La irrupción de la inteligencia artificial generativa, con modelos como ChatGPT a la cabeza, ha transformado radicalmente el panorama tecnológico y empresarial. Sin embargo, esta revolución no está exenta de desafíos, especialmente en lo que respecta a la protección de datos personales. Recientemente, la Agencia Española de Protección de Datos (AEPD) ha intensificado su escrutinio sobre ChatGPT, una situación que, más allá de los detalles de la investigación, pone de manifiesto una cuestión fundamental: la necesidad imperante de que los sistemas de IA operen en estricto cumplimiento con la normativa de protección de datos y el emergente Reglamento de Inteligencia Artificial de la Unión Europea.
La investigación a ChatGPT no es un hecho aislado, sino un reflejo de la creciente preocupación por cómo los sistemas de IA manejan la información personal. La razón principal de este escrutinio radica en la propia naturaleza de estos sistemas: la IA generativa aprende y evoluciona a partir de grandes volúmenes de datos, que pueden incluir datos personales. Y cuando un sistema trata datos personales —ya sea porque los utiliza en su entrenamiento, porque procesa entradas del usuario, o porque genera resultados que afectan a personas identificables— entran en juego todos los principios y obligaciones del Reglamento General de Protección de Datos. Y es que, precisamente, el RGPD establece desde 2018 un marco normativo sólido y exigente, aplicable a cualquiera que trate datos personales: desde la multinacional más innovadora hasta la pyme más modesta.
En este marco, ya sabemos que no basta con cumplir formalmente. El RGPD exige una actitud proactiva y preventiva por parte de quienes diseñan, desarrollan o ponen en marcha soluciones basadas en datos personales. La protección de datos desde el diseño y por defecto no es una etiqueta decorativa, sino una obