Inteligencia artificial (IA), datos personales y consentimiento

La inteligencia artificial (IA) parece estar en todas partes y ha recibido casi tanta financiación como atención mediática. ¿Es la última palabra de moda en tecnología o está cambiando, y seguirá cambiando, casi todos los aspectos sobre cómo creamos y trabajamos? ¿A quién pertenecen los datos y los resultados?

Se dice que el desarrollo de la IA descansa sobre los pilares de los algoritmos, el hardware y los datos. Los datos se consideran el cabo suelto, y el consentimiento del usuario es una parte importante de esta cuestión.

El rápido avance del entrenamiento de la IA y los usos de la tecnología han suscitado inquietudes sobre el consentimiento de los usuarios y las implicaciones éticas del uso de datos personales. Si los datos de los usuarios se utilizan para entrenar la IA, ¿tienen éstos derechos sobre los resultados? ¿Deberían las organizaciones que necesitan datos de entrenamiento de la IA obtener el consentimiento para los datos ya publicados en línea? ¿Para cuántos fines específicos deben obtener los proveedores de herramientas o servicios de IA el consentimiento explícito de los usuarios?

¿Qué es la inteligencia artificial (IA)?

La inteligencia artificial se refiere al desarrollo de máquinas capaces de realizar tareas que normalmente requieren inteligencia humana. Incluye áreas como el reconocimiento de texto o voz, la resolución de problemas y la toma de decisiones. El desarrollo de la IA suele requerir la introducción de grandes cantidades de datos para ayudar a los sistemas a «aprender».

¿Qué es el machine learning (ML)?

El machine learning o aprendizaje automático es un subconjunto de la IA que se centra en el desarrollo de algoritmos y modelos que permiten a los ordenadores aprender de los datos y hacer predicciones o tomar decisiones sin estar explícitamente programados. Es una forma de que los ordenadores «aprendan» a partir de ejemplos y mejoren su rendimiento con el tiempo.

¿Qué son los large learning models (LLM)?

Los large learning models o modelos de lenguaje de gran tamaño son un avance reciente en la investigación de IA, diseñados para comprender y generar un lenguaje similar al humano. ChatGPT de OpenAI y Bard de Google son dos ejemplos de LLM de acceso público. Algunas herramientas desarrolladas con ellos pueden utilizarse para SEO, contenido de marketing y otros fines empresariales.

El objetivo de entrenar a un LLM es capacitarlo para comprender la estructura, el significado y el contexto del lenguaje humano, lo que permite, por ejemplo, obtener respuestas más precisas a las preguntas de las personas.
Los LLM se entrenan con grandes cantidades de texto de libros, artículos, páginas web y otras fuentes. Hasta la fecha se han planteado problemas de privacidad de los datos, ya que los contenidos se extraen y analizan sin el consentimiento de sus creadores o propietarios. Existe la posibilidad de que los datos a los que se ha accedido sean confidenciales, además de haber sido utilizados sin consentimiento.

¿Qué es el entrenamiento de IA?

El entrenamiento de IA, también conocido como entrenamiento por machine learning, consiste en enseñar a un sistema de IA a aprender patrones y hacer predicciones o tomar decisiones basadas en los datos que se le proporcionan. El entrenamiento es crucial para desarrollar sistemas de IA que puedan realizar tareas específicas, reconocer patrones, proporcionar información precisa o tomar decisiones informadas.

El proceso de entrenamiento consta de una serie de pasos. En resumen, comienzan con la obtención de datos relevantes y su preparación para la utilización, hasta la selección de lo que el modelo deberá hacer con los conjuntos de datos de entrenamiento, pasando por la introducción y el análisis de los datos. A continuación, hay que trabajar para que los resultados o las predicciones coincidan con los resultados reales o mejoren en precisión, y asegurarse de que el modelo de IA funciona bien con cualquier conjunto de datos, incluidos los datos del mundo real, y no solamente con los datos de entrenamiento. Los modelos de IA tienen que superar todos los pasos antes de estar listos para un uso más extensivo.

Ambigüedades en el uso de los conjuntos de datos de entrenamiento

Las organizaciones podrían plantearse qué define el «uso» de los datos personales. ¿Cuántos cambios hacen que dejen de ser datos personales? Por ejemplo, para poner los datos en un formato que pueda utilizar el modelo de entrenamiento, es posible que haya que transformarlos con respecto al formato en el que se recogieron. Además, ¿debería una organización obtener el consentimiento para utilizar los datos para entrenar modelos de IA, incluso si es solamente para investigación y no con fines comerciales? Puede que nadie más que los investigadores tenga acceso a ellos.

