El entrenamiento de la IA es el nuevo uso de los datos por las empresas. Hay dudas sobre cómo se utilizan dichos datos y qué consentimiento necesita la IA
Home Articles Inteligencia artificial (IA), datos personales y consentimiento

Inteligencia artificial (IA), datos personales y consentimiento

El entrenamiento de sistemas de IA es, tan solo,el uso más reciente que se le ha dado a los datos personales de los usuarios que las empresas recopilan online. Pero la información sobre cómo se utilizan estos datos, qué consentimiento es necesario y cómo se regulan dichos datos no siempre está clara. De hecho, ya se han planteado importantes dudas...
por Usercentrics
Nov 23, 2023
El entrenamiento de la IA es el nuevo uso de los datos por las empresas. Hay dudas sobre cómo se utilizan dichos datos y qué consentimiento necesita la IA
Table of contents
Mostrar más Mostrar menos

La inteligencia artificial (IA) parece estar en todas partes y ha recibido casi tanta financiación como atención mediática. ¿Es la última palabra de moda en tecnología o está cambiando, y seguirá cambiando, casi todos los aspectos sobre cómo creamos y trabajamos? ¿A quién pertenecen los datos y los resultados?

Se dice que el desarrollo de la IA descansa sobre los pilares de los algoritmos, el hardware y los datos. Los datos se consideran el cabo suelto, y el consentimiento del usuario es una parte importante de esta cuestión.

El rápido avance del entrenamiento de la IA y los usos de la tecnología han suscitado inquietudes sobre el consentimiento de los usuarios y las implicaciones éticas del uso de datos personales. Si los datos de los usuarios se utilizan para entrenar la IA, ¿tienen éstos derechos sobre los resultados? ¿Deberían las organizaciones que necesitan datos de entrenamiento de la IA obtener el consentimiento para los datos ya publicados en línea? ¿Para cuántos fines específicos deben obtener los proveedores de herramientas o servicios de IA el consentimiento explícito de los usuarios?

¿Qué es la inteligencia artificial (IA)?

La inteligencia artificial se refiere al desarrollo de máquinas capaces de realizar tareas que normalmente requieren inteligencia humana. Incluye áreas como el reconocimiento de texto o voz, la resolución de problemas y la toma de decisiones. El desarrollo de la IA suele requerir la introducción de grandes cantidades de datos para ayudar a los sistemas a «aprender».

 

¿Qué es el machine learning (ML)?

El machine learning o aprendizaje automático es un subconjunto de la IA que se centra en el desarrollo de algoritmos y modelos que permiten a los ordenadores aprender de los datos y hacer predicciones o tomar decisiones sin estar explícitamente programados. Es una forma de que los ordenadores «aprendan» a partir de ejemplos y mejoren su rendimiento con el tiempo.

 

¿Qué son los large learning models (LLM)?

Los large learning models o modelos de lenguaje de gran tamaño son un avance reciente en la investigación de IA, diseñados para comprender y generar un lenguaje similar al humano. ChatGPT de OpenAI y Bard de Google son dos ejemplos de LLM de acceso público. Algunas herramientas desarrolladas con ellos pueden utilizarse para SEO, contenido de marketing y otros fines empresariales.

El objetivo de entrenar a un LLM es capacitarlo para comprender la estructura, el significado y el contexto del lenguaje humano, lo que permite, por ejemplo, obtener respuestas más precisas a las preguntas de las personas.
Los LLM se entrenan con grandes cantidades de texto de libros, artículos, páginas web y otras fuentes. Hasta la fecha se han planteado problemas de privacidad de los datos, ya que los contenidos se extraen y analizan sin el consentimiento de sus creadores o propietarios. Existe la posibilidad de que los datos a los que se ha accedido sean confidenciales, además de haber sido utilizados sin consentimiento.

¿Qué es el entrenamiento de IA?

El entrenamiento de IA, también conocido como entrenamiento por machine learning, consiste en enseñar a un sistema de IA a aprender patrones y hacer predicciones o tomar decisiones basadas en los datos que se le proporcionan. El entrenamiento es crucial para desarrollar sistemas de IA que puedan realizar tareas específicas, reconocer patrones, proporcionar información precisa o tomar decisiones informadas.

El proceso de entrenamiento consta de una serie de pasos. En resumen, comienzan con la obtención de datos relevantes y su preparación para la utilización, hasta la selección de lo que el modelo deberá hacer con los conjuntos de datos de entrenamiento, pasando por la introducción y el análisis de los datos. A continuación, hay que trabajar para que los resultados o las predicciones coincidan con los resultados reales o mejoren en precisión, y asegurarse de que el modelo de IA funciona bien con cualquier conjunto de datos, incluidos los datos del mundo real, y no solamente con los datos de entrenamiento. Los modelos de IA tienen que superar todos los pasos antes de estar listos para un uso más extensivo.

 

Ambigüedades en el uso de los conjuntos de datos de entrenamiento

Las organizaciones podrían plantearse qué define el «uso» de los datos personales. ¿Cuántos cambios hacen que dejen de ser datos personales? Por ejemplo, para poner los datos en un formato que pueda utilizar el modelo de entrenamiento, es posible que haya que transformarlos con respecto al formato en el que se recogieron. Además, ¿debería una organización obtener el consentimiento para utilizar los datos para entrenar modelos de IA, incluso si es solamente para investigación y no con fines comerciales? Puede que nadie más que los investigadores tenga acceso a ellos.

¿Con qué datos se entrena la IA?

La IA se puede entrenar con numerosos tipos de datos. Lo que necesitan los instructores puede depender de lo que el sistema vaya a ser capaz de hacer, por ejemplo, responder preguntas, tomar decisiones, generar gráficos o texto, etc.

