Inteligencia Artificial; riesgo; algoritmos; datos; regulación

El marco legal de la Inteligencia Artificial: datos y herramientas

Posted on by admin
Lucía Martínez Rodríguez
Estudiante del Grado en Derecho y en Administración y Dirección de Empresas
Facultad de Derecho. Universidad Autónoma de Madrid

 

 

La Inteligencia Artificial (IA, en adelante) puede definirse de diferentes formas: en primer lugar, como una combinación de tecnologías que agrupa datos, algoritmos y capacidad informática[1], y por otro lado, según el Parlamento Europeo, como la habilidad de una máquina de presentar las mismas capacidades que los seres humanos, esto es, el razonamiento, el aprendizaje, la creatividad y la capacidad de planear[2]. La tecnología digital y la economía de datos adquieren un papel cada vez más relevante en la vida de las personas, y por lo tanto es necesario que se genere un marco regulador basado en los valores fundamentales de la Unión Europea, así como un ecosistema de inteligencia artificial que beneficie a los ciudadanos, al desarrollo empresarial y a los servicios públicos.

El objeto de esta investigación trata la normativa y jurisprudencia relacionada con el uso de datos e Inteligencia Artificial para procesar información y su regulación. Para la elaboración de este informe, se han analizado las principales fuentes legislativas y su aplicación por parte del Tribunal de Justicia de la Unión Europea (en adelante, TJUE), así como la jurisprudencia relacionada con los artículos 7, 8, 41 y 42 de la Carta de los Derechos Fundamentales de la Unión Europea, al encontrarse estos derechos íntimamente vinculados con la ciencia de datos y la Inteligencia Artificial.

Datos: normativa y protección.

Una de las principales características del marco normativo es la distinta densidad y carácter vinculante de las disposiciones en función de la cercanía a la protección de datos, o bien al de las herramientas de IA. En la primera área, nos encontramos con normativa vinculante, como el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (Reglamento General de Protección de Datos, RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LO 3/2018) en el caso de España. En ambas normas, su aplicación objetiva corresponde al tratamiento total o parcialmente automatizado de datos personales[3], así como el tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. La Ley española añade, respecto al RGPD, la protección de derechos digitales en sus artículos 80 a 97, que no están incluidos en el ámbito objetivo de aplicación del RGPD. Otro de los elementos incluidos por la ley nacional respecto al Reglamento europeo, es la protección de datos personales de personas fallecidas. Así, en su artículo 3 se establece que los familiares del fallecido y los herederos pueden solicitar el acceso a los datos personales del causante, salvo que lo hubiese prohibido expresamente.

En cuanto al ámbito subjetivo del RGDP, es importante destacar el hecho de que se aplique aunque el tratamiento de datos personales no tenga lugar en el territorio de la Unión, e incluso aunque los responsables del tratamiento de datos no estén establecidos en la Unión en caso de bienes y servicios de conformidad a las reglas del Derecho internacional público. Esto supone una protección extra para los usuarios de IA que estén establecidos en la UE, ya que los datos de los usuarios quedarán protegidos por el RGDP independientemente del lugar en el que se contraten los servicios.

No obstante, no toda la materia relacionada con los datos trata sobre su protección o está relacionada con los derechos fundamentales. En este sentido y para mejorar la competitividad de la economía europea, el Parlamento Europeo y el Consejo aprobaron el Reglamento (UE) 2018/1807, de 14 de noviembre de 2018, relativo a un marco para la libre circulación de datos no personales en la Unión Europea. La UE pretende así fomentar la libre circulación de este tipo de datos al no afectar a los derechos fundamentales establecidos en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea. La libertad de elección de los proveedores de servicios beneficiaría considerablemente tanto al sector público como al sector privado, se conseguirían precios más competitivos y mejores prestaciones de servicios a los ciudadanos. De acuerdo con su artículo 3, los datos de carácter no personal son aquéllos no incluidos en el RGDP. Debido a las dificultades que se pueden ocasionar a la hora de identificar correctamente los datos no personales, el propio Reglamento en su considerando (9) menciona algunos ejemplos específicos entre los que se encuentran “los conjuntos de datos agregados y anonimizados utilizados para análisis de datos a gran escala, los datos sobre agricultura de precisión que pueden ayudar a controlar y optimizar la utilización de plaguicidas y de agua, o los datos sobre las necesidades de mantenimiento de máquinas industriales”.