¿Con qué datos se entrena la IA?

La IA se puede entrenar con numerosos tipos de datos. Lo que necesitan los instructores puede depender de lo que el sistema vaya a ser capaz de hacer, por ejemplo, responder preguntas, tomar decisiones, generar gráficos o texto, etc.

Algunos tipos habituales de datos de formación para la IA son:

• Texto: por ejemplo, de libros, artículos, sitios web o redes sociales. Se utilizan para traducción, análisis de sentimientos, desarrollo de chatbots, etc.
• Imágenes: a partir de un gran número de imágenes etiquetadas. Se utilizan para el reconocimiento de imágenes, la detección de objetos y la generación de imágenes
• Audio: por ejemplo, a partir de palabras habladas, sonidos o patrones acústicos. Se utiliza para el reconocimiento del habla, los asistentes de voz y los modelos de análisis de audio
• Datos de vídeo: a partir de secuencias de vídeo. Se utilizan en análisis de vídeo, vigilancia, generación de vídeo y para aprender patrones temporales
• Datos de juegos: a partir de datos de juego e interacciones. Se utilizan para desarrollar el juego y la estrategia
• Datos estructurados: por ejemplo, de bases de datos u hojas de cálculo. Se utilizan para análisis predictivos, sistemas de recomendación o detección de fraudes
• Datos de sensores: de cámaras, lidar, radar, etc. Se usan para sistemas de vehículos autónomos, automatización industrial, etc.
• Datos sanitarios: procedentes de imágenes médicas, como radiografías y resonancias magnéticas, historiales de pacientes y datos clínicos. Se utilizan para ayudar en el diagnóstico, el tratamiento y la investigación
• Datos financieros: a partir de los datos financieros existentes en los mercados y los registros de transacciones. Se utilizan para predecir el precio de las acciones, valorar créditos y detectar fraudes
• Datos genómicos: a partir de secuencias de ADN, marcadores genéticos y otros datos biológicos relacionados. Se utilizan para la medicina personalizada y para mejorar la comprensión de la genética
• Datos de simulación: a partir de datos generados por simulaciones. Se utilizan para aprender cómo se comportan los sistemas en diferentes condiciones

Inquietudes sobre consentimiento en relación con los distintos tipos de datos de entrenamiento de la IA

Gran parte de estos tipos de datos de entrenamiento para IA se mencionan explícitamente en las leyes sobre privacidad de datos. Muchos son tipos de datos personales, y algunos son datos PII, también denominados información personal de identificación. Algunos de estos tipos de datos también se clasifican en las leyes de privacidad como sensibles, lo que significa que podrían causar un daño mayor si se accede a ellos, o si se utilizan sin autorización.

La información sanitaria, genómica y financiera son ejemplos especialmente significativos de datos personales sensibles. Los datos sensibles suelen requerir el consentimiento del usuario para su recopilación o uso conforme a la legislación sobre privacidad de datos, mientras que los datos que son personales, pero no sensibles, a veces solamente requieren el consentimiento antes de ser vendidos o utilizados para publicidad dirigida, elaboración de perfiles, etc.

También es importante tener en cuenta que no todos los lotes de datos de formación son iguales. La calidad, la cantidad, la diversidad y el permiso de uso pueden variar ampliamente. Esto puede tener un impacto significativo en el «aprendizaje» y el rendimiento de los sistemas. También podría significar que se requiere el consentimiento para utilizar algunos tipos de datos en el lote de entrenamiento, pero no para otros. Unos datos mal equilibrados o no diversos también pueden producir resultados con sesgo, a veces con resultados ofensivos o legalmente precarios, como sistemas que producen recomendaciones discriminatorias o identificaciones inexactas.

En virtud de un gran número de leyes de protección de la privacidad, los interesados tienen derecho a que la entidad que los ha recopilado corrija sus datos, si están incompletos o son inexactos. ¿Qué ocurre si sus datos son correctos, pero se utilizan para obtener resultados inexactos? ¿Cuáles son sus derechos en ese caso? El uso de estas tecnologías plantea a los reguladores numerosas cuestiones complejas, entre ellas la ética de la automatización.