Algunos tipos habituales de datos de formación para la IA son:

  • Texto: por ejemplo, de libros, artículos, sitios web o redes sociales. Se utilizan para traducción, análisis de sentimientos, desarrollo de chatbots, etc.
  • Imágenes: a partir de un gran número de imágenes etiquetadas. Se utilizan para el reconocimiento de imágenes, la detección de objetos y la generación de imágenes
  • Audio: por ejemplo, a partir de palabras habladas, sonidos o patrones acústicos. Se utiliza para el reconocimiento del habla, los asistentes de voz y los modelos de análisis de audio
  • Datos de vídeo: a partir de secuencias de vídeo. Se utilizan en análisis de vídeo, vigilancia, generación de vídeo y para aprender patrones temporales
  • Datos de juegos: a partir de datos de juego e interacciones. Se utilizan para desarrollar el juego y la estrategia
  • Datos estructurados: por ejemplo, de bases de datos u hojas de cálculo. Se utilizan para análisis predictivos, sistemas de recomendación o detección de fraudes
  • Datos de sensores: de cámaras, lidar, radar, etc. Se usan para sistemas de vehículos autónomos, automatización industrial, etc.
  • Datos sanitarios: procedentes de imágenes médicas, como radiografías y resonancias magnéticas, historiales de pacientes y datos clínicos. Se utilizan para ayudar en el diagnóstico, el tratamiento y la investigación
  • Datos financieros: a partir de los datos financieros existentes en los mercados y los registros de transacciones. Se utilizan para predecir el precio de las acciones, valorar créditos y detectar fraudes
  • Datos genómicos: a partir de secuencias de ADN, marcadores genéticos y otros datos biológicos relacionados. Se utilizan para la medicina personalizada y para mejorar la comprensión de la genética
  • Datos de simulación: a partir de datos generados por simulaciones. Se utilizan para aprender cómo se comportan los sistemas en diferentes condiciones

 

Inquietudes sobre consentimiento en relación con los distintos tipos de datos de entrenamiento de la IA

Gran parte de estos tipos de datos de entrenamiento para IA se mencionan explícitamente en las leyes sobre privacidad de datos. Muchos son tipos de datos personales, y algunos son datos PII, también denominados información personal de identificación. Algunos de estos tipos de datos también se clasifican en las leyes de privacidad como sensibles, lo que significa que podrían causar un daño mayor si se accede a ellos, o si se utilizan sin autorización.

La información sanitaria, genómica y financiera son ejemplos especialmente significativos de datos personales sensibles. Los datos sensibles suelen requerir el consentimiento del usuario para su recopilación o uso conforme a la legislación sobre privacidad de datos, mientras que los datos que son personales, pero no sensibles, a veces solamente requieren el consentimiento antes de ser vendidos o utilizados para publicidad dirigida, elaboración de perfiles, etc.

También es importante tener en cuenta que no todos los lotes de datos de formación son iguales. La calidad, la cantidad, la diversidad y el permiso de uso pueden variar ampliamente. Esto puede tener un impacto significativo en el «aprendizaje» y el rendimiento de los sistemas. También podría significar que se requiere el consentimiento para utilizar algunos tipos de datos en el lote de entrenamiento, pero no para otros. Unos datos mal equilibrados o no diversos también pueden producir resultados con sesgo, a veces con resultados ofensivos o legalmente precarios, como sistemas que producen recomendaciones discriminatorias o identificaciones inexactas.

En virtud de un gran número de leyes de protección de la privacidad, los interesados tienen derecho a que la entidad que los ha recopilado corrija sus datos, si están incompletos o son inexactos. ¿Qué ocurre si sus datos son correctos, pero se utilizan para obtener resultados inexactos? ¿Cuáles son sus derechos en ese caso? El uso de estas tecnologías plantea a los reguladores numerosas cuestiones complejas, entre ellas la ética de la automatización.

Consentimiento, IA y datos personales

La consultora de investigación Gartner ha predicho que para finales de 2023, el 65 % de la población mundial tendrá sus datos personales protegidos por las normativas de privacidad de datos, mientras que en 2024 la cifra subirá al 75 %. Lo único que cambia más rápido que la cobertura de la normativa sobre privacidad es la propia tecnología y la demanda de datos. Ayudando a impulsar todo, desde avances científicos hasta campañas de marketing.

Pero los datos no son un patrimonio común, no están a disposición de cualquier persona. Una gran parte de los datos que existen, y a los que las organizaciones desean acceder, son generados por personas y, por tanto, éstas tienen derechos en cuanto a su protección y acceso. Hoy en día, los consumidores son cada vez más conscientes de la privacidad de datos y de sus derechos en lo que respecta a sus datos personales. Incluso aunque no entiendan al detalle cómo funcionan los sistemas de inteligencia artificial y el resto de funciones.

Con la aprobación de más legislación sobre privacidad en todo el mundo, las organizaciones tienen que ser cada vez más cuidadosas a la hora de cumplir con sus responsabilidades en materia de privacidad de datos. Las multas potencialmente de gran cuantía, como algunas de las impuestas en virtud del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, también ponen de relieve la importancia de tomarse en serio la normativa sobre privacidad y los derechos de los consumidores.

 

¿Importa de dónde proceden los conjuntos de datos de entrenamiento?

Cada vez hay más fuentes de datos de usuarios en potencia, especialmente online, como redes sociales y aplicaciones. También puede ser difícil para las empresas determinar sus responsabilidades en materia de privacidad de datos cuando la empresa tiene su sede en un lugar, pero sus usuarios pueden estar repartidos por todo el mundo. Esto puede hacer que una organización sea responsable de cumplir múltiples normativas de privacidad diferentes. Muchas de estas leyes son extraterritoriales, en cuyo caso solamente importa dónde se encuentran los usuarios en lo que respecta a derechos y protecciones, no las empresas.

