Un artículo de Bostjan Makarovic, fundador de Aphaia
El año 2019 ha demostrado que las reglas del RGPD acerca de la elaboración de perfiles con IA no podrían haber sido más oportunas. Desde paneles publicitarios inteligentes hasta dispositivos de audio en casa, la IA se ha desplegado para dar sentido a todo lo que exponemos sobre nosotros mismos, incluso las caras y las cosas que decimos informalmente. Al margen de estos acontecimientos, que en muchas ocasiones han despertado inquietudes, el cumplimiento de la legislación en el sector ha sido algo lento. ¿Será 2020 el año en que la regulación sobre la privacidad devuelve por fin el golpe?
Tecnología de IA
A pesar del endurecimiento de la legislación, parece que sigue habiendo un claro sesgo hacia el despliegue de la tecnología sin tener en cuenta si su implementación satisface los requisitos de cumplimiento normativo. Merece la pena apuntar que la tecnología, de por sí, rara vez incurre en un «incumplimiento», sino que es la forma en que se usa la que genera problemas.
Pongamos por ejemplo los paneles publicitarios inteligentes capaces de leer las expresiones faciales que se han desplegado en múltiples ubicaciones públicas y concurridas en 2019. ¿Se ha sometido a estos proyectos a la evaluación del impacto sobre la privacidad de la Regulación General de Protección de Datos (RGPD), tal como exige la ley? Debemos apuntar que la propia monitorización por vídeo de los espacios públicos ya conlleva considerables riesgos para la privacidad. Al añadir a esta monitorización por vídeo un análisis en tiempo real de las características faciales, el RGPD ofrece al consumidor el claro derecho a objetar por la elaboración de perfiles. Si hacemos caso omiso a las obvias dificultades para objetar a un panel publicitario en una calle concurrida, ¿cómo se observará en el futuro la objeción del consumidor a esta elaboración de perfiles la siguiente vez que pase por delante?
El aprendizaje automático nos permite dar cada vez más sentido a enormes cantidades de datos. Por si no lo parecían ya, se pronostica que las soluciones que se lancen en 2020 pueden percibirse incluso como más intrusivas. Es irónico, no obstante, que dicha percepción puede no ser aplicable en el caso de ciertos sistemas inteligentes desarrollados para crear vínculos más sutiles, menos intrusivos a la vista y por tanto más efectivos para vincular nuestras preferencias y las ofertas comerciales que se nos presentan. Esto puede ayudarnos a entender qué aspecto de la publicidad dirigida detestamos más: la intrusión en la privacidad o la burda implementación de la tecnología.
La IA y la ley
The notion that the law is simply ‘unable to keep up with technology’ is not only an inadequate response to the problem but is also largely unfounded as a claim. The GDPR includes specific provisions on profiling and automated decision-making, specifically tailored to the use of artificial intelligence in relation to the processing of personal data. Such processing is subject to the right to obtain human intervention and the right to object to it. Additional limitations in relation to special categories of data also exist. Certain non-EU countries have started adopting similar GDPR principles including the likes of Brazil who passed the General Data Protection Law (LGPD) in 2018.
La Ley de Privacidad de los Consumidores de California (CCPA), aunque está menos centrada específicamente en la IA, también empodera a los consumidores permitiéndoles prohibir la «venta de datos». Se trata de una medida que no es en absoluto irrelevante. Sin la posibilidad de recopilar y fusionar datos de diferentes fuentes, su valor para fines de aprendizaje automático puede disminuir considerablemente. Por otro lado, sin la posibilidad de vender datos, los incentivos para realizar análisis estadísticos excesivos de los datos se disipa en cierta medida.
When it comes to a broader framework for the regulation of artificial intelligence, the legal situation is for now less clear. Principles and rules are currently confined to non-binding guidelines, such as EU Guidelines for Trustworthy AI. But this does not impact the privacy aspects where European regulators are already able to impose fines of up to up to €20 million or 4% of the companies’ global turnover. CCPA fines are lower but might be multiplied by the number of users affected.
El panorama regulatorio de la IA
Early in 2019, the French data protection authority CNIL imposed a fine of €50 million on Google for insufficient transparency in relation to targeted advertising. As noted by CNIL, “essential information, such as the data processing purposes, the data storage periods or the categories of personal data used for the ads personalisation, are excessively disseminated across several documents, with buttons and links on which it is required to click to access complementary information.” Whereas the fine was far from the upper limit imposable via the GDPR, the case paves the way for further questions to be asked by data protection authorities in 2020.
Por ejemplo: ¿están suficientemente explicados los algoritmos de aprendizaje automático y las fuentes de datos que se utilizan con ellos? Cuando las autoridades de protección de datos tratan de encontrar respuesta a estas preguntas, ¿confiarán en la información que aporten las empresas? Si no es así, podrían empezar a profundizar más en base a evidencias anecdóticas. ¿Cómo es posible que el usuario esté viendo un anuncio particular? ¿Se ha basado este hecho en un algoritmo sofisticado de aprendizaje automático o se han analizado datos que no debieran haberse analizado?
So far, privacy legal battles have largely focused on formal compliance, such as in both ‘Schrems’ cases. But AI usage trends in 2020 might force regulators to look deeper into what is actually going on inside home-based and cloud-based black boxes. As I write this article, the EU has just moved to impose a temporary ban on facial recognition in public places.
Sobre Aphaia
Aphaia son expertos líderes en regulación de las TIC y protección de datos que actúan como oficiales de protección de datos subcontratados para varias empresas. Entre sus clientes se encuentran compañías tecnológicas innovadoras, desde empresas de nueva creación hasta multinacionales, autoridades reguladoras y responsables políticos. Tienen experiencia en una variedad de industrias, desde el comercio electrónico, las telecomunicaciones, la tecnología financiera, la salud, la educación, hasta la contratación de personal, etc. Aphaia están basados en Londres y Madrid y son parte de la comunidad tecnológica de Shoreditch.
Drooms y la IA
Drooms sigue de cerca las discusiones y desarrollos en el campo de la ética para la inteligencia artificial. Drooms tiene por objetivo cumplir todos los requisitos esenciales para una IA fiable conforme a la Comisión Europea teniendo en cuenta la privacidad y la intendencia de los datos, así como contando con supervisión humana. Esto significa, por ejemplo que siempre hay una persona en el proceso para confirmar las sugerencias generadas por la inteligencia artificial a fin de asegurar la calidad de los resultados y garantizar la responsabilidad, y crea herramientas para ayudar a las personas a ser más eficientes y acelerar procesos mediante técnicas como la automatización en vez de sustituirlas con la construcción de sistemas plenamente automatizados. Igualmente, nos guiamos por principios para diseñar soluciones inteligentes que se centran en la responsabilidad, claridad, precisión, auditabilidad y justicia.
