Escrito por Fabricio Sánchez (*) y Alexandra Espinoza (**)
I. ¿Qué es la inteligencia artificial (IA)?
Aún no hay un consenso sobre una definición de la IA, sin embargo, con el afán de poder regular sobre la materia, se ha intentado establecer ciertos parámetros comunes sobre sus características.
En atención a lo señalado por la OCDE, se entiende por “sistema de IA” como aquel sistema “machine-based” que puede realizar predicciones, recomendaciones o decisiones que influencian entornos físicos o virtuales, a partir de instrucciones e información previamente otorgada al sistema por su desarrollador[1]. De esta forma se tiene por objetivo que estos sistemas puedan operar en diferentes niveles de autonomía.
Asimismo, en el Perú, y de manera reciente, se publicó la Ley 31814, Ley que promueve el uso de la inteligencia artificial en favor del desarrollo económico y social del país. Esta, tal como lo señala su nombre, tiene por objetivo promover el uso de la IA en el marco del proceso nacional de transformación digital privilegiando a la persona y respeto de derechos humanos con el fin de fomentar el desarrollo económico y social del país.
La misma norma define a la IA como aquella tecnología emergente de propósito general que tiene el potencial de mejorar el bienestar de las personas, contribuir a una actividad económica global sostenible positiva, aumentar la innovación y la productividad, y ayudar a responder a los desafíos globales clave.
De esta manera, habiendo establecido una aproximación a la definición de IA, es pertinente señalar que esta herramienta se nutre de mucha información (big data) para poder crear patrones que puedan ser útiles en su uso. Dentro de esta información, sin duda, se recopilan datos personales; razón por la cual, su almacenamiento, y en general su tratamiento, debe cumplir con las normas, sobre la materia, en el caso de Perú, la Ley 29733 y su Reglamento.
La norma peruana define al dato personal como toda aquella información que identifica o hace identificable a una persona a través de medios que pueden ser razonablemente utilizados. Es natural que el titular de esta información pueda tener el control sobre a quién decide o no compartirla, esto tiene intrínseca relación con la misma Constitución que señala: “Toda persona tiene derecho a que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar”.
En palabras simples, las empresas que pretenden desarrollar tecnología con IA, deben tener mucho cuidado sobre la información que recopilan, en especial si esta contiene datos personales. Este deber de cuidado, representa o se traduce en las obligaciones que estas empresas deben de cumplir.
En este breve texto trasladaremos algunas obligaciones que se deben ejecutar con la finalidad de salvaguardar los datos personales que almacenan y de esta manera garantizar el cumplimiento de los principios contenidos en la ley y su reglamento.
II. ¿Se realiza tratamiento de datos en el desarrollo de las IA?
Es posible que en una IA exista tratamiento de datos personales en su creación, desarrollo, explotación e incluso retirada final del software.
La creación del software con IA implica la fijación de requisitos funcionales y no funcionales de la solución IA. Es en este momento cuando se evalúa si será necesario el uso de información que pueda constituir datos personales para el futuro desarrollo del software o solución IA.
El desarrollo implica la investigación, prototipado, diseño, elaboración de pruebas, entrenamiento y validación del software. En atención a lo señalado por la Agencia Española de Protección de Datos Personales, si para entrenar a los sistemas IA se utiliza información que califique como dato personal, entonces esto constituirá tratamiento de datos, lo cual podría generar las siguientes actividades: definición, búsqueda y obtención de información, pre procesamiento de la información, partición de datos, entre otros[2].
La explotación supone la ejecución de distintas acciones, incluso en paralelo, tal como la integración de información, despliegue de la misma, mantenimiento y evolución. En todas estas actividades es posible realizar tratamiento de datos, como los de titularidad de quien utiliza la solución de IA, tales como su nombre y preferencias. Estos datos incluso pueden ser utilizados para la evolución y mejoramiento de la plataforma[3].
Por último, existirá la retirada del software del mercado. Es posible que la solución de IA haya dejado de ser necesaria en el mercado, o un usuario decida dejar de utilizarla. Cualquiera sea el caso, es posible que exista una supresión de datos, lo cual justamente es considerado un tratamiento de los mismos.