Un gran número de consumidores no se fija en gran medida en cuántos datos generan a diario, quién puede tener acceso a ellos y cómo podrían utilizarse. Es posible que los niños no presten atención o no comprendan del todo la generación o el procesamiento de datos de los usuarios, a pesar de que la mayoría de las leyes de privacidad de datos exigen protecciones adicionales y el consentimiento para acceder a sus datos. Ese consentimiento debe obtenerse normalmente de los padres o tutores legales si el niño está por debajo del umbral de edad determinado por la ley aplicable.

Una serie de leyes de privacidad de datos no cubren los datos personales que las personas ponen a disposición del público, lo que podría incluir los generados en las redes sociales. Tal vez las publicaciones, los comentarios y las fotos no constituyan una gran preocupación en materia de privacidad para algunos. Pero, ¿qué ocurre con los mensajes privados o los chats? Podrían contener material mucho más sensible.

Una vez recopilados los datos, idealmente con el consentimiento del usuario, las personas deben saber qué ocurre con ellos. Una condición de la mayoría de las leyes en materia de privacidad es que el responsable del tratamiento, la entidad responsable de recoger y utilizar los datos, notifique a los usuarios qué datos se van a recoger y con qué fines. En el caso de que esos fines cambien, en virtud de un gran número de leyes de privacidad el controlador deberá notificarlo a los usuarios y obtener un nuevo consentimiento. Con el entrenamiento de la IA, esto podría requerir numerosos detalles específicos, y podría cambiar a menudo.

Dificultades a la hora de obtener el consentimiento de los usuarios para la IA

Dado que los sistemas de IA suelen ser aún experimentales y sus resultados impredecibles, podrían suponer un obstáculo en cuanto a algunos requisitos de privacidad de datos. Las organizaciones pueden notificar a los usuarios para qué quieren utilizar los datos, pero es posible que el uso real de los mismos, su modificación o los resultados de su uso sean diferentes.

Aunque se supone que los usuarios deben ser notificados antes de que se establezca cualquier nueva finalidad, es posible que quienes realizan el trabajo no se enteren de dicho cambio hasta que se haya producido. Si los datos se analizan en grandes cantidades y en tiempo real, los mecanismos tradicionales para obtener el consentimiento del usuario, como los banners de cookies, pueden no ser lo bastante rápidos o específicos, o no ser suficientes.

Los sistemas de inteligencia artificial orientados al usuario pueden ser potencialmente susceptibles a la manipulación y a dar lugar a que los usuarios faciliten información que no esperaban. Los sistemas también pueden sacar a la luz conexiones más sofisticadas y vagas entre puntos de datos, permitiendo la identificación y la elaboración de perfiles a un nivel que no hemos observado antes. Esto podría convertir potencialmente casi cualquier dato en datos personales identificables o sensibles. Es posible que los actuales requisitos de consentimiento no aborden adecuadamente esta cuestión.

Si bien las funciones manipulativas de la interfaz y la experiencia del usuario, conocidas comúnmente como patrones oscuros, están cada vez peor vistas y, en algunos casos, se ha regulado su uso, éstas tienden a centrarse en tácticas que ya resultan familiares. El diseño adaptativo podría permitir el desarrollo de formas nuevas y más sofisticadas de manipular a los usuarios.

La polémica de Zoom y el consentimiento de los usuarios

La popular plataforma de videoconferencia Zoom actualizó sus términos de servicio (TOS) en marzo de 2023, algo bastante común para una empresa. Sin embargo, dos secciones parecían tener amplias implicaciones para los permisos de Zoom en relación con los datos de los usuarios, denominados «Datos generados por el servicio», que incluyen telemetría, uso de productos, diagnósticos y datos o contenidos similares generados por el uso de Zoom y que la empresa recopila durante el uso de la plataforma.

Los términos de servicio actualizados otorgaban a Zoom todos los derechos sobre los datos generados por el servicio, incluidos los derechos a modificar, distribuir, procesar, compartir, mantener y almacenar los datos «para cualquier fin, en la medida y de la forma permitida por la legislación aplicable». Se menciona explícitamente el derecho de Zoom a utilizar los datos de los usuarios para el aprendizaje automático y la inteligencia artificial, incluidos el entrenamiento y ajuste de modelos y algoritmos.

Así pues, Zoom podría recopilar una gran variedad de datos de los usuarios a partir del uso de su plataforma y aplicarlos a numerosos usos, incluido el entrenamiento de IA, sin necesidad de obtener el consentimiento explícito de los usuarios, ni de que se les permita renunciar a ello.

Esto puede ser legal en virtud de las leyes de protección de la privacidad vigentes en Estados Unidos, donde Zoom tiene su sede, ya que el país no tiene una única ley federal, sino una serie de leyes a nivel estatal, pero no lo es en virtud del RGPD de la UE, que exige que el consentimiento sea «informado», entre otros requisitos (Considerando 32 del RGPD).

Según el RGPD, para que el consentimiento sea válido debe obtenerse antes de que comience la recopilación de datos, y requiere una notificación a los usuarios que sea clara y comprensible. Los términos de servicio de Zoom son algo confusos al igual que los de muchas otras empresas.

Respuesta de Zoom a la polémica sobre el cambio de los términos de servicio

La reacción ante el descubrimiento y la cobertura pública de este cambio en los términos de servicio fue considerable. A las empresas les preocupaba que la información reservada de las reuniones confidenciales pudiera utilizarse sin consentimiento. Incluso que Zoom se adueñara de sus contenidos creativos, como entrevistas para vídeos o podcasts.

Algunas empresas estadounidenses que utilizaban Zoom con fines sanitarios entraron en pánico ante la posibilidad de que se vulnerara la Ley de Transferencia y Responsabilidad de los Seguros Médicos (HIPAA). Se temía, por ejemplo, que la empresa tuviera derechos de propiedad y pudiera utilizar el contenido de las sesiones terapéuticas de los pacientes. Estos usos no eran necesariamente la intención de la empresa, pero la percepción pública es muy importante.