Consentimiento, IA y datos personales

La consultora de investigación Gartner ha predicho que para finales de 2023, el 65 % de la población mundial tendrá sus datos personales protegidos por las normativas de privacidad de datos, mientras que en 2024 la cifra subirá al 75 %. Lo único que cambia más rápido que la cobertura de la normativa sobre privacidad es la propia tecnología y la demanda de datos. Ayudando a impulsar todo, desde avances científicos hasta campañas de marketing.

Pero los datos no son un patrimonio común, no están a disposición de cualquier persona. Una gran parte de los datos que existen, y a los que las organizaciones desean acceder, son generados por personas y, por tanto, éstas tienen derechos en cuanto a su protección y acceso. Hoy en día, los consumidores son cada vez más conscientes de la privacidad de datos y de sus derechos en lo que respecta a sus datos personales. Incluso aunque no entiendan al detalle cómo funcionan los sistemas de inteligencia artificial y el resto de funciones.

Con la aprobación de más legislación sobre privacidad en todo el mundo, las organizaciones tienen que ser cada vez más cuidadosas a la hora de cumplir con sus responsabilidades en materia de privacidad de datos. Las multas potencialmente de gran cuantía, como algunas de las impuestas en virtud del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, también ponen de relieve la importancia de tomarse en serio la normativa sobre privacidad y los derechos de los consumidores.

¿Importa de dónde proceden los conjuntos de datos de entrenamiento?

Cada vez hay más fuentes de datos de usuarios en potencia, especialmente online, como redes sociales y aplicaciones. También puede ser difícil para las empresas determinar sus responsabilidades en materia de privacidad de datos cuando la empresa tiene su sede en un lugar, pero sus usuarios pueden estar repartidos por todo el mundo. Esto puede hacer que una organización sea responsable de cumplir múltiples normativas de privacidad diferentes. Muchas de estas leyes son extraterritoriales, en cuyo caso solamente importa dónde se encuentran los usuarios en lo que respecta a derechos y protecciones, no las empresas.

Un gran número de consumidores no se fija en gran medida en cuántos datos generan a diario, quién puede tener acceso a ellos y cómo podrían utilizarse. Es posible que los niños no presten atención o no comprendan del todo la generación o el procesamiento de datos de los usuarios, a pesar de que la mayoría de las leyes de privacidad de datos exigen protecciones adicionales y el consentimiento para acceder a sus datos. Ese consentimiento debe obtenerse normalmente de los padres o tutores legales si el niño está por debajo del umbral de edad determinado por la ley aplicable.

Una serie de leyes de privacidad de datos no cubren los datos personales que las personas ponen a disposición del público, lo que podría incluir los generados en las redes sociales. Tal vez las publicaciones, los comentarios y las fotos no constituyan una gran preocupación en materia de privacidad para algunos. Pero, ¿qué ocurre con los mensajes privados o los chats? Podrían contener material mucho más sensible.

Una vez recopilados los datos, idealmente con el consentimiento del usuario, las personas deben saber qué ocurre con ellos. Una condición de la mayoría de las leyes en materia de privacidad es que el responsable del tratamiento, la entidad responsable de recoger y utilizar los datos, notifique a los usuarios qué datos se van a recoger y con qué fines. En el caso de que esos fines cambien, en virtud de un gran número de leyes de privacidad el controlador deberá notificarlo a los usuarios y obtener un nuevo consentimiento. Con el entrenamiento de la IA, esto podría requerir numerosos detalles específicos, y podría cambiar a menudo.

Dificultades a la hora de obtener el consentimiento de los usuarios para la IA

Dado que los sistemas de IA suelen ser aún experimentales y sus resultados impredecibles, podrían suponer un obstáculo en cuanto a algunos requisitos de privacidad de datos. Las organizaciones pueden notificar a los usuarios para qué quieren utilizar los datos, pero es posible que el uso real de los mismos, su modificación o los resultados de su uso sean diferentes.

Aunque se supone que los usuarios deben ser notificados antes de que se establezca cualquier nueva finalidad, es posible que quienes realizan el trabajo no se enteren de dicho cambio hasta que se haya producido. Si los datos se analizan en grandes cantidades y en tiempo real, los mecanismos tradicionales para obtener el consentimiento del usuario, como los banners de cookies, pueden no ser lo bastante rápidos o específicos, o no ser suficientes.