III. Sugerencias sobre el cumplimiento normativo en materia de protección de datos personales en el desarrollo de las IA
En este apartado, desarrollaremos algunas de las obligaciones establecidas en la norma peruana sobre la protección de datos personales, y cómo estas deben ser consideradas e implementadas por las empresas desarrolladoras o creadoras de software IA o soluciones IA.
1. Deber de consentimiento e información
Sobre este punto, debemos partir de la premisa que el titular del dato personal debe saber la razón por la cual se requiere su dato personal, una vez su titular es debidamente informado y está de acuerdo con entregar su información, esta manifestación de voluntad debe ser expresa e inequívoca, lo cual se traducirá en otorgar su consentimiento de manera libre.
Ahora bien, para que las razones por la cuales se requiere la información -dato personal- sean reputadas válidas se necesita que se indique su finalidad (principal y secundaria), quiénes son o pueden ser sus destinatarios, la existencia de una base datos -en este caso deberá estar inscrita-, identidad y domicilio del titular del banco de datos, el carácter obligatorio o facultativo de su entrega, las transferencias que se realizarán, consecuencias de no entregarlos, el tiempo de conservación y la posibilidad de ejercitar los derechos ARCO (acceso, rectificación, cancelación u oposición), estos derechos asisten al titular del dato personal. Generalmente, toda esta información que debe ser trasladada al titular del dato personal está contenida en las políticas de privacidad de quien recopila esta información.
Si la información puede ser obtenida de una base de datos de acceso público, no será necesario cumplir con el consentimiento ya que el mismo titular la ha puesto a disposición.
2. Registro de bases de datos
Una vez que el titular del dato personal entregó su información, es decir, fue recopilada, existe la obligación por parte de quien recopila esta información -empresa desarrolladora de software IA- de registrar la base de datos ante la Autoridad de Datos Personales, este registro solo consiste en informar a la Autoridad la existencia de dicha base de datos no debiendo entregar su contenido.
3. No recopilar datos por medios fraudulentos (ética)
Es necesario que toda recopilación de datos personales se realice por medios lícitos y leales. Tal como hemos podido analizar, la recopilación de datos y su tratamiento suele ser un elemento sumamente importante en la parte de desarrollo y explotación del software IA, por lo que las empresas desarrolladoras deberán adquirir esta información de una fuente legal.
Un claro ejemplo de “fuente legal” podría ser todo aquel dato personal recopilado directamente de sus titulares o toda aquella información que se encuentre en fuentes de acceso público, tales como los medios de comunicación electrónica o de cualquier índole que tengan por objetivo facilitar al público dicha información y es abierto a la consulta general, medios de comunicación social, registros públicos como SUNARP, entre otros.
4. Recopilar datos que sean actualizados, pertinentes y necesarios
Los datos personales recopilados no deben ser desactualizados, esto es especialmente importante, por ejemplo, para las aplicaciones que utilizan la información personal de los usuarios que pueden cambiar con el transcurso del tiempo, como pueden ser las direcciones de correo electrónico o la información de contacto.
Asimismo, deben obtenerse únicamente para el objetivo que se busca en el desarrollo de la IA, por ejemplo, si se pretende desarrollar un software de AI de asistente virtual, será necesario solo recopilar aquella información necesaria para poder brindar respuestas muy precisas a las preguntas de los usuarios, en lugar de recopilar información personal adicional que no sea esencial para cumplir su cometido.
Además, la información almacenada debe ser limitada en el tiempo, esto implica que los datos personales deben eliminarse o armonizarse una vez que ya no sean útiles para la finalidad para la cual se recopilaron, por ejemplo, si una empresa recopila datos personales para una transacción y esta ya se completó, esta debe ser eliminada, sin duda alguna pues ya no se requieren ni son necesarias.
5. No utilizar los datos para finalidades diferentes a las indicadas
Como hemos indicado en varias oportunidades en este breve texto, solo se deben recopilar datos personales para la finalidad o propósito específico. Este propósito debe ser comunicado al titular del dato personal de manera transparente y clara, por ejemplo, si se desea recopilar información -correos electrónicos- para enviar proformas de venta de un auto, la finalidad es clara enviar proformas, no se podrá utilizar la información recopilada para otro motivo, hacerlo constituye una infracción a las normas de datos personales e incluso podría quebrar la confianza depositada en la organización que maneja esos datos personales.