Zoom respondió a la reacción con otra actualización de los términos de servicio para aclarar el uso de los datos, afirmando que no entrenaría sus modelos de IA con el contenido de audio, vídeo o chat de los clientes sin obtener su consentimiento previo.

También añadió una línea en la sección 10.2 que indica: «Zoom no utiliza ninguna parte de su audio, vídeo, chat, pantalla compartida, archivos adjuntos ni otro Contenido del Cliente similar a comunicaciones (como resultados de encuestas, pizarras y reacciones) para entrenar modelos de inteligencia artificial de Zoom o de terceros».
Sin embargo, algunos usuarios siguen expresando su inquietud por los permisos aparentemente de gran alcance que se conceden a Zoom si se da el consentimiento, y muchos siguen sin tener claro qué incluye exactamente el Contenido Generado por el Servicio.

 

Otros desafíos con empresas tecnológicas, términos y condiciones, y consentimiento

Es importante señalar que Zoom no es una excepción. Muchas otras empresas utilizan la IA para desempeñar funciones en sus plataformas. Google la utiliza para crear transcripciones de las llamadas de Google Meet (con resultados de calidad variable). También se sabe que Meta, la matriz de Facebook, «ocultaba» el consentimiento para el uso de los datos de los usuarios en publicidad personalizada en sus términos de servicio en 2022. En enero de 2023, se prohibió a la empresa utilizar datos personales para publicidad con este tipo de «consentimiento», que la mayoría de usuarios desconocían por completo. Meta ha declarado, desde ese momento, que cambiará su modelo y solicitará el consentimiento para publicidad en la UE.

Otras empresas han sido cazadas con tácticas igualmente poco transparentes. Algunas han sido descubiertas escondiendo el «consentimiento» o permisos cuestionables en sus términos de servicio, ya que saben que pocos usuarios los leen en su totalidad. Esto es mala praxis en el mejor de los casos, e ilegal en el peor, ya que numerosas normativas exigen que el consentimiento sea informado.

La necesidad de una mayor claridad en torno al entrenamiento de la IA, los contenidos generados por los usuarios en las plataformas y el consentimiento es un hecho patente, y se convertirá con toda seguridad en una cuestión todavía más acuciante con el tiempo.

¿Cómo pueden las empresas utilizar los datos de forma ética con el consentimiento válido del usuario?

Las empresas que adquieren datos para el entrenamiento de la IA u otros usos pueden y deben asegurarse de que se ha obtenido el consentimiento de las fuentes o los usuarios. En algunos casos puede ser un requisito para hacer negocios con socios o proveedores.

El consentimiento también está adquiriendo una gran importancia para la estrategia de monetización. Por ejemplo, es cada vez más frecuente que los anunciantes premium insistan en una prueba de consentimiento para la recogida de datos de los usuarios antes de asociarse con desarrolladores de aplicaciones.

Las empresas que recopilan datos de usuario de sus propias plataformas y usuarios para el entrenamiento de la IA u otros usos tienen la responsabilidad directa de obtener un consentimiento válido y cumplir las leyes en materia de protección de datos. Existen varias maneras en que las empresas pueden lograr un cumplimiento y consentimiento válidos.

Transparencia: las leyes de privacidad exigen notificaciones claras y accesibles, y las empresas deben proporcionar información comprensible a los usuarios sobre cómo se utilizarán y procesarán los datos de los usuarios, incluso para el entrenamiento de la IA. A medida que cambian los usos de los datos personales, las empresas deben actualizar sus notificaciones de privacidad, informar a los usuarios y, en virtud de un gran número de leyes de privacidad, obtener un nuevo consentimiento para los nuevos usos de los datos personales.

Consentimiento granular: los usuarios deben poder aceptar o rechazar la recopilación y el tratamiento de sus datos personales, pero deben poder hacerlo a un nivel granular, por ejemplo, aprobando algunos tipos de tratamiento, como la publicidad dirigida o el entrenamiento de la IA, pero no otros, como la venta de los datos. Esto también ayuda a garantizar que las personas estén informadas, lo que constituye un requisito de obligado cumplimiento para que el consentimiento sea válido según la mayoría de las leyes de protección de la privacidad.

Facilidad en el uso: al igual que las notificaciones deben ser claras y accesibles, la forma en que los usuarios aceptan o rechazan el consentimiento debe ser fácil de entender y de consultar. La información para explicar a los usuarios todo lo relacionado con el tratamiento de los datos debe estar totalmente disponible, así como la posibilidad de mostrar el consentimiento o rechazo a un nivel granular. También debe ser tan fácil declinar el consentimiento como aceptarlo y, según un gran número de leyes en materia de privacidad, los usuarios también deben poder cambiar fácilmente sus preferencias de consentimiento.

Familiaridad con las normativas: las diferentes jurisdicciones tienen distintas leyes en materia de privacidad con diferentes requisitos y modelos de consentimiento. Es importante que las empresas sepan qué leyes deben cumplir y cómo hacerlo. Puede ser importante consultar o designar a un asesor jurídico cualificado o a un experto en privacidad, por ejemplo, un responsable de protección de datos (DPO, por sus siglas en inglés), algo que también exigen algunas normativas en materia de privacidad. Esta figura ayuda a establecer directrices y procesos, a actualizar las operaciones y gestionar la seguridad de los datos y su tratamiento.

¿Qué derechos tienen los usuarios de las plataformas online sobre sus datos?

Los derechos de los consumidores sobre sus datos personales dependen de varios factores, como el lugar de residencia del usuario y la legislación vigente sobre privacidad, para qué sirve la plataforma y qué datos facilita o genera el usuario en ella, y cuáles son los términos y condiciones de la plataforma.

