[vc_row][vc_column][vc_column_text]El nuevo reglamente general de protección de datos de obligado cumplimiento en Europa (RGPD) puede tener consecuencias negativas para el desarrollo de la Inteligencia Artificial.[/vc_column_text][vc_column_text]

Introducción

La inteligencia artificial (IA) acompaña al ser humano desde hace muchos años atrás. Es en el año 1956 cuando tiene lugar la Conferencia de Dartmouth, momento en que los investigadores más conocidos a nivel mundial adoptan el término de “Inteligencia Artificial”. Sin embargo, es en los últimos cinco años cuando se puede afirmar que la IA forma parte de nuestras vidas desde multitud y variados ámbitos de actuación.

La transformación digital en la que las empresas españolas están inmersas, está acelerando el proceso de adopción de nuevas tecnologías. El objetivo de las empresas con tal transformación es no quedarse atrás en una carrera hacia nuevos modelos de negocio y organización más competitivos y eficientes.

En esa frenética carrera por la incorporación de nuevas tecnologías, la IA no sólo no se ha quedado atrás, sino que está liderando gran parte de los proyectos de transformación digital de las empresas en multitud de sectores. Industrias como la educación con iniciativas de aprendizaje personalizado, la sanidad con la utilización de algoritmos inteligentes capaces detectar anomalías, o el transporte con proyectos de conducción automática basados en IA son sólo la punta del iceberg de los beneficios que la IA puede aportar a la transformación digital de las empresas en particular, y a nuestra sociedad en general.

Desde un enfoque más interno, la IA está mostrando un gran crecimiento en todos sus campos de actividad como son la robótica, los sistemas expertos, el procesamiento del lenguaje natural, los algoritmos genéticos, el aprendizaje automático y la computación cognitiva.  En todos ellos los avances han sido sorprendentes a la vez que prometedores, y en ocasiones, generando expectativas difíciles de asimilar. La IA puede convertirse en la tecnología que muchas empresas estaban buscando para llegar a ser organizaciones exponenciales.

Pero todo sector con niveles de crecimiento exponenciales genera cierto grado de caos, y por tanto, generan incertidumbre que se ve transformada en miedos cuando no somos capaces de poner a tiempo las barreras y limitaciones necesarias. Por este motivo, ética y legalidad deben ser dos campos de reflexión que permitan un crecimiento ordenado de las aplicaciones de la IA, tal y como todos queremos.

Desde el enfoque legal, hay que decir que ha aparecido un cambio que puede impactar de lleno en el desarrollo de la inteligencia artificial. Se trata del nuevo Reglamento General de Protección de Datos (GRPD) (El Parlamento Europeo y el Consejo de la Unión Europea, 2016) el cual regula un nuevo ámbito de protección hacia las personas físicas en relación al tratamiento de sus datos personales como un derecho fundamental. Esta nueva normativa de aplicación para todos los países de la Unión Europea determina que todas las empresas que gestionen datos de sus ciudadanos están sujetas a ella. La ley ofrece nuevos derechos a los ciudadanos, como por ejemplo el derecho al olvido, el derecho al acceso de sus datos, o bien, el derecho a la portabilidad de los mismos, es decir, a poder recuperarlos y cederlos a otro responsable. Además, las empresas estarán obligadas a informarte sobre qué harán con tus datos, o incluso, sin han sufrido una brecha de seguridad y, por tanto, los datos se han visto comprometidos en su confidencialidad.

Esta nueva normativa puede suponer un verdadero freno al desarrollo de la IA, pues ésta tecnología precisa de gran cantidad de datos para el entrenamiento de sus algoritmos supervisados. ¿Será entonces la nueva normativa GRPD un freno para el avance de la IA en la actualidad?

[/vc_column_text][vc_column_text]

Artículos de impacto incluidos en la normativa GRPD sobre la Inteligencia Artificial

El nuevo reglamento GRPD (El Parlamento Europeo y el Consejo de la Unión Europea, 2016) cuya entrada en vigor se produce el 25 de junio de 2018 y es de aplicación para todos los países de la Unión Europea, contiene un total de 99 artículos que determinan los derechos de los ciudadanos europeos al respecto de la gestión de sus datos personales.

Antes de repasar algunos de los artículos de la citada norma, es oportuno incorporar algunos conceptos que la norma establece.  El concepto de “Elaboración de perfiles” hace referencia a “toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física”. De la misma forma, la norma define seudonimización como “el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable”.

Algunos de estos artículos pueden suponer una gran barrera para el avance y el desarrollo de la IA. Por ejemplo, el artículo 5 versa sobre “Principios relativos al tratamiento” y dictamina que los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado. Esto implica que cualquier acción que se vaya a realizar con los datos del interesado debe ser informada de forma unívoca, con la consiguiente carga de trabajo adicional en base de datos grandes. Además, dicho artículo determina que los datos serán mantenidos no más tiempo del necesario para los fines que se informaron, y en este caso es oportuno decir que los tiempos para investigación de modelos de aprendizaje no tienen una duración fácil de estimar.