Los sistemas de inteligencia artificial orientados al usuario pueden ser potencialmente susceptibles a la manipulación y a dar lugar a que los usuarios faciliten información que no esperaban. Los sistemas también pueden sacar a la luz conexiones más sofisticadas y vagas entre puntos de datos, permitiendo la identificación y la elaboración de perfiles a un nivel que no hemos observado antes. Esto podría convertir potencialmente casi cualquier dato en datos personales identificables o sensibles. Es posible que los actuales requisitos de consentimiento no aborden adecuadamente esta cuestión.

Si bien las funciones manipulativas de la interfaz y la experiencia del usuario, conocidas comúnmente como patrones oscuros, están cada vez peor vistas y, en algunos casos, se ha regulado su uso, éstas tienden a centrarse en tácticas que ya resultan familiares. El diseño adaptativo podría permitir el desarrollo de formas nuevas y más sofisticadas de manipular a los usuarios.

La polémica de Zoom y el consentimiento de los usuarios

La popular plataforma de videoconferencia Zoom actualizó sus términos de servicio (TOS) en marzo de 2023, algo bastante común para una empresa. Sin embargo, dos secciones parecían tener amplias implicaciones para los permisos de Zoom en relación con los datos de los usuarios, denominados «Datos generados por el servicio», que incluyen telemetría, uso de productos, diagnósticos y datos o contenidos similares generados por el uso de Zoom y que la empresa recopila durante el uso de la plataforma.

Los términos de servicio actualizados otorgaban a Zoom todos los derechos sobre los datos generados por el servicio, incluidos los derechos a modificar, distribuir, procesar, compartir, mantener y almacenar los datos «para cualquier fin, en la medida y de la forma permitida por la legislación aplicable». Se menciona explícitamente el derecho de Zoom a utilizar los datos de los usuarios para el aprendizaje automático y la inteligencia artificial, incluidos el entrenamiento y ajuste de modelos y algoritmos.

Así pues, Zoom podría recopilar una gran variedad de datos de los usuarios a partir del uso de su plataforma y aplicarlos a numerosos usos, incluido el entrenamiento de IA, sin necesidad de obtener el consentimiento explícito de los usuarios, ni de que se les permita renunciar a ello.

Esto puede ser legal en virtud de las leyes de protección de la privacidad vigentes en Estados Unidos, donde Zoom tiene su sede, ya que el país no tiene una única ley federal, sino una serie de leyes a nivel estatal, pero no lo es en virtud del RGPD de la UE, que exige que el consentimiento sea «informado», entre otros requisitos (Considerando 32 del RGPD).

Según el RGPD, para que el consentimiento sea válido debe obtenerse antes de que comience la recopilación de datos, y requiere una notificación a los usuarios que sea clara y comprensible. Los términos de servicio de Zoom son algo confusos al igual que los de muchas otras empresas.

Respuesta de Zoom a la polémica sobre el cambio de los términos de servicio

La reacción ante el descubrimiento y la cobertura pública de este cambio en los términos de servicio fue considerable. A las empresas les preocupaba que la información reservada de las reuniones confidenciales pudiera utilizarse sin consentimiento. Incluso que Zoom se adueñara de sus contenidos creativos, como entrevistas para vídeos o podcasts.

Algunas empresas estadounidenses que utilizaban Zoom con fines sanitarios entraron en pánico ante la posibilidad de que se vulnerara la Ley de Transferencia y Responsabilidad de los Seguros Médicos (HIPAA). Se temía, por ejemplo, que la empresa tuviera derechos de propiedad y pudiera utilizar el contenido de las sesiones terapéuticas de los pacientes. Estos usos no eran necesariamente la intención de la empresa, pero la percepción pública es muy importante.

Zoom respondió a la reacción con otra actualización de los términos de servicio para aclarar el uso de los datos, afirmando que no entrenaría sus modelos de IA con el contenido de audio, vídeo o chat de los clientes sin obtener su consentimiento previo.

También añadió una línea en la sección 10.2 que indica: «Zoom no utiliza ninguna parte de su audio, vídeo, chat, pantalla compartida, archivos adjuntos ni otro Contenido del Cliente similar a comunicaciones (como resultados de encuestas, pizarras y reacciones) para entrenar modelos de inteligencia artificial de Zoom o de terceros».
Sin embargo, algunos usuarios siguen expresando su inquietud por los permisos aparentemente de gran alcance que se conceden a Zoom si se da el consentimiento, y muchos siguen sin tener claro qué incluye exactamente el Contenido Generado por el Servicio.