En la Unión Europea, las empresas que recopilan y procesan datos personales deben obtener el consentimiento del usuario antes de hacerlo. Esto se aplica por igual a plataformas de redes sociales, blogs, sitios web gubernamentales o tiendas de comercio electrónico. Los datos de los usuarios pueden recopilarse para saber cómo utilizan dichos usuarios un sitio web y mejorar su funcionamiento. También para hacer posible el cumplimiento cuando compran algo en línea, o para mostrarles anuncios, o entrenar modelos de IA.

Las plataformas de todo el mundo que se emplean para actividades financieras o sanitarias tienen requisitos más estrictos de privacidad y seguridad en virtud de múltiples normativas debido al tipo de información que manejan.

En algunas jurisdicciones, todavía está permitido mostrar un banner de cookies indicando que consiente la recopilación y uso de sus datos personales si procede a utilizar el sitio o servicio. Pero en la UE y otras jurisdicciones, esto no es aceptable y se requiere un consentimiento granular.

IA y cookies

El uso online de cookies ha ido disminuyendo a medida que existen tecnologías más nuevas y mejores para lograr aquello para lo que se utilizan normalmente las cookies. La cuestión hoy y en el futuro no es tanto cómo usa la IA las cookies, o cómo podría hacerlo, sino más bien cómo podría la IA acelerar la sustitución de las cookies.

Apple y Mozilla han bloqueado las cookies de terceros, y Google tiene previsto eliminarlas por completo. Las nuevas herramientas y métodos también permiten mejorar la privacidad de los datos y el consentimiento, y pueden dar lugar a datos de usuario de mayor calidad.

Los modelos actuales de consentimiento de cookies pueden no ser suficientes para cubrir el uso de la IA, ya que los sistemas de IA pueden analizar grandes cantidades de datos en tiempo real, en lugar de herramientas que analizan datos de cookies activas a lo largo del tiempo. Para que el consentimiento se obtenga antes de que comience la recopilación o el uso de datos, con las actuales ventanas emergentes, el usuario tendría que ser bombardeado con banners de consentimiento más rápido y más a menudo de lo que un humano podría procesarlos.

Los modelos de IA pueden permitir anuncios más eficaces o experiencias de usuario personalizadas sin depender de la recopilación de información de identificación personal, ya que pueden analizar grandes cantidades de datos muy rápidamente para agrupar a las personas en audiencias basadas en comportamientos. Si el sistema no necesita recopilar datos del usuario, puede que no sea necesario el consentimiento, al menos para la recopilación de datos.

Es probable que las leyes y las buenas prácticas sigan exigiendo que se notifique a los usuarios sobre cómo se pueden rastrear y analizar sus comportamientos, y para qué se puede utilizar ese análisis, por ejemplo, anuncios personalizados o experiencias de compra. Pero los datos personales no podrían venderse si nunca se recopilaran.

¿Qué es la Ley de Inteligencia Artificial de la UE?

La Ley de IA de la UE es una ley en materia de inteligencia artificial (IA) propuesta por la Comisión Europea y sería la primera ley integral del mundo que regula la IA. El objetivo consiste en equilibrar los usos positivos de la tecnología al tiempo que se mitigan los negativos y se codifican los derechos. Se pretende también aclarar un gran número de cuestiones actuales y futuras sobre el desarrollo de la IA y convertir la Ley en un referente mundial, como se ha convertido el RGPD.

La ley asignará las aplicaciones de la tecnología de IA a una de entre varias categorías:

Riesgo inaceptable: la IA que tuviera asociados riesgos inaceptables se prohibiría por completo. Por ejemplo, la herramienta de puntuación social del gobierno chino

Riesgo elevado: IA con riesgos potenciales, permitida pero sujeta al cumplimiento de requisitos de IA y evaluación de conformidad prevista. Por ejemplo, una herramienta que clasifica a los solicitantes de empleo escaneando currículos

Riesgo medio: IA con obligaciones específicas de transparencia, permitida pero sujeta a requisitos de información. Por ejemplo, los bots que pueden utilizarse para suplantar identidades

Riesgo mínimo o nulo: IA sin riesgos notables, permitida y sin restricciones

 

Disposiciones sobre consentimiento en la Ley de IA

La Ley de IA se encuentra actualmente en fase de borrador y puede cambiar antes de convertirse en ley. En la actualidad, el consentimiento del usuario y la privacidad y protección de datos se abordan en sus estatutos en varios frentes:

Riesgo elevado: se exige el consentimiento explícito para el uso de sistemas de IA de alto riesgo, por ejemplo en infraestructuras críticas, empleo, sanidad y aplicación de la ley.

Transparencia: los proveedores de IA deben proporcionar información clara sobre la finalidad, las capacidades y las limitaciones de los sistemas para garantizar que los usuarios estén informados para tomar decisiones y comprender las posibles repercusiones en sus derechos.

Derecho a la explicación: los usuarios tienen derecho a obtener explicaciones significativas sobre las decisiones de los sistemas de IA.

Derecho al control del usuario: los usuarios deben tener la posibilidad de excluirse voluntariamente, desactivar o desinstalar los sistemas de IA, especialmente cuando estén en juego derechos o intereses fundamentales (en virtud de algunas leyes de privacidad, los usuarios tienen derecho a excluirse voluntariamente de la «toma de decisiones automatizada»).

Protección de datos y privacidad: la Ley de IA hace hincapié en la necesidad de minimizar los datos, limitar su finalidad y establecer salvaguardas para proteger los datos personales cuando se utilicen sistemas de IA, y se alinea con las normativas existentes sobre privacidad de datos, como el RGPD.

