La inteligencia artificial («IA») ha invadido prácticamente todos los rincones de las compañías. Todos quieren formar parte del proceso de innovación. Esta creencia en el avance y la novedad implica a su vez, una adaptación del departamento de privacidad y protección de datos.
Los Delegados de Protección de Datos («DPO») han participado de manera activa en este cambio y son, como bien expuso Yolanda González en el XXII Congreso de APEPIA, «los mismos haciendo de todo».
La mayoría de las empresas y despachos apuestan de manera acertada por la innovación en su sector, implementando y/o desarrollando herramientas de IA en sus ecosistemas. El desafío surge cuando esa herramienta no ha recibido un análisis previo por los equipos correspondientes y, en consecuencia, podría no considerarse segura en relación con la información que está tratando.
Cada vez se aprecia más el papel del DPO como un aliado en la construcción de procesos de trabajo controlados, que debe incorporarse desde el inicio de los proyectos, conforme al principio de “privacy by design”. Esto implica que los equipos ya no perciben esta figura como los “stoppers” sino como una apuesta segura que les permitirá abrir un camino de confianza con sus clientes.
La colaboración del DPO y los equipos de trabajo técnicos resulta algo primordial e imprescindible hoy en día. Para asesorar con un criterio certero y eficaz, el profesional de la privacidad debe mantenerse actualizado y trabajar en comprender los entornos tecnológicos de los proyectos. No basta con conocer la teoría, es necesario experimentar y aprender a usar las herramientas, reforzando ese rol transversal y a su vez, complejo.
Las reglas del juego son más exigentes al añadir un nuevo integrante en la partida, como la IA, que, en ocasiones, se desconoce si es el villano o forma parte del mismo equipo. Es preferible pensar en qué sería del derecho sin innovación y viceversa, pues la incertidumbre y el aprendizaje constante también son parte de la diversión de los retos.
El cambio aporta oportunidades de aprendizaje, pero también riesgos que deben gestionarse de manera adecuada. Desde el momento en que se introduce una herramienta de IA en los procesos de las organizaciones, se asume que un tercero va a acceder a la información de una manera, en ocasiones, desconocida y, por tanto, puede conllevar la pérdida de control de los datos personales e información confidencial.
Es importante tener en cuenta puntos clave y decisivos antes de optar por abrir la puerta a un tercero ajeno.
Desde la perspectiva de la normativa vigente en la materia como es el Reglamento General de Protección de Datos («RGPD») y Ley Orgánica de Protección de Datos y garantía de los derechos digitales («LOPDGDD») como punto de partida, hay que determinar qué datos va a tratar la IA y para qué los usará, así como cuál es rol del proveedor de IA en relación con los datos personales implicados. En muchas ocasiones, este tercero asume el rol de encargado de tratamiento, formalizándose esta regulación en el contrato o en las condiciones de contratación.
Además, es fundamental definir el flujo y la finalidad del tratamiento de los datos. Por ejemplo, conocer si se va a entrenar o mejorar el modelo con la información que se introduzca y en su caso, si existe alguna manera de configurar esta finalidad. Y, por otro lado, confirmar si existe supervisión humana real que permita evitar sesgos y apostar por una herramienta ética y segura.
Otro aspecto importante es la posible realización de transferencias internacionales de datos personales a terceros países que no dispongan del nivel de protección equivalente al europeo. En estos casos, será necesario asegurar la concurrencia de garantías adecuadas previstas por la Comisión Europea de cara a asegurar la licitud del tratamiento.
Asimismo, probablemente sea preciso realizar una Evaluación de Impacto que permita analizar de manera exhaustiva las consecuencias que podrá provocar el uso de esta herramienta en los derechos y libertades de las personas afectadas. Esta tarea propia del DPO debe realizarse como paso previo a la implantación efectiva del nuevo tratamiento. También se debe tener presente en caso de un tratamiento existente en la compañía que experimente modificaciones en la tecnología empleada y, por ejemplo, incorpore IA.
Este estudio exige ampliar la perspectiva a otras normas más allá de la normativa tradicional de protección de datos, como el Reglamento de Inteligencia Artificial, que se ha convertido en el segundo RGPD de los DPO.
La emoción de trabajar en una profesión que está en constante evolución supone el desafío de formar parte de la innovación y a su vez, un avance en las tareas de los especialistas en privacidad.
Es hora de asumir este reto en los proyectos y creer en la colaboración de los distintos departamentos que permita un crecimiento en el desarrollo de la compañía.
Sin pretender idealizar la IA ni demonizarla, se puede partir conociendo los pasos previos para analizarla, así como participar en el uso de estas herramientas. Al fin y al cabo, un asesoramiento jurídico no es efectivo si el profesional no comprende los aspectos esenciales de la tecnología que pretende evaluar.
Escrito por: Lara Doval Justo. Consultora Protección de Datos PONS IP