Otros desafíos con empresas tecnológicas, términos y condiciones, y consentimiento

Es importante señalar que Zoom no es una excepción. Muchas otras empresas utilizan la IA para desempeñar funciones en sus plataformas. Google la utiliza para crear transcripciones de las llamadas de Google Meet (con resultados de calidad variable). También se sabe que Meta, la matriz de Facebook, «ocultaba» el consentimiento para el uso de los datos de los usuarios en publicidad personalizada en sus términos de servicio en 2022. En enero de 2023, se prohibió a la empresa utilizar datos personales para publicidad con este tipo de «consentimiento», que la mayoría de usuarios desconocían por completo. Meta ha declarado, desde ese momento, que cambiará su modelo y solicitará el consentimiento para publicidad en la UE.

Otras empresas han sido cazadas con tácticas igualmente poco transparentes. Algunas han sido descubiertas escondiendo el «consentimiento» o permisos cuestionables en sus términos de servicio, ya que saben que pocos usuarios los leen en su totalidad. Esto es mala praxis en el mejor de los casos, e ilegal en el peor, ya que numerosas normativas exigen que el consentimiento sea informado.

La necesidad de una mayor claridad en torno al entrenamiento de la IA, los contenidos generados por los usuarios en las plataformas y el consentimiento es un hecho patente, y se convertirá con toda seguridad en una cuestión todavía más acuciante con el tiempo.

¿Cómo pueden las empresas utilizar los datos de forma ética con el consentimiento válido del usuario?

Las empresas que adquieren datos para el entrenamiento de la IA u otros usos pueden y deben asegurarse de que se ha obtenido el consentimiento de las fuentes o los usuarios. En algunos casos puede ser un requisito para hacer negocios con socios o proveedores.

El consentimiento también está adquiriendo una gran importancia para la estrategia de monetización. Por ejemplo, es cada vez más frecuente que los anunciantes premium insistan en una prueba de consentimiento para la recogida de datos de los usuarios antes de asociarse con desarrolladores de aplicaciones.

Las empresas que recopilan datos de usuario de sus propias plataformas y usuarios para el entrenamiento de la IA u otros usos tienen la responsabilidad directa de obtener un consentimiento válido y cumplir las leyes en materia de protección de datos. Existen varias maneras en que las empresas pueden lograr un cumplimiento y consentimiento válidos.

Transparencia: las leyes de privacidad exigen notificaciones claras y accesibles, y las empresas deben proporcionar información comprensible a los usuarios sobre cómo se utilizarán y procesarán los datos de los usuarios, incluso para el entrenamiento de la IA. A medida que cambian los usos de los datos personales, las empresas deben actualizar sus notificaciones de privacidad, informar a los usuarios y, en virtud de un gran número de leyes de privacidad, obtener un nuevo consentimiento para los nuevos usos de los datos personales.

Consentimiento granular: los usuarios deben poder aceptar o rechazar la recopilación y el tratamiento de sus datos personales, pero deben poder hacerlo a un nivel granular, por ejemplo, aprobando algunos tipos de tratamiento, como la publicidad dirigida o el entrenamiento de la IA, pero no otros, como la venta de los datos. Esto también ayuda a garantizar que las personas estén informadas, lo que constituye un requisito de obligado cumplimiento para que el consentimiento sea válido según la mayoría de las leyes de protección de la privacidad.

Facilidad en el uso: al igual que las notificaciones deben ser claras y accesibles, la forma en que los usuarios aceptan o rechazan el consentimiento debe ser fácil de entender y de consultar. La información para explicar a los usuarios todo lo relacionado con el tratamiento de los datos debe estar totalmente disponible, así como la posibilidad de mostrar el consentimiento o rechazo a un nivel granular. También debe ser tan fácil declinar el consentimiento como aceptarlo y, según un gran número de leyes en materia de privacidad, los usuarios también deben poder cambiar fácilmente sus preferencias de consentimiento.