Ahora bien, si surge la necesidad de utilizar los datos personales para un propósito diferente al primigenio, es de vital importancia comunicar con mucha claridad este cambio al titular del dato personal y obtener su consentimiento, esta transparencia refuerza la confianza de los usuarios y la garantía que su información está debidamente protegida.
6. Informar flujos transfronterizos
En muchas ocasiones los datos que son recopilados o utilizados por los desarrolladores de IA pueden almacenar dichos datos en la nube, para lo cual muchas veces este servidor se encuentra en el extranjero. En caso de que esto ocurra, será necesario informar la realización de transferencia internacional o flujo transfronterizo.
Esto no solo se debe a una obligación legal dentro de una jurisdicción, sino que su destino podría tener un tratamiento distinto -legal, por ejemplo- por lo que el titular del dato personal tiene derecho a conocer si el lugar al cual se trasladaron sus datos personales cuenta con estándares de privacidad idóneos, por lo que las organizaciones que tratan estos datos personales tienen la responsabilidad de garantizar que se mantenga un nivel adecuado de protección, esto podría implicar la implementación de medidas de seguridad adicionales o la celebración de acuerdos de protección de datos con las partes receptoras para garantizar que los datos se manejan de manera segura y legal.
7. Medidas de seguridad (auditorias -evaluación de riesgos-, algoritmos, entre otros)
Se debe considerar que las implementaciones de medidas de seguridad tienen por objetivo asegurar tres grandes pilares que constituyen las bases de la seguridad de la información: confidencialidad, integridad y disponibilidad. La confidencialidad dispone que solo las personas autorizadas deberán acceder a la información
Es necesario evaluar todas las medidas de seguridad que deberán ser implementadas durante el ciclo de vida de un software IA. Durante su creación, y una vez identificado si se tratarán datos personales, será necesario considerar la implementación de medidas de seguridad técnicas que eviten cualquier brecha o incidente, tales como que esta sea filtrada o eliminada por algún virus.
Dentro de las medidas de seguridad se deben observar, procedimientos idóneos que permitan identificar el riesgo o incidente, determinar impacto, contener incidente, remediarlo y cerrarlo.
8. Supresión de datos
Esto resulta especialmente importante cuando existe una retirada del software del comercio, por ejemplo. En caso de que la solución IA ya no sea utilizada, o sea eliminada, se deberá asegurar que exista una supresión idónea y efectiva de los datos personales utilizados. Incluso, se recomienda que se deje constancia de dicha eliminación, con el fin de asegurar que esta fue realizada y evitar que terceros no autorizados tengan acceso a la misma.
IV. Conclusiones
Todo tratamiento de datos personales, incluido el realizado por las empresas desarrolladoras de software IA, necesitan cumplir las obligaciones que se desprenden de las normas sobre protección de datos personales. En el Perú, principalmente se deberá respetar lo dispuesto sobre el deber de consentimiento e información e implementar las medidas de seguridad durante todo el ciclo de vida de la IA con el fin de evitar un posible inicio de procedimiento sancionador, o posterior interposición de multas por parte de la Autoridad Nacional de Protección de Datos Personales.
Sobre el autor (*): socio del estudio Benites, Vargas & Ugaz, jefe del área de Competencia y Propiedad Intelectual del mismo estudio, abogado por la universidad católica de San Pablo y magíster en Patentes, Marcas y Propiedad Intelectual por OBS Business School y la Universidad de Barcelona.
Sobre la autora (**): abogada por Pontificia Universidad Católica del Perú, abogada asociada en el área de Competencia y Propiedad Intelectual del estudio Benites, Vargas & Ugaz y adjunta de docencia en la Facultad de Derecho de la PUCP.
Referencias:
[1] OCDE. Recommendations of the Council on Artificial Intelligence.
https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449
[2] Agencia Española de Protección de Datos personales. Adecuación al RGDP de tratamiento que incorporan Inteligencia Artificial. Una introducción. https://www.aepd.es/documento/adecuacion-rgpd-ia.pdf
[3] IDEM