado que el principio de finalidad establece que los datos personales deben ser recopilados con un propósito legítimo y específico, y solo pueden ser utilizados para ese propósito originalmente establecido. Así, ¿cómo explica el responsable del tratamiento que resulta imposible saber con antelación qué información revelará el tratamiento de los datos recabados? Por ejemplo, una empresa que se dedica a la investigación, en primer lugar, deberá recabar el consentimiento de un titular para utilizar sus datos a fin de encontrar la cura del Alzheimer; sin embargo, qué sucede si la IA, en base a esos datos, llega a una conclusión referente a la impotencia sexual. ¿Qué tendría que hacer el responsable del tratamiento de datos personales? La norma no es clara en establecer si la obligación del res­ponsable del tratamiento de informar las finalidades sobre la recogida de los datos se circunscribe a la información que explícitamente recoge (datos primarios), o si debe adoptarse un criterio más amplio y entender que este deber de información acerca de las finalidades también alcanza a aquellos resultados que la empresa pu­diera obtener tras el tratamiento (datos secundarios)[2].

Finalmente, debemos preguntarnos cómo le damos solución a estos desafíos que presenta la IA frente al derecho fundamental a la protección de datos personales. ¿De qué nos sirve desarrollar sistemas tan avanzados si van a poner en “jaque” nuestros derechos fundamentales? En mi opinión, debemos equilibrar este desarrollo tecnológico con nuestro derecho a la protección de datos personales. Para ello, el sistema de IA debe cumplir con todos los principios recogidos en la Ley de Protección de Datos Personales. A continuación, presentó algunas preguntas que un responsable de tratamiento debería realizarse al momento de implementar un sistema de IA en sus operaciones:

  • Principio de legalidad: ¿LA IA se está nutriendo de fuentes legítimas de datos personales? ¿Se está garantizando que la IA no afecte los derechos y libertades de los titulares de datos personales? ¿Cómo lo está garantizando? ¿Quién está supervisando? ¿Se ha realizado una Evaluación de Impacto en la Protección de Datos Personales?
  • Principio de consentimiento: ¿Hemos recabado el consentimiento libre, previo, expreso, inequívoco e informado de los titulares de datos personales para realizar el tratamiento de su información mediante el uso de un sistema de IA? ¿Se garantiza que todo tratamiento de datos personales que realice la IA cuente con una base legal que de legitimidad a dicho tratamiento? ¿Existe una persona designada para velar por este principio y cerciorarse que no se está incumpliendo?
  • Principio de finalidad: ¿Las finalidades del tratamiento de datos personales se ajusta a lo informado a los titulares de datos personales al momento de recopilar su información personal? ¿Las finalidades a las que llegó la IA son razonablemente previsibles para los titulares de datos personales, aun no habiendo sido explícitamente informados en el momento de obtener sus datos? ¿Existe algún mecanismo para informar a los titulares sobre alguna finalidad ulterior que vaya más allá de lo previsible? ¿Se han utilizado métodos de anonimización de datos personales en caso se busquen finalidades distintas a las que motivaron originalmente la recopilación de los datos personales? ¿Existe un registro de las finalidades específicas para las cuales se utilizan los datos en el sistema de IA?
  • Principio de proporcionalidad: ¿Cuál es el procedimiento para utilizar la menor cantidad de datos personales posible? ¿Cómo se justifica la utilización masiva de los datos personales? ¿Qué mecanismos cuento para eliminar aquellos datos personales que son desproporcionales a las finalidades? ¿Se aplican técnicas de anonimización a fin de reducir el riesgo de identificación?
  • Principio de calidad: ¿Cuál es el procedimiento que se utiliza para cerciorarse de que los datos personales que se cuentan son veraces y actualizados? ¿Existe un proceso para corregir o eliminar datos inexactos o desactualizados? ¿Los datos personales se conservan únicamente durante el tiempo necesario para cumplir con los propósitos establecidos?
  • Principio de seguridad: ¿Se han implementado medidas técnicas y organizativas adecuadas para proteger los datos personales contra accesos no autorizados, pérdida o divulgación? ¿Se realizan evaluaciones periódicas de seguridad y se mantienen registros de incidentes de seguridad?
  • Principio de nivel de protección adecuado: ¿Existen transferencias internacionales? ¿El país destinatario de los datos personales transfronterizos mantiene niveles de protección adecuados? Si la respuesta es “No”, ¿Cómo garantizas que el tratamiento de datos personales se efectúe con medidas de protección adecuadas?

A modo de conclusión, la única forma que existe para hacerle frente al uso de sistema de IA y equiparar nuestro derecho a la protección de datos personales es que los responsables de tratamiento, es decir, los desarrolladores, apliquen el principio de privacidad desde el diseño, el cual implica considerar desde la génesis a la protección de datos personales en todo el ciclo de vida de tratamiento; es decir, desde las etapas iniciales del diseño y desarrollo de un sistema de inteligencia artificial. Esto implica que no puede existir un sistema de IA que no tome en consideración la Ley de Protección de Datos Personales desde su desarrollo, en lugar de ser una consideración posterior y tratar de corregir los problemas sobre la marcha.

Referencias:

[1]   El sesgo algorítmico ocurre cuando un sistema informático refleja los valores de los humanos que estuvieron implicados en su codificación y en la recolección de los datos usados para entrenar al algoritmo. La IA es buena para establecer patrones, así como para agilizar procesos y operaciones con volúmenes masivos de información (Big Data). Sin embargo, el problema es que la IA al nutrirse de la información hecha o recopilada por seres humanos, puede que reflejen sus sesgos. Existen tres tipos de sesgos clásicos: el estadístico, el cultural y el cognitivo.

El sesgo estadístico procede de cómo obtenemos los datos, de errores de medida o similares. Por ejemplo, si la policía está presente en algunos barrios más que en otros, no será extraño que la tasa de criminalidad sea más alta donde tenga mayor presencia (o en otros términos, mediremos más donde está uno de los instrumentos de medida). El sesgo cultural es aquel que deriva de la sociedad, del lenguaje que hablamos o de todo lo que hemos aprendido a lo largo de la vida. Los estereotipos de las personas de un país son un ejemplo claro. Por último, el sesgo cognitivo es aquel que nos identifica y que depende de nuestras creencias. Por ejemplo, si leemos una noticia que está alineada con lo que pensamos, nuestra tendencia será validarla, aunque sea falsa. (MORALES CÁCERES, Alejandro. “El Sesgo Algorítmico y la Protección de Datos Personales”. Recopilado de: https://www.enfoquederecho.com/2019/11/07/el-sesgo-algoritmico-y-la-proteccion-de-datos-personales/).

[2] GIL GONZÁLEZ, Elena (16 de marzo de 2017). Big Data: Consentir o no consentir, ésa es la cuestión. Recuperado de http://ecija.com/big-data-consentir-no-consentir-esa-la-cuestion/

Alejandro Morales Cáceres, Abogado Asociado Principal y Líder del área de Derecho y Nuevas Tecnologías de TyTL Abogados.

 

Leer la nota completa aquí.

 

COMPARTIR