Conclusión y futuro de la IA y el consentimiento

La tecnología que implica inteligencia artificial ha llegado para quedarse. Sus capacidades y posibles casos prácticos seguirán evolucionando rápidamente. Esto supone un reto para la regulación, ya que la creación y actualización de leyes tiende a ser mucho más lenta que la velocidad a la que se desarrollan las tecnologías.

Sin embargo, los usuarios no deben enfrentarse al principio jurídico «el comprador asume el riesgo», especialmente en línea, en lo que respecta a los nuevos usos de sus datos personales y los desafíos a su privacidad. Los reguladores deben elaborar y actualizar leyes que sean claras y exhaustivas, pero lo suficientemente flexibles para que puedan interpretarse y aplicarse hoy y en el futuro.

Las organizaciones deben tener claro qué normas de privacidad deben cumplir, qué estipulan y qué significa esto para sus operaciones. Esto deberá revisarse periódicamente a medida que cambien las operaciones y comunicarse con claridad. Intentar introducir a hurtadillas cambios en las condiciones de uso o utilizar los datos recopilados para nuevos fines sin obtener el consentimiento de los nuevos usuarios es una forma de dañar la reputación de la marca. Algo que se considera ilegal en muchas jurisdicciones. A medida que los consumidores se vuelven más conscientes sobre lo que implican sus datos y su privacidad, las empresas tendrán que ser más claras, nunca menos, sobre su recopilación y uso.

Las empresas también deben aplicar las mejores prácticas, como la privacidad desde el diseño, para garantizar que respetan a las personas, la fuente de sus datos, y que cumplen la ley. Esto también ayudará a garantizar que se obtenga el consentimiento y que la recopilación y el uso de los datos se limiten a lo permitido por la ley para todas las operaciones, ya sea el cumplimiento de los pedidos de comercio electrónico o el entrenamiento de nuevos modelos de IA.

La IA es solo la última tecnología que plantea nuevos retos a consumidores, empresas y reguladores por igual. No es la primera, ni será la última. Sin embargo, las buenas prácticas para lograr el cumplimiento, generar confianza con los usuarios y hacer crecer con éxito los negocios (o desarrollar actividades científicas) siguen siendo las mismas y sirven tanto a las organizaciones como a los consumidores.

Para obtener más información, contacte con nuestros expertos hoy mismo.

Preguntas frecuentes

¿Qué es la inteligencia artificial (IA)?

La inteligencia artificial se refiere al desarrollo de máquinas capaces de realizar tareas que normalmente requieren inteligencia humana. Incluye áreas como el reconocimiento de texto o voz, la resolución de problemas y la toma de decisiones. El desarrollo de la IA suele requerir la introducción de grandes cantidades de datos para ayudar a los sistemas a «aprender».

¿Qué es el machine learning (ML)?

El machine learning o aprendizaje automático es un subconjunto de la IA que se centra en el desarrollo de algoritmos y modelos que permiten a los ordenadores aprender de los datos y hacer predicciones o tomar decisiones sin estar explícitamente programados. Es una forma de que los ordenadores «aprendan» a partir de ejemplos y mejoren su rendimiento con el tiempo.

¿Qué son los large language models (LLM)?

Los large language models o modelos de lenguaje de gran tamaño son un avance reciente en la investigación de IA, diseñados para comprender y generar un lenguaje similar al humano. ChatGPT de OpenAI y Bard de Google son dos ejemplos de LLM de acceso público. Algunas herramientas desarrolladas con ellos pueden utilizarse para SEO, contenido de marketing y otros fines empresariales.

¿Cómo se entrena a los sistemas de IA?

El entrenamiento de la inteligencia artificial se refiere al proceso de enseñar a un sistema de IA a aprender patrones y hacer predicciones o tomar decisiones basadas en los datos que se le proporcionan. El entrenamiento es crucial para desarrollar sistemas de IA que puedan realizar tareas específicas, reconocer patrones, proporcionar información precisa o tomar decisiones informadas.

A continuación se ofrece un desglose del proceso de entrenamiento de IA:

  • Recopilación de datos: El primer paso consiste en recopilar datos relevantes y representativos. Estos datos sirven como entrada para entrenar el modelo de IA. La calidad y la diversidad de los datos tienen un impacto directo en el rendimiento del modelo.
  • Procesamiento previo de datos: Los datos en bruto suelen requerir limpieza, transformación y estructuración para ser adecuados para el entrenamiento. Este paso consiste en eliminar el ruido, gestionar los valores que faltan y normalizar los datos.
  • Feature Engineering: La ingeniería de características o feature engineering consiste en seleccionar y transformar los atributos relevantes (características) de los datos que el modelo utilizará para hacer predicciones. Un feature engineering eficaz puede influir significativamente en el rendimiento del modelo.
  • Selección del modelo: En función del problema, se elige el algoritmo o modelo de aprendizaje automático adecuado. Los distintos modelos tienen capacidades diferentes y son más adecuados para tipos específicos de tareas, como la regresión, la clasificación o la agrupación.
  • Entrenamiento: Se trata del núcleo del proceso. Durante el entrenamiento, se presentan al modelo los datos de entrada junto con los correspondientes resultados deseados. El modelo ajusta sus parámetros internos de forma iterativa para minimizar la diferencia entre sus predicciones y los resultados reales.
  • Función de pérdida: Se utiliza una función de pérdida para cuantificar la adecuación entre las predicciones del modelo y los resultados reales. El objetivo del entrenamiento es minimizar esta función de pérdida, esencialmente enseñando al modelo a hacer mejores predicciones a lo largo del tiempo.
  • Optimización: Se emplean técnicas de optimización, como el descenso del gradiente, para ajustar los parámetros del modelo de forma que se minimice la función de pérdida.
  • Validación: Para asegurarse de que el modelo entrenado se aplica bien a los nuevos datos desconocidos, se utiliza un conjunto de datos de validación independiente para evaluar su rendimiento. Este paso ayuda a evitar el sobreajuste, en el que el modelo funciona bien con los datos de entrenamiento pero mal con los nuevos datos.
  • Ajuste de hiperparámetros: Muchos modelos tienen hiperparámetros, que son parámetros que influyen en el proceso de aprendizaje. Es necesario ajustarlos para encontrar el equilibrio óptimo entre el ajuste insuficiente y el ajuste excesivo.
  • Pruebas e implementación: Una vez que el modelo funciona correctamente tanto con los datos de entrenamiento como con los de validación, puede probarse en un conjunto de datos de evaluación independiente para valorar su rendimiento en el mundo real. Si los resultados son satisfactorios, el modelo puede utilizarse.