Por otro lado, también es destacable en materia de protección de datos la existencia de dos Directivas europeas que aún no están transpuestas en España: en primer lugar, la Directiva (UE) 2019/1024 de 20 de junio de 2019 relativa a los datos abiertos y la reutilización de la información del sector público, incluidas las empresas públicas. El plazo de transposición finaliza el 17 de julio de 2021 y fue sometida a consulta pública por parte del Gobierno de España en junio de 2020. En segundo lugar, la Directiva (UE) 2016/680 de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales y a la libre circulación de dichos datos, cuyo plazo de transposición finalizó en 2019, motivo por el que España fue condenada en 2019 al pago de una multa millonaria, de acuerdo con la STJUE C‑658/19.

Aunque ambas Directivas tengan como destinatario el sector público, en el primer caso el ámbito de aplicación tiene como objetivo mejorar el acceso en tiempo real a datos dinámicos a través de medios técnicos adecuados, aumentando el suministro de datos públicos de alto valor para la reutilización, incluidos los de las empresas públicas, organizaciones que financian la investigación y organizaciones que realizan actividades de investigación. Por el contrario, el segundo caso está íntimamente relacionado con la la protección de datos y el intercambio de éstos entre las autoridades encargadas de la seguridad en los distintos Estados miembros. La situación descrita demuestra la urgencia de acometer las tareas de transposición.

Finalmente, el marco normativo se completa con la Directiva 2002/58/CE, que fue transpuesta en España mediante Real Decreto-Ley 13/2012 de 30 de marzo, modificando la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI). La norma europea es llamada coloquialmente “ley de cookies” debido a que introduce un artículo que exige a los responsables del tratamiento de datos el deber de informar y pedir consentimiento para el uso de cookies, que son “pequeños ficheros de texto que los sitios web instalan en el ordenador o el dispositivo móvil de los usuarios que los visitan”[4]. Esta Directiva ha sido el objeto de varios procedimientos prejudiciales resueltos por el TJUE, entre los que cabe destacar el asunto C‑673/17, en el que se establecen los requisitos para que el consentimiento otorgado al aceptar las cookies sea válido, no siendo posible aceptarlas a partir de una casilla marcada por defecto en las páginas web.

En lo relacionado con la jurisprudencia del TJUE, se aprecia que la mayoría de las resoluciones están referidas a cuestiones prejudiciales sobre la interpretación de los artículos de la antigua Directiva 95/46/CE, de protección de datos, derogada por el RGDP, así como sobre la interpretación Directiva 2002/58/CE mencionada anteriormente. Estos pronunciamientos prejudiciales relacionados con el uso de datos contrastan con el menor tratamiento dispensado a las herramientas de uso de esos datos y la regulación de la IA. De hecho, en el contexto europeo solo existe una única resolución judicial con relación al uso de algoritmos en la prestación de servicios. Se trata de la Sentencia de 5 de febrero de 2020 de la Corte de Distrito de La Haya que declaraba ilegal el algoritmo SyRI utilizado por parte del gobierno de Países Bajos para combatir el fraude a la seguridad social. El tribunal de la Haya lo invalidó al considerar que no cumplía las exigencias de proporcionalidad y transparencia necesarias, así como vulnerar el art. 8 de la Carta de los Derechos Fundamentales de la Unión Europea.

Herramientas de Inteligencia Artificial: Libro Blanco de la UE y el futuro marco regulador

A diferencia del tratamiento y almacenamiento de datos, el área relacionada con las herramientas de uso de datos, principalmente a través de la IA, se caracteriza por contener normativa no vinculante, como recomendaciones, comunicaciones, libros blancos, y disposiciones similares que se pueden englobar en el término soft law.

En 2020, la UE lanzó el Libro Blanco sobre IA para establecer un enfoque europeo orientado a la excelencia y la confianza, basado en el cumplimiento de su Estrategia sobre la Inteligencia Artificial y el plan coordinado de la Comisión y los Estados miembros sobre IA. En este Libro Blanco se enumeran acciones a realizar para “crear un ecosistema de excelencia que pueda respaldar el desarrollo y la adopción de la Inteligencia Artificial en el conjunto de la economía y la administración pública de la UE[5]. De este marco se desprende el interés de la UE, para que la IA sea incorporada tanto en el sector público como privado.