El artículo 6 del reglamento indica además que el tratamiento sólo será lícito si el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos, es decir, que los científicos de datos precisarán del consentimiento expreso de los interesados para el uso de sus datos, un requisito que puede frenar el trabajo de jóvenes investigadores con pocos recursos. Además, el artículo 7 dice que dicho consentimiento debe ser demostrable.

Sin embargo, no todo son barreras, pues el artículo 11 del reglamento que versa sobre “Tratamiento que no requiere identificación” indica que si el responsable de los datos no requiere de la identificación del interesado, no estará obligado a mantener o tratar información adicional con vistas a la identificación.

La sección 4 del reglamento determina los artículos referentes al derecho de oposición y decisiones individuales automatizadas. Esta sección es clave en el desarrollo de la inteligencia artificial, de este modo, el artículo 21 denominado “Derecho de oposición” dice que “El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones”, esto significa que si el responsable de los datos quiere utilizarlos, por ejemplo, para un ejercicio de entrenamiento de algoritmo supervisados, no podrá hacer a no ser que cuente con la aprobación expresa por parte del interesado, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.

Además, el artículo 22 dice que todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Es decir, que si un algoritmo tiene como resultado una acción sobre el interesado y no existen otros criterios adicionales no automatizados, el interesado deberá ser informado y tendrá derecho a no ser objeto de dicha decisión.[/vc_column_text][vc_column_text]

Los retos de Inteligencia Artificial ante la normativa GRPD

Son muchos los retos a los que se enfrenta la IA, y sin duda, la protección de los datos regulada por la nueva normativa europea GRPD es uno de ellos. Según un informe desarrollo por Bryce Goodman y Seth Flaxman (Goodman & Flaxman, 2016) el artículo 22 de la normativa sobre las decisiones individuales automatizadas, los interesados tendrán el derecho de solicitar una explicación en caso de una decisión tomada en exclusiva por algoritmos automáticos. Esto sin duda presenta un reto a los ingenieros que tendrán que dar explicaciones del proceso que siguen sus procesos automatizados.

De forma adicional, el citado informe pone el énfasis en el artículo de no discriminación, ya que uso de algoritmos de creación de perfiles agrupa sujetos en función de diversas variables y las decisiones son tomadas en base a grupos, y no individuos. Esto puede provocar sin duda acciones discriminatorias a los sujetos que pueden ver sus derechos vulnerados. De nuevo, los ingenieros han de enfrentarse al reto planteado por la normativa GRPD.

La normativa deja muy claro que las empresas deben garantizar y demostrar que la finalidad de las acciones con los datos debe cumplir el fin para el cual fueron recabados, lo que quiere decir, que si por ejemplo en algún momento la empresa no dijo que serían tratados de forma automática con fines estadísticos de predicción, la empresa gestora de los datos deberá pedir una nueva autorización. Además, si la empresa gestora de los datos contratase a un tercero para el análisis de los mismos, igualmente se deberá pedir permiso al interesado y velar por el cumplimiento de la ley.

Según un informe elaborado por Forbes (“10 Predictions For The Internet Of Things (IoT) In 2018,” n.d.), la tendencia es que la tecnología IoT sea una de las grandes recolectoras de datos fuente para la IA, y que los responsables de tratamiento de esos datos, debido a la gran cantidad de los mismos, están comenzando a migrar sus sistemas de almacenamiento privado a sistemas Cloud públicos ofrecidos por grandes proveedores globales. Este hecho implicará un nuevo reto pues los centros cloud públicos deberán cumplir con la citada normativa, pero no sólo eso, sino que el hecho de su gran cantidad de datos almacenados será motivo suficiente para atraer la atención de los ciberataques, y en tal caso, la obligación de informar a los interesados, con el consiguiente coste que implica.[/vc_column_text][vc_column_text]

La ética desde el principio

La regulación descrita en la nueva normativa RGPD no es, o no debe ser, la única consideración de investigadores, científicos e ingenieros en el trabajo con los datos. La ética es un elemento fundamental en cualquier actividad de investigación, tanto es así que el hecho de contar con conocimientos prácticos de los códigos de conducta investigativa debe estar unido a la disposición personal del investigador de ponerlos en práctica, conscientes de la utilidad de aplicarlos para desarrollar prácticas éticas en diversos contextos de trabajo (Hopkins, 2007).

Prácticas éticas en definitiva que deben ir encaminadas al cumplimiento de la normativa GRPD, al aseguramiento de que los algoritmos desarrollados no tomen decisiones discriminatorias, a la comprobación de que las decisiones no incluyan sesgos o a la interpretación ajustada a la realidad.

Las cuestiones éticas influyen en cualquier proceso de investigación cualitativa, sobre todo en las fases de planificación y recogida de datos. Según Gibbs y Graham (Gibbs, Blanco Castellano, & Amo Martín, n.d.) los datos cualitativos son habitualmente personales e individuales, y en muchas ocasiones no es posible ocultar la identidad de los individuos detrás de datos estadísticos. La naturaleza personal de gran parte de la investigación cualitativa implica que los investigadores han de ser muy sensibles al posible daño y trastorno que su trabajo podría causar a los participantes.[/vc_column_text][/vc_column][/vc_row]