Familiaridad con las normativas: las diferentes jurisdicciones tienen distintas leyes en materia de privacidad con diferentes requisitos y modelos de consentimiento. Es importante que las empresas sepan qué leyes deben cumplir y cómo hacerlo. Puede ser importante consultar o designar a un asesor jurídico cualificado o a un experto en privacidad, por ejemplo, un responsable de protección de datos (DPO, por sus siglas en inglés), algo que también exigen algunas normativas en materia de privacidad. Esta figura ayuda a establecer directrices y procesos, a actualizar las operaciones y gestionar la seguridad de los datos y su tratamiento.

¿Qué derechos tienen los usuarios de las plataformas online sobre sus datos?

Los derechos de los consumidores sobre sus datos personales dependen de varios factores, como el lugar de residencia del usuario y la legislación vigente sobre privacidad, para qué sirve la plataforma y qué datos facilita o genera el usuario en ella, y cuáles son los términos y condiciones de la plataforma.

En la Unión Europea, las empresas que recopilan y procesan datos personales deben obtener el consentimiento del usuario antes de hacerlo. Esto se aplica por igual a plataformas de redes sociales, blogs, sitios web gubernamentales o tiendas de comercio electrónico. Los datos de los usuarios pueden recopilarse para saber cómo utilizan dichos usuarios un sitio web y mejorar su funcionamiento. También para hacer posible el cumplimiento cuando compran algo en línea, o para mostrarles anuncios, o entrenar modelos de IA.

Las plataformas de todo el mundo que se emplean para actividades financieras o sanitarias tienen requisitos más estrictos de privacidad y seguridad en virtud de múltiples normativas debido al tipo de información que manejan.

En algunas jurisdicciones, todavía está permitido mostrar un banner de cookies indicando que consiente la recopilación y uso de sus datos personales si procede a utilizar el sitio o servicio. Pero en la UE y otras jurisdicciones, esto no es aceptable y se requiere un consentimiento granular.

IA y cookies

El uso online de cookies ha ido disminuyendo a medida que existen tecnologías más nuevas y mejores para lograr aquello para lo que se utilizan normalmente las cookies. La cuestión hoy y en el futuro no es tanto cómo usa la IA las cookies, o cómo podría hacerlo, sino más bien cómo podría la IA acelerar la sustitución de las cookies.

Apple y Mozilla han bloqueado las cookies de terceros, y Google tiene previsto eliminarlas por completo. Las nuevas herramientas y métodos también permiten mejorar la privacidad de los datos y el consentimiento, y pueden dar lugar a datos de usuario de mayor calidad.

Los modelos actuales de consentimiento de cookies pueden no ser suficientes para cubrir el uso de la IA, ya que los sistemas de IA pueden analizar grandes cantidades de datos en tiempo real, en lugar de herramientas que analizan datos de cookies activas a lo largo del tiempo. Para que el consentimiento se obtenga antes de que comience la recopilación o el uso de datos, con las actuales ventanas emergentes, el usuario tendría que ser bombardeado con banners de consentimiento más rápido y más a menudo de lo que un humano podría procesarlos.

Los modelos de IA pueden permitir anuncios más eficaces o experiencias de usuario personalizadas sin depender de la recopilación de información de identificación personal, ya que pueden analizar grandes cantidades de datos muy rápidamente para agrupar a las personas en audiencias basadas en comportamientos. Si el sistema no necesita recopilar datos del usuario, puede que no sea necesario el consentimiento, al menos para la recopilación de datos.

Es probable que las leyes y las buenas prácticas sigan exigiendo que se notifique a los usuarios sobre cómo se pueden rastrear y analizar sus comportamientos, y para qué se puede utilizar ese análisis, por ejemplo, anuncios personalizados o experiencias de compra. Pero los datos personales no podrían venderse si nunca se recopilaran.

¿Qué es la Ley de Inteligencia Artificial de la UE?

La Ley de IA de la UE es una ley en materia de inteligencia artificial (IA) propuesta por la Comisión Europea y sería la primera ley integral del mundo que regula la IA. El objetivo consiste en equilibrar los usos positivos de la tecnología al tiempo que se mitigan los negativos y se codifican los derechos. Se pretende también aclarar un gran número de cuestiones actuales y futuras sobre el desarrollo de la IA y convertir la Ley en un referente mundial, como se ha convertido el RGPD.