El marco regulador de la IA propuesto desde las instituciones europeas subraya la necesidad de adoptar directrices para una IA fiable[6] a partir, principalmente, de evaluar los riesgos que conllevan este tipo de herramientas. Las herramientas de IA pueden generar un distinto impacto y riesgo para la protección de los derechos fundamentales, especialmente la protección de los datos personales y de la privacidad y la no discriminación, así como un riesgo para la seguridad y el funcionamiento eficaz del régimen de responsabilidad civil. Para afrontar estos riesgos el Libro Blanco insta a adoptar un nuevo marco normativo, modificando en gran parte la legislación actual como el caso de aquéllas Directivas relacionadas con los conceptos de igualdad y no discriminación: Directiva 2000/43/CE sobre igualdad racial, la Directiva 2000/78/CE sobre igualdad de trato en el empleo y la ocupación, y las Directivas 2006/54/CE y 2004/113/CE relativas a la igualdad de trato entre mujeres y hombres con relación al empleo y el acceso a los bienes y servicios. Esto es debido a la necesidad de prevenir que el uso de determinados algoritmos de la IA de lugar a prejuicios raciales o de género, y prevea una probabilidad distinta en función de criterios como el género o la raza.

La ponderación del riesgo se convierte en un elemento esencial para la regulación de la IA. De este modo los agentes económicos tendrían que cumplir una serie de requisitos en función del riesgo que generan las aplicaciones de IA. Una aplicación de IA debe considerarse de riesgo elevado en función de la protección de la seguridad, los derechos de los consumidores y los derechos fundamentales. Para este tipo de aplicaciones, se requerirán unos requisitos legales obligatorios. Así, por ejemplo, en el campo de la identificación biométrica, la IA solo podrá ser utilizada de manera justificada, proporcionado y con las garantías adecuadas. Este uso justificado de datos biométricos puede estar, sin embargo, vinculado a conceptos generales como los de seguridad nacional y el interés público. La Sentencia del TJUE referente a los procedimientos prejudiciales acumulados C‑446/12 a C‑449/12 establece que el Reglamento (CE) nº 2252/2004, de 13 de diciembre de 2004, sobre normas para las medidas de seguridad y datos biométricos en los pasaportes y documentos de viaje expedidos por los Estados Miembros, exime a los Estados Miembros de garantizar que los datos biométricos recogidos y almacenados no serán tratados ni utilizados con fines distintos de la expedición del pasaporte. Esto es debido a que, de conformidad con el RGDP, la protección de estos datos personales de carácter especial, los datos biométricos, pueden ser matizada por razones de seguridad nacional y de interés público. Sin embargo, estos conceptos no están definidos en una norma europea sino que se derivan de las decisiones que adopta cada Estado con el consiguiente riesgo de fragmentación y heterogeneidad en las respuestas nacionales.

De todo lo anterior se aprecia como el marco normativo que se está desarrollando en torno a las aplicaciones de la IA está relacionado con la concepción de riesgo y la definición de conceptos como seguridad nacional e interés público. Sin embargo, no se nos ofrece una definición de riesgo o criterios para medirlo. Además, tampoco se especifica si este concepto de riesgo en los sectores y en los usos será definido en un futuro por la UE, o si cada Estado Miembro tendrá que hacer su propia interpretación, como ya ocurre en el caso del pasaporte biométrico, ni qué ocurrirá con las aplicaciones de riesgo bajo que no quieran acogerse al sistema de etiquetado voluntario para la publicación de los datos y algoritmos utilizados.

El pasado 21 de abril de 2021, la Comisión Europea lanzó una propuesta de Reglamento sobre IA, que siguiendo las bases del Libro Blanco, está basada en el nivel de riesgo de las herramientas desarrolladas. Esta propuesta, establece diferentes categorías: “riesgo inadmisible” (artículo 5), que son aquellos sistemas que sirven para manipular el comportamiento humano y estarán prohibidos,  y “alto riesgo” (artículo 6), que abarcan las tecnologías empleadas en: (i) las infraestructuras críticas (por ejemplo, transportes), que pueden poner en peligro la vida y la salud de los ciudadanos; (ii) formación educativa o profesional, que pueden determinar el acceso a la educación y la carrera profesional de una persona (por ejemplo, puntuación en exámenes); (iii) componentes de seguridad de los productos (por ejemplo, aplicación de IA en cirugía asistida por robots); (iv) empleo, gestión de trabajadores y acceso al trabajo por cuenta propia (por ejemplo, programas informáticos de clasificación de CV para procedimientos de contratación); (v) servicios públicos y privados esenciales (por ejemplo, sistemas de calificación crediticia que priven a los ciudadanos de la oportunidad de obtener un préstamo); aplicación de las leyes, que pueden interferir con los derechos fundamentales de las personas (por ejemplo, evaluación de la fiabilidad de las pruebas); (vi) gestión de la migración, el asilo y el control de las fronteras (por ejemplo, comprobación de la autenticidad de los documentos de viaje); (vii) administración de justicia y procesos democráticos (por ejemplo, aplicación de la ley a un conjunto concreto de hechos)[7]. Estas aplicaciones estarán sometidas a requisitos muy estrictos antes de que puedan utilizarse, relacionados con la protección de datos, la ciberseguridad, la supervisión humana, y la transparencia e información, entre otros (artículos 8 a 15 de la propuesta).