El proceso de entrenamiento de la IA implica una combinación de datos, algoritmos y optimización iterativa para crear un modelo que pueda hacer predicciones o tomar decisiones precisas. Es importante señalar que el entrenamiento de un modelo de IA requiere experiencia, una evaluación cuidadosa y una comprensión del problema específico del dominio para garantizar resultados eficaces y fiables.

¿Con qué datos personales se entrenan los sistemas de IA?

La IA puede entrenarse con muchos tipos de datos, dependiendo de lo que el sistema vaya a ser capaz de hacer, por ejemplo, responder preguntas, tomar decisiones, generar gráficos o texto, etc.

Algunos tipos habituales de datos de formación para la IA son:

  • Texto: por ejemplo, de libros, artículos, sitios web o redes sociales. Se utiliza para traducción, análisis de sentimientos, desarrollo de chatbots, etc.
  • Imágenes: a partir de un gran número de imágenes etiquetadas. Se utilizan para el reconocimiento de imágenes, la detección de objetos y la generación de imágenes
  • Audio: por ejemplo, a partir de palabras habladas, sonidos o patrones acústicos. Se utiliza para el reconocimiento del habla, los asistentes de voz y los modelos de análisis de audio
  • Datos de vídeo: a partir de secuencias de vídeo. Se utilizan en análisis de vídeo, vigilancia, generación de vídeo y para aprender patrones temporales
  • Datos de juegos: a partir de datos de juego e interacciones. Se utilizan para desarrollar el juego y la estrategia
  • Datos estructurados: por ejemplo, de bases de datos u hojas de cálculo. Se utilizan para análisis predictivos, sistemas de recomendación o detección de fraudes
  • Datos de sensores: de cámaras, lidar, radar, etc. Se usan para sistemas de vehículos autónomos, automatización industrial, etc.
  • Datos sanitarios: procedentes de imágenes médicas, como radiografías y resonancias magnéticas, historiales de pacientes y datos clínicos. Se utilizan para ayudar en el diagnóstico, el tratamiento y la investigación
  • Datos financieros: a partir de los datos financieros existentes en los mercados y los registros de transacciones. Se utilizan para predecir el precio de las acciones, valorar créditos y detectar fraudes
  • Datos genómicos: a partir de secuencias de ADN, marcadores genéticos y otros datos biológicos relacionados. Se utilizan para la medicina personalizada y para mejorar la comprensión de la genética
  • Datos de simulación: a partir de datos generados por simulaciones. Se utilizan para aprender cómo se comportan los sistemas en diferentes condiciones

¿Qué problemas plantea el uso de datos personales para entrenar la IA?

La inquietud fundamental que suscita el uso de datos personales para conjuntos de entrenamiento de IA es si se ha obtenido o no el consentimiento de las personas a las que pertenecen dichos datos. Los datos personales varían en tipo y nivel de confidencialidad. Algunos pueden utilizarse para identificar a una persona, y otros pueden ser perjudiciales si se utilizan indebidamente.

La información sanitaria y financiera son ejemplos especialmente significativos de datos personales confidenciales. Los datos confidenciales suelen requerir el consentimiento del usuario para su recopilación o uso conforme a la legislación sobre privacidad de datos, mientras que los datos que son personales, pero no confidenciales, a veces solamente requieren el consentimiento antes de ser vendidos o utilizados para publicidad dirigida, elaboración de perfiles, etc.

No todos los conjuntos de datos de entrenamiento son iguales. La calidad, la cantidad, la diversidad y el permiso de uso pueden variar ampliamente. Esto puede tener un impacto significativo en el «aprendizaje» y el rendimiento de los sistemas. Unos datos mal equilibrados o no diversos también pueden producir resultados con sesgo, a veces con resultados ofensivos o legalmente precarios, como sistemas que producen recomendaciones discriminatorias o identificaciones inexactas.

¿Qué consentimiento del usuario es necesario para utilizar datos personales para el entrenamiento de la IA?

Hay una serie de factores que determinan si se necesita el consentimiento del usuario para utilizar datos personales para el entrenamiento de la IA. Al igual que en la polémica de Zoom, puede depender de si el entrenamiento de la IA está incluido en los términos de servicio de una empresa. Si es así, es posible que no se necesite un consentimiento adicional. Sin embargo, en algunas jurisdicciones esto no sería suficiente, como en la UE en virtud del RGPD. En ese caso, sería necesario obtener un consentimiento explícito para el uso de datos personales en conjuntos de entrenamiento de IA, y los usuarios tendrían que ser informados sobre ese uso antes de que se recopilaran datos para ese fin.

Las empresas deben ser conscientes de dónde se encuentran sus clientes y usuarios, y estar familiarizadas con las leyes de privacidad pertinentes que protegen a esas personas, actualizando sus operaciones de privacidad de datos en consecuencia. Es posible que las empresas ya obtengan el consentimiento para la recopilación de datos personales, pero en virtud de un gran número de leyes de protección de la privacidad no pueden simplemente añadir el entrenamiento de la IA como finalidad para esa recopilación y uso de datos sin actualizar, en primer lugar, su aviso de protección de la privacidad y, en virtud de numerosas leyes de protección de la privacidad, obtener el consentimiento para este nuevo uso. En numerosas jurisdicciones, los usuarios también deben poder optar por no utilizar sus datos a un nivel pormenorizado, lo que podría incluir el entrenamiento de la IA.

