Una GUARIDA NORMATIVA para la Inteligencia Artificial

Todo objeto cuyo fin ignoramos, es provisoriamente monstruoso

Jorge Luis Borges

Por Oscar Niss *

EL CONTEXTO

A contramano del mundo, la Argentina no regularía la Inteligencia Artificial (IA). «Argentina proporcionaría a las empresas un seguro contra el aumento de los riesgos regulatorios en Estados Unidos y Europa«, dice el Financial Times[1]. Milei se entusiasma en convertir a la Argentina en un polo de desarrollo de Inteligencia Artificial, olvidando los dichos de libertades individuales y pretendiendo experimentar en estas tierras lo que Europa y Estados Unidos regulan.

El principio precautorio en el contexto de tecnologías disruptivas como la IA, implicaría tomar medidas preventivas y proactivas para mitigar riesgos potenciales sobre violación de normas vinculadas a la protección de datos personales, con una probabilidad de ocurrencia que hoy desconocemos.

En ese sentido, disponer del marco normativo soslayando aspectos tecnológicos sobre asuntos tan delicados, podría comprometer aspectos inherentes a la persona, como son los derechos personalísimos. Tengamos presente, que estos, están tan íntimamente unidos a la persona, que nacen con ella y no pueden separarse en toda su existencia, a riesgo de perderla o denigrarla. A ellos, están estrechamente vinculados los atributos de la personalidad, la fecha de nacimiento y el sexo al momento del nacimiento. Desde el momento en que una persona nace, tiene derecho a obtener una identidad, que incluye su nombre, apellido, fecha de nacimiento, sexo y nacionalidad entre otros. Además, la inscripción del acta de nacimiento hace fe del hecho, fecha, hora y lugar del nacimiento, así como de la identidad y filiación de la persona inscrita. Esos atributos, aunque no tienen contenido económico, cuando alguien los daña o priva al titular de estos derechos, este o incluso sus herederos pueden reclamar una compensación al que los vulneró, incluso monetaria.

En Europa, en mayo de 2018, entró en vigor el Reglamento (UE) 2016/679[2] del Parlamento Europeo y del Consejo relativo a la protección de las personas respecto al tratamiento de datos personales y a la libre circulación de estos datos. Este reglamento, más conocido como el Reglamento General de Protección de Datos (RGPD), establece normas estrictas para la protección de datos personales en la Unión Europea. Además, se promulgó la Directiva (UE) 2016/680[3], que se aplica al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales. Ambas regulaciones buscan proteger los derechos fundamentales de los ciudadanos y garantizar la privacidad en esta era de información digital.

A lo largo del texto, el Reglamento expresa que se “…respetan todos los derechos fundamentales y observan las libertades y los principios reconocidos en la Carta conforme se consagran en los Tratados, en particular el respeto de la vida privada y familiar, del domicilio y de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingüística”.

Por otras latitudes, en Estados Unidos, la protección de datos personales es un escenario complejo. A diferencia de la Unión Europea, no existe una única ley federal que regule la privacidad de los datos. En cambio, las normas y reglas para el tratamiento de datos varían entre estados, lo que implica diferentes niveles de seguridad y exigencias dependiendo de dónde opere cada empresa[4], donde se radique, donde despliegue infraestructura. A modo de ejemplo, citamos dos de ellas:

Ley de Protección y Privacidad de Datos de Estados Unidos (ADPPA): Aunque actualmente es solo un proyecto de ley, su objetivo es regular cómo las organizaciones conservan y utilizan los datos de los consumidores.

California Consumer Privacy Act (CCPA): Esta ley, en vigor desde 2020, otorga a los consumidores control sobre cómo se utiliza su información personal en línea, similar al Reglamento General de Protección de Datos (RGPD) en la Unión Europea.

Algo parecido, ocurre en el resto de los países, como hasta hoy en Argentina incluso. Sin embargo, hacemos mención de los Estados Unidos de Norteamérica y de La UE, por ser de los que más tempranamente tomaron el tema. Por otro lado, no se puede soslayar la problemática particular que se da en el país del norte dado que la mayoría de las empresas que sufren de compulsión por la ingesta masiva de datos, son de origen de ese país. Incluso, apoyados en sus inicios de manera directa por el gobierno, las famosas empresas de garaje, que distan de ser de garaje.