En el caso español, el Ministerio de Ciencia, Innovación y Universidades publicó en 2019 la Estrategia Española de I+D+I en Inteligencia Artificial y en 2020 el Ministerio de Asuntos Económicos y Transformación Digital lanzó la denominada Estrategia Nacional de Inteligencia Artificial. En esta última, se incluyen como objetivo seis ejes similares a los establecidos por la UE, pero sin embargo no se menciona nada referente a los criterios de riesgo establecidos por la UE en el Libro Blanco. España quiere seguir las directrices establecidas en cuanto a inversión e innovación, pero no parece que se hayan superados los problemas para para definir el concepto de riesgo.

Esta falta de definición del riesgo puede suponer un problema de protección para los usuarios. Este riesgo es más vidente cuando las necesidades organizativas y de prestación de servicios por las administraciones públicas llevan a la introducción de  algoritmos y sistemas de IA que sigue las necesidades de cada órgano y en ausencia de una norma general emanada del poder legislativo. Este es el caso de la Orden Ministerial ESS/484/2013, de 26 de  marzo, por la que se regula el Sistema de remisión electrónica de datos en el ámbito de la Seguridad Social. Esta orden tiene como ámbito de aplicación objetivo la inclusión obligatoria de datos de trabajadores de carácter personal, en un fichero gestionado por la Tesorería General de la Seguridad social. Otro ejemplo es la inclusión por parte de la Agencia Tributaria de un algoritmo de cálculo del tipo de retención a cuenta del IRPF, que utiliza datos de carácter personal para realizar y obtener determinados valores con el fin de evitar el fraude fiscal. Este algoritmo se basa en la Ley del Impuesto sobre la Renta de las Personas Físicas, y en los Presupuestos Generales del Estado, no mencionando en ningún momento la Ley de protección de datos. El uso de este tipo de herramientas por parte de los diferentes organismos estatales sin que exista una regulación legal genera el riesgo de una heterogeneidad en la regulación del uso de la IA y una escasa protección de los derechos fundamentales.

En conclusión, conforme nos alejamos del núcleo relacionado con la protección de datos hacia el uso de las herramientas de IA, se aprecia una fragmentación de la normativa debido a la indefinición de conceptos jurídicos como el riesgo, y al carácter no vinculante de la normativa. Además, observando las sentencias analizadas del TJUE, la posibilidad de establecer criterios relativos a la seguridad nacional y al interés público junto la indefinición del concepto de riesgo incrementan la falta de seguridad jurídica en este sector.

 

 

[1] Libro Blanco sobre la Inteligencia Artificial – un enfoque orientado a la excelencia y confianza COM (2020) 65 final. Disponible en https://ec.europa.eu/info/sites/info/files/commission-white-paper-artificial-intelligence-feb2020_es.pdf

[2] Disponible en https://www.europarl.europa.eu/news/es/headlines/society/20200827STO85804/que-es-la-inteligencia-artificial-y-como-se-usa

[3] Toda información sobre una persona física identificada o identificable (el interesado); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

[4] Disponible en web oficial de la Unión Europea: https://europa.eu/european-union/abouteuropa/cookies_es

[5] Libro Blanco sobre la Inteligencia Artificial

[6] Disponible en https://op.europa.eu/es/publication-detail/-/publication/d3988569-0434-11ea-8c1f-01aa75ed71a1

[7]Una Europa Adaptada a la Era Digital: la Comisión propone nuevas normas y medidas para favorecer la excelencia y la confianza en la inteligencia artificial. https://ec.europa.eu/commission/presscorner/detail/es/ip_21_1682