Una serie de leyes de privacidad de datos no cubren los datos personales que las personas ponen a disposición del público, lo que podría incluir los generados en las plataformas sociales. Pero aún no está del todo claro cómo afectaría esto al uso de datos personales para el entrenamiento de la IA. Por ejemplo, es más probable que los mensajes, comentarios, fotos, etc. se consideren públicos, que los de carácter privado.

¿Puede obtenerse el consentimiento del usuario para el uso de la IA?

Los sistemas de IA suelen ser todavía experimentales y sus resultados impredecibles. Las organizaciones pueden notificar a los usuarios para qué quieren utilizar los datos, lo que normalmente debe hacerse con antelación, pero es posible que el uso real de los mismos, su modificación, o los resultados de su uso sean diferentes.

Si los datos se analizan en grandes cantidades y en tiempo real, los mecanismos tradicionales para obtener el consentimiento del usuario, como los banners de cookies, pueden no ser lo bastante rápidos o específicos, o no ser suficientes.

¿Pueden los sistemas de IA causar problemas de privacidad de datos?

Los sistemas de inteligencia artificial orientados al usuario pueden ser potencialmente susceptibles de manipulación y dar lugar a que los usuarios faciliten información que no esperaban. Los sistemas también pueden sacar a la luz conexiones más sofisticadas y vagas entre puntos de datos, permitiendo la identificación y la elaboración de perfiles a un nivel que no hemos observado antes. Esto podría convertir potencialmente casi cualquier dato en datos personales identificables o confidenciales. Es posible que los actuales requisitos de consentimiento no aborden adecuadamente esta cuestión.

Si bien las funciones manipulativas de la interfaz y la experiencia del usuario, conocidas comúnmente como «patrones oscuros», están cada vez peor vistas y, en algunos casos, se ha regulado su uso, éstas tienden a centrarse en tácticas que ya resultan familiares. El diseño adaptativo podría permitir el desarrollo de formas nuevas y más sofisticadas de manipular a los usuarios.

¿Afecta el entrenamiento de la IA al consentimiento de las cookies?

En realidad, el uso de la IA puede ayudar a acelerar el fin del uso de las cookies, especialmente las de terceros, ya que puede ofrecer funciones que proporcionen mejores resultados y que no soliciten necesariamente la recopilación de datos personales.

Los modelos actuales de consentimiento de cookies pueden no ser suficientes para cubrir el uso de la IA, ya que los sistemas de IA pueden analizar grandes cantidades de datos en tiempo real, en lugar de herramientas que analizan datos de cookies activas a lo largo del tiempo. Para que el consentimiento se obtenga antes de que comience la recopilación o el uso de datos, con las actuales ventanas emergentes el usuario tendría que ser bombardeado con banners de consentimiento más rápido y más a menudo de lo que un humano podría procesarlos.

¿Cómo deben obtener las empresas el consentimiento para el entrenamiento de la IA?

Las empresas que recopilan datos de usuario de sus propias plataformas y usuarios para el entrenamiento de la IA u otros usos tienen la responsabilidad directa de obtener un consentimiento válido y cumplir las leyes en materia de protección de datos. Las buenas prácticas para obtener el consentimiento para el entrenamiento de la IA son las mismas que se recomiendan para el cumplimiento de la privacidad de los datos.

  • Notificar de antemano a los usuarios de forma clara y accesible cómo se utilizarán los datos y obtener un nuevo consentimiento si cambian los fines
  • Garantizar que los usuarios puedan aceptar o rechazar el consentimiento a un nivel granular, es decir, para todos los usos o solamente para algunos. Asegurar que es tan fácil rechazar como aceptar, y que los usuarios pueden cambiar sus preferencias de consentimiento o retirarlo fácilmente si lo desean en el futuro.
  • Familiarizarse con la legislación sobre protección de datos y las responsabilidades de las empresas. Revisar periódicamente la recopilación y tratamiento de datos para asegurarse de que las notificaciones y la información sobre el consentimiento están actualizadas.

¿Cubre el RGPD la inteligencia artificial y el consentimiento?

El Reglamento General de Protección de Datos no menciona explícitamente la inteligencia artificial, pero al igual que otras leyes de privacidad de datos, hace referencia a la «toma de decisiones automatizada», que puede incluir sistemas de IA.

La IA se trataría como cualquier otro uso de datos personales, es decir, los usuarios tendrían que ser notificados sobre ese uso solicitado antes de que se recopilaran datos personales para el mismo, y tendría que obtenerse el consentimiento para ese uso antes de que se pudiera producir cualquier recopilación o tratamiento.

¿Qué es la Ley de Inteligencia Artificial de la UE?

La Ley de IA es una ley en materia de inteligencia artificial (AI) propuesta por la Comisión Europea. Los objetivos de esta ley son:

  • equilibrar los usos positivos de la tecnología con sus riesgos;
  • mitigar los riesgos actuales y futuros y los usos negativos de la tecnología;
  • codificar los derechos de los consumidores;
  • aclarar cuestiones actuales y futuras sobre el desarrollo de la IA; y
  • convertir la ley en un estándar global (como el RGPD).

La ley asignará las aplicaciones de la tecnología de inteligencia artificial a una de entre varias categorías:

  • Riesgo inaceptable: prohibición total de uso
  • Riesgo elevado: uso permitido sujeto a evaluación y cumplimiento
    Riesgo medio: uso permitido sujeto al cumplimiento de las obligaciones de transparencia
    Riesgo mínimo o nulo: permitido sin restricciones si no se identifican riesgos notables

Usercentrics no provee asesoría legal, y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.