Recordemos el escándalo de espionaje electrónico, que estalló en 2013 cuando The Washington Post y el británico The Guardian, vincularon a Facebook – ahora Meta – y Google y a otras siete empresas con un programa secreto de recopilación de información denominado Prism, que permite al FBI y a la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) vigilar a internautas de todo el mundo para prevenir ataques terroristas. Google nos espía e informa al Gobierno de Estados Unidos dijo Julian Assange. Washington nos espía. Assange en esos mismos años dejaba claro que  había una “larga historia de colaboración entre el complejo militar-industrial de las fuerzas armadas de Estados Unidos y el Silicon Valley. Cualquier persona que haya investigado sobre el Silicon Valley sabe que eso es así”.

En segundo lugar, decía Assange “estas nuevas compañías, como Google establecieron una estrecha relación con el aparato de Estado en Washington, en particular con los responsables de la política exterior”. Declaraciones hechas en 2013 que paga aun hoy muy caras.

Ciertamente, hace pocos días atrás, se cumplieron cinco años de la reclusión de Julian Assange en Belmarsh, una prisión de alta seguridad de Reino Unido. Mientras él lucha contra la solicitud de extradición de las autoridades de Estados Unidos, la secretaria general de Amnistía Internacional, Agnès Callamard, ha declarado:

Julian Assange se atrevió a sacar a la luz revelaciones de presuntos crímenes de guerra cometidos por Estados Unidos. Es inaceptable que se le hayan robado años de vida. Continúa recluido arbitrariamente en Reino Unido por cargos que obedecen a motivos políticos, presentados por Estados Unidos por revelar sus presuntos actos indebidos. Las autoridades de Estados Unidos no han llevado a cabo una investigación completa y transparente sobre sus presuntos crímenes de guerra. En cambio, han optado por actuar contra Assange por publicar información que se le había filtrado, aunque era de interés público. El enjuiciamiento en curso de Assange constituye una burla de las obligaciones de Estados Unidos en virtud del derecho internacional y de su compromiso declarado con la libertad de expresión.”[5]

N.R. Al publicar esta nota Julian Assange recuperaba su libertad, salió este lunes de la prisión británica en la que estaba recluido y abandonó Reino Unido tras llegar a un acuerdo con el gobierno de EE.UU. que le permitirá evitar ser extraditado a este último país.

Es claro, que Estados Unidos, tiene el problema de normar contra empresas partner del gobierno – sea cual sea -. ¿Quizá por ello buscan paraísos normativos? Seguramente, así resolverían el problema como caballeros.

EL PROBLEMA DE RADICACIÓN

Empresas tecnológicas como Meta, Google, Microsoft y otras que hacen de la ingesta de datos su razón de ser, enfrentan desafíos particulares en términos de regulación y cumplimiento de normativas de protección de datos personales y datos sensibles a nivel global. En ese sentido el impacto de la localización de las empresas, acorde a la Regulación de Datos, va a tener distinto tratamiento e incidencia en el corebusiness de cada una de ellas.

Veamos el problema de la Jurisdicción y Legislación Local en los principales centros:

Estados Unidos: Como hemos visto, las leyes de protección de datos en EE.UU., ofrecen ciertos derechos a los consumidores, pero no tienen el alcance y la rigidez del GDPR europeo. La regulación Federal en EE.UU. es menos estricta y fragmentada en comparación con otras regiones.

Europa: Tal lo explicado, el GDPR es una de las normativas más estrictas y completas en cuanto a protección de datos. Este reglamento tiene un alcance extraterritorial, lo que significa que cualquier empresa que maneje datos de ciudadanos europeos debe cumplir con sus normas, independientemente de su ubicación, o bien radicarlos en jurisdicción de la UE. Además, la publicación del Real Decreto 311/2022, del 3 de mayo de 2022, por el que se regula el Esquema Nacional de Seguridad (ENS), profundiza aun más el control del dato. El trabajo del CCN-CERT BP/31 (Recomendaciones de Protección del Dato en la Nube) toma el concepto de Soberanía Digital diciendo que varía en su definición, pero que en esencia trata de indicar que el dato está sujeto a las leyes y estructuras de gobernanza del país y de la organización propietaria del dato. Se centra en el control sobre el dato, su ubicación y el acceso al mismo, la infraestructura, el software y el cumplimiento regulatorio necesario para crear y operar el mundo digital.

