NAHIR SÍO
Mercantil
El sector jurídico, conocido por su complejidad y evolución constante, se encuentra actualmente en un dilema debido al rápido avance tecnológico. Entre los desarrollos más significativos está la incorporación de la inteligencia artificial (IA), innovación que mejora la eficiencia mediante el análisis de una gran cantidad de datos. Por esa misma razón, plantea también retos en cuanto al cumplimiento de la normativa sobre la protección de datos.
En este sentido, la IA es una rama de la informática cuyo objetivo es diseñar tecnología que simule la inteligencia humana con algoritmos y sistemas especializados, mediante el manejo de grandes volúmenes de datos personales que requieren una atención rigurosa. Por ello, es fundamental para la IA encontrar un equilibrio entre la minimización del tratamiento de datos personales, el cumplimiento de la normativa de aplicación y la necesidad de recopilar datos suficientes para garantizar resultados de los sistemas de IA.
Entre la normativa más relevante que regula la protección de datos en el ámbito de la IA, se encuentran el Reglamento General de Protección de Datos (RGPD) y el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, de Inteligencia Artificial (“RIA”), publicado en el Diario Oficial de la Unión europea el 12 de julio de 2024 y que entra en vigor el 2 de agosto de 2024. No obstante, su aplicación no será inmediata, ya que se hará efectiva dos años después, el 2 de agosto de 2026, con algunas excepciones: a partir del 2 de febrero de 2025 serán aplicables las disposiciones generales y las prácticas de IA prohibidas que se detallan a continuación (ii) A partir del 2 de agosto de 2025 serán aplicables las sanciones y (iii) a partir del 2 de agosto de 2027 serán de aplicación las disposiciones de aplicación a los sistemas clasificados de “alto riesgo”.
Uno de los aspectos esenciales del RIA es que se basa en un enfoque basado en el “riesgo” que puede implicar para las personas. Así, en el artículo 5 y siguientes regula: los sistemas de IA prohibidos (ejemplos: predicción de potencial criminalidad de los ciudadanos o la creación de bases de datos de reconocimiento facial masivo) los sistemas de alto riesgo, de riesgo limitado y de riesgo mínimo y en función de la clasificación del sistema se establecen diferentes tipos de obligaciones.
El RIA establece estrictos requisitos para los sistemas de IA clasificados como de alto riesgo, utilizados en sectores como la salud, finanzas, centros educativos o seguridad pública, entre otros. Entre estas nuevas medidas, introduce la supervisión humana en las áreas mencionadas anteriormente, de manera que, si la IA por sus algoritmos matemáticos cometiese un error, sufriese un ataque informático o tomase una decisión incorrecta o discriminatoria, el humano puede intervenir para intentar solucionar el problema cuanto antes con las mínimas consecuencias posibles. Asimismo, el RIA impone obligaciones específicas de transparencia para los responsables de los sistemas de IA a fin de garantizar a los usuarios medidas de protección. Esto implica, entre otros, que los usuarios deben ser claramente informados cuando estén interactuando con sistemas automatizados como chatbots o asistentes virtuales y cuando haya contenido artificial generado por la IA, ya sea audio, vídeo o texto.
Resulta evidente la dificultad a la que se enfrentan las organizaciones para cumplir con estas normas tan estrictas, en materia de IA.
No obstante, a continuación, se detallan una serie de medidas que es conveniente que las organizaciones que utilicen sistemas de IA que traten datos personales tengan en cuenta:
- Realizar una evaluación previa que documente la base legal que justifica el uso de datos personales en el sistema de IA
- Verificar que la recopilación de los datos cumple la normativa de aplicación
- Desarrollar mecanismos de transparencia
- Garantizar a los titulares de datos los procedimientos para la gestión de sus derechos de acceso, rectificación, eliminación, oposición…
- Realizar una evaluación de impacto de protección de datos personales
- Implantar un sistema de gestión de riesgos durante el ciclo de vida del sistema de IA
- Elaborar documentación técnica del sistema y mantenerla actualizada
- Garantizar en todo momento la supervisión humana del sistema de IA en cuestión.
Si bien el RIA dispone que los estados miembros de la UE deben establecer el régimen de sanciones aplicable a las infracciones, también establece la imposición de multas por infracciones, con sanciones que pueden llegar hasta los 35 millones de euros o el 7% del volumen de negocios mundial total de una empresa.