La ley asignará las aplicaciones de la tecnología de IA a una de entre varias categorías:

Riesgo inaceptable: la IA que tuviera asociados riesgos inaceptables se prohibiría por completo. Por ejemplo, la herramienta de puntuación social del gobierno chino

Riesgo elevado: IA con riesgos potenciales, permitida pero sujeta al cumplimiento de requisitos de IA y evaluación de conformidad prevista. Por ejemplo, una herramienta que clasifica a los solicitantes de empleo escaneando currículos

Riesgo medio: IA con obligaciones específicas de transparencia, permitida pero sujeta a requisitos de información. Por ejemplo, los bots que pueden utilizarse para suplantar identidades

Riesgo mínimo o nulo: IA sin riesgos notables, permitida y sin restricciones

Disposiciones sobre consentimiento en la Ley de IA

La Ley de IA se encuentra actualmente en fase de borrador y puede cambiar antes de convertirse en ley. En la actualidad, el consentimiento del usuario y la privacidad y protección de datos se abordan en sus estatutos en varios frentes:

Riesgo elevado: se exige el consentimiento explícito para el uso de sistemas de IA de alto riesgo, por ejemplo en infraestructuras críticas, empleo, sanidad y aplicación de la ley.

Transparencia: los proveedores de IA deben proporcionar información clara sobre la finalidad, las capacidades y las limitaciones de los sistemas para garantizar que los usuarios estén informados para tomar decisiones y comprender las posibles repercusiones en sus derechos.

Derecho a la explicación: los usuarios tienen derecho a obtener explicaciones significativas sobre las decisiones de los sistemas de IA.

Derecho al control del usuario: los usuarios deben tener la posibilidad de excluirse voluntariamente, desactivar o desinstalar los sistemas de IA, especialmente cuando estén en juego derechos o intereses fundamentales (en virtud de algunas leyes de privacidad, los usuarios tienen derecho a excluirse voluntariamente de la «toma de decisiones automatizada»).

Protección de datos y privacidad: la Ley de IA hace hincapié en la necesidad de minimizar los datos, limitar su finalidad y establecer salvaguardas para proteger los datos personales cuando se utilicen sistemas de IA, y se alinea con las normativas existentes sobre privacidad de datos, como el RGPD.

Conclusión y futuro de la IA y el consentimiento

La tecnología que implica inteligencia artificial ha llegado para quedarse. Sus capacidades y posibles casos prácticos seguirán evolucionando rápidamente. Esto supone un reto para la regulación, ya que la creación y actualización de leyes tiende a ser mucho más lenta que la velocidad a la que se desarrollan las tecnologías.

Sin embargo, los usuarios no deben enfrentarse al principio jurídico «el comprador asume el riesgo», especialmente en línea, en lo que respecta a los nuevos usos de sus datos personales y los desafíos a su privacidad. Los reguladores deben elaborar y actualizar leyes que sean claras y exhaustivas, pero lo suficientemente flexibles para que puedan interpretarse y aplicarse hoy y en el futuro.

Las organizaciones deben tener claro qué normas de privacidad deben cumplir, qué estipulan y qué significa esto para sus operaciones. Esto deberá revisarse periódicamente a medida que cambien las operaciones y comunicarse con claridad. Intentar introducir a hurtadillas cambios en las condiciones de uso o utilizar los datos recopilados para nuevos fines sin obtener el consentimiento de los nuevos usuarios es una forma de dañar la reputación de la marca. Algo que se considera ilegal en muchas jurisdicciones. A medida que los consumidores se vuelven más conscientes sobre lo que implican sus datos y su privacidad, las empresas tendrán que ser más claras, nunca menos, sobre su recopilación y uso.

Las empresas también deben aplicar las mejores prácticas, como la privacidad desde el diseño, para garantizar que respetan a las personas, la fuente de sus datos, y que cumplen la ley. Esto también ayudará a garantizar que se obtenga el consentimiento y que la recopilación y el uso de los datos se limiten a lo permitido por la ley para todas las operaciones, ya sea el cumplimiento de los pedidos de comercio electrónico o el entrenamiento de nuevos modelos de IA.

La IA es solo la última tecnología que plantea nuevos retos a consumidores, empresas y reguladores por igual. No es la primera, ni será la última. Sin embargo, las buenas prácticas para lograr el cumplimiento, generar confianza con los usuarios y hacer crecer con éxito los negocios (o desarrollar actividades científicas) siguen siendo las mismas y sirven tanto a las organizaciones como a los consumidores.

Para obtener más información, contacte con nuestros expertos hoy mismo.

Usercentrics no provee asesoría legal, y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.