Por lo cual, para las empresas ingestadoras se presenta un escenario por demás complejo en cuanto a los desafíos de Cumplimiento:

   – Las empresas como Meta y Google deben cumplir con múltiples regulaciones dependiendo de dónde operen y de dónde sean los usuarios cuyos datos manejan. Esto crea una necesidad de adaptar políticas y prácticas internas para asegurar el cumplimiento en distintas jurisdicciones.

   – La diversidad en las regulaciones puede llevar a conflictos legales y a la necesidad de establecer estrategias globales que se alineen con los requisitos locales. Por ejemplo, las leyes europeas pueden requerir mayores niveles de consentimiento y transparencia en comparación con las leyes estadounidenses.

Además de la radicación y el problema de cumplimiento, surge el problema de la transferencia internacional de datos, a saber:

   – Las transferencias de datos entre países son un aspecto crítico. El Privacy Shield[6], que era el mecanismo para transferir datos entre la UE y EE.UU., fue invalidado en 2020, lo que obligó a las empresas a recurrir a otros mecanismos como las Cláusulas Contractuales Estándar (SCCs) para asegurar la legalidad de estas transferencias. Estas son cláusulas estandarizadas, aprobadas por la Comisión Europea, que permiten las transferencias de datos fuera del Espacio Económico Europeo (EEE) y su jurisdicción. Aquí estamos hablando de una suerte de soberanía territorial en el Ciberespacio, ¿Con fronteras en la infraestructura?. El artículo Un Ciberespacio de Interés Nacional de esta misma publicación, plantea la problemática.

   – Las empresas deben garantizar que los datos transferidos a servidores en EE.UU. (o a cualquier otro país fuera de la UE) mantengan el mismo nivel de protección que tendrían bajo el GDPR.

Estamos hablando de una suerte de soberanía territorial en el Ciberespacio…

En ese sentido, el incumplimiento y las infracciones a las normativas de protección de datos pueden resultar en sanciones severas. Por ejemplo, el GDPR puede imponer multas de hasta el 4% de la facturación anual global de una empresa, lo cual es un fuerte incentivo para el cumplimiento.

EL PROBLEMA TÉCNICO CON LA IA Y LA PROTECCIÓN DE DATOS

La IA añade otra capa de complejidad. Los sistemas de IA a menudo requieren grandes volúmenes de datos para entrenarse y funcionar eficazmente. Esto plantea preocupaciones adicionales:

1. Minimización de Datos: Las leyes de protección de datos suelen requerir la minimización de datos, es decir, recolectar solo los datos necesarios para un propósito específico. Las empresas deben equilibrar esto con las necesidades de la IA, que a menudo requiere grandes conjuntos de datos.

2. Transparencia y Explicabilidad: Los algoritmos de IA suelen ser opacos, lo que dificulta garantizar la transparencia y la capacidad de explicar cómo se utilizan los datos personales. Las regulaciones como el GDPR requieren que las empresas sean capaces de explicar las decisiones automatizadas.

3. Derechos del Usuario: Los individuos tienen derechos sobre sus datos personales, incluyendo el derecho a acceder, rectificar y eliminar sus datos. En el contexto de la IA, esto puede ser complejo de implementar, especialmente si los datos han sido utilizados para entrenar mediante Maching Learning (ML)[7] modelos de IA.

Y aquí, en el entrenamiento, es donde radica el principal problema. Esto es, los modelos, luego de entrenados, podrían dejar expuestos datos personales y datos sensibles y sin posibilidad de exigir reparación por parte del propietario del dato. Mucho menos podría procurarse protección o tutela por parte de los mismos, ni control en cuanto a su trazabilidad que delimite responsabilidades.

Si una ML captura o aprende a capturar datos sensibles de una persona y quedan expuestos por una o varias IA: ¿Además del posible daño a la persona, quién sería el responsable?

Sin duda es un tema complejo, que involucra múltiples actores y factores legales. La responsabilidad puede depender de varios elementos, incluyendo el contexto de la recolección de datos, la implementación de la tecnología y las leyes aplicables en la jurisdicción donde ocurrió el incidente.

