El 10º Congreso de la Asociación Profesional Española de Privacidad (APEP) inauguró ayer su primera jornada. Expertos en la materia de protección de datos han arrojado luz sobre el uso responsable de Inteligencia Artificial en términos de protección y privacidad para cumplir el RIA y dotar de confiabilidad a las compañías.
Noemí Brito Izquierdo, Directora de LOTS en KPMG Abogados, ha estado en la mesa titulada “Análisis del nuevo paquete normativo digital” y ha incidido sobre el impacto del RIA en las compañías, que deben ajustarse a su implementación mediante tres líneas de acción. La primera y la más importante, ya que de ella depende la realización del resto, es determinar “qué es un sistema de IA” y, así, saber detectarlo dentro de la compañía. Posteriormente, se ha de decidir de qué tipo de IA se trata atendiendo a las tipificaciones de riesgo establecidas en el RIA. Conocer la posición de la compañía también es esencial, ya que no es lo mismo ser proveedor que distribuidor que consumidor.
Tras haber abordado este análisis, se ha de establecer un sistema de control de riesgos y, posteriormente, demostrar si hay cumplimiento o no. Esta última parte es, precisamente, la más difícil, ya que “no solo se trata de cumplir la norma, sino de demostrarlo”. Y el proceso no finaliza aquí.
También se deben conocer los usos de IA que otras empresas hacen dentro de “nuestra cadena valor”, un paso de gran relevancia para completar la confiabilidad que se ha de proyectar hacia fuera.
Para toda esta lista de tareas, están emergiendo cambios dentro de las estructuras y la gobernanza de las empresas. O bien surgen perfiles especializados, como es el caso del Chief AI Officer en EE.UU; o bien se asume necesaria la formación en términos tecnológicos y éticos dentro de la propia compañía (que debería ser una máxima en cualquiera de los casos).
Otra opción que no deja de ser de gran relevancia es, en palabras de Asier Crespo, “que las empresas se dejen asesorar”. El Legal Director de Microsoft Ibérica ha abordado en la mesa titulada “IA by Design” la importancia de seguir un proceso riguroso a la hora de implementar IA: hay que medir riesgos y saber cómo gestionarlos. Un requisito que enfrenta, sin embargo, el siguiente dato del Informe de tendencias elaborado por Microsoft: “más del 70% de empleados de las organizaciones se traen su IA de casa”.
Esto hace un llamamiento al cambio de cultura en las empresas en aras de adaptarse a las nuevas legislaciones o modificaciones del propio Reglamento, que “es muy abierto y adaptativo” según explica Carlos Romero Duplá, Director de la Oficina de Bruselas VINCES, en la mesa titulada “Análisis del nuevo paquete normativo digital”. “Hubo una voluntad de que fuera una norma en desarrollo para poder incorporar cambios”, añade.
La interrelación entre el RGPD y el RIA
Además de la adaptabilidad al cambio, es importante comprender en profundidad estas legislaciones y las diferencias que soportan. Por ello, Lucía Arriola García, Abogada Senior en LKS Next Legal, ha clarificado que el “RIA no afecta al RGPD (sin perjuicio de su artículo 10.5 y 59)”, y no “altera las obligaciones de proveedores y responsables del despliegue en su rol de Autoridades Europeas de Supervisión (ESAs) y normas técnicas de regulación (RTS)”. Aun así, existen diferencias latentes entre ambos reglamentos, sobre todo al hablar de biometría.
El RGPD la define como el “tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona”. El RIA, por su lado, refiere el “tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física”, omitiendo así la condición del reconocimiento del individuo y poniendo peso sobre el tratamiento de datos en sí mismo.
Otro aspecto que diferencia ambos reglamentos es la atención que el RIA da a la capacidad de la IA para detectar emociones. Un hecho que va aparejado a su prohibición en casos de uso en espacios de trabajo y/o monitoreo; aunque en diversas aplicaciones pueda entrar en la tipificación de alto riesgo. Para la elaboración de perfiles, sin embargo, no importa la situación: está prohibido en cualquiera de los casos.
Otros aspectos donde pueden hallarse diferencias son la evaluación de impacto sobre los Derechos Fundamentales y el entrenamiento de datos de modelos de IA.
15 años de APEP
El Congreso de APEP sigue demostrando ser un referente en todo lo concerniente a los cambios y la puesta en común de conocimiento legal y tecnológico. La Asociación es experta en afrontar transformaciones culturales dentro del mundo del dato desde su fundación en el año 2009. Así lo demuestra su exitoso paso por eventos tan disruptivos como la llegada del RGPD en el año 2018, que provocó el abandono de colaboradores de la asociación por el agotamiento que supuso; tal y como se ha narrado en la última mesa de la tarde, titulada “15 años de APEP”.
En ella, todos los presidentes habidos hasta la fecha han hecho un repaso de sus memorias en el cargo y su visión del panorama presente en materia de protección de datos. Marcos Judel, el actual presidente, ha pronosticado que la nueva Comisión no detendrá la producción legislativa, a pesar de la amplia producción de leyes que la Comisión Von Der Leyen ha llevado a cabo. “Vendrá más y más normativa. Pero, si pudimos con el RGPD, podremos con mucho más”.