Los desarrolladores y proveedores de la Tecnología de ML podrían ser responsables si hubiese fallos en el diseño, de manera que permita la captura y exposición de datos personales sin las adecuadas medidas de seguridad y privacidad; o bien si no se implementaron controles adecuados para prevenir el uso indebido de la tecnología. También, podrían ser responsables si no cumplen con las leyes y regulaciones de protección de datos aplicables; claro que esto dependerá de la jurisdicción dónde esté la empresa de ML.

Por otro lado, las empresas que implementan y utilizan esa tecnología de ML, que aprendió a recoger y recogió datos personales y sensibles, también pueden tener responsabilidad si no obtuvieron el consentimiento adecuado de los individuos cuyos datos fueron capturados, cosa imposible.

Pero también, en este mundo de la IA, se presentan casos – cada vez más -, de sistemas que utilizan los datos capturados por la ML y podrían contribuir a su exposición. Si además esto ocurre de manera transfronteriza, ¿Quién es el responsable?

Por último, no olvidemos a los intermediarios y proveedores de servicios, como plataformas en la nube, que podrían estar exponiendo datos personales y sensibles recolectados por una ML y siendo usados por diversos sistemas. Sistemas no probados, resultados desconocidos que ponen en riesgo los datos personales y sensibles de los ciudadanos, que debiera tutelar el Estado.

Al respecto, viene al caso recordar que en 2017, Mark Zuckerberg, al igual que hoy, ofreció al gobierno de Mauricio Macri desplegar Facebook Corporativo para tornar eficientes los procesos administrativos del Estado. En ese momento el gobierno aceptó la propuesta, que al igual que ahora pondría en riesgo los datos personales, sensibles de las personas y reservados de la nación. Los acontecimientos de la debacle del proyecto de Juntos por el Cambio, terminaron con la propuesta de  Zuckerberg. Que, por supuesto, era también un experimento en Argentina, que no se aplicó en ningún otro gobierno.

En conclusión, por un lado el entusiasmo por convertir a la Argentina en un polo de desarrollo de Inteligencia Artificial sin normativa que lo ordene, no sabiendo bien para qué, sin un plan; porque la ocupación en el sector es técnicamente plena, faltan en el país decenas de miles de recursos humanos en la industria del Software y el trabajo remoto es el uso y costumbre; por lo cual se parece más a un proyecto extractivista que a uno productivo.

Por otro lado, la necesidad de las grandes empresas recolectoras de datos, buscando navegar hacia guaridas o paraísos normativos, ya que la laxitud legal es la clave para su subsistencia y afanado deseo de expansión; al menos hasta que un nuevo paradigma tecnológico, provisoriamente monstruoso, irrumpa en el horizonte.

*Oscar Niss es Licenciado en Administración Pública, maestrando en Derecho Internacional y fue Subsecretario de Ciberdefensa en Argentina (2019-2023)

[1]https://www.infobae.com/economia/2024/06/11/el-financial-times-dijo-que-milei-quiere-convertir-a-argentina-en-un-polo-de-desarrollo-de-inteligencia-artificial/

[2]https://www.boe.es/doue/2016/119/L00001-00088.pdf

[3]La protección de datos en la UE – Comisión Europea – EuropeanCommission. https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_es

[4]Resumen de las legislaciones de privacidad de Estados Unidos – iubenda. https://www.iubenda.com/es/help/70366-resumen-de-las-legislaciones-de-privacidad-de-ee-uu

[5]https://www.amnesty.org/es/latest/news/2024/04/julian-assanges-five-year-imprisonment-uk-unacceptable/

[6]El acuerdo PrivacyShield (Escudo de Privacidad) entre la UE y los EUA reguló del 2016 al 2020 la transferencia de datos personales de la UE a los EUA. Dicho acuerdo fue declarado nulo en julio de 2020 (sentencia Schrems II), por no poder garantizar una protección de datos conforme al RGPD. Hasta la entrada en vigor de una nueva normativa, las empresas están sujetas a medidas más estrictas y, si quieren evitar ser sancionadas, deben mejorar la protección de datos en los EUA.

[7]El machine learning, el deeplearning y las redes neuronales son subcampos de la inteligencia artificial, el proceso de deeplearning puede ingerir datos no estructurados en su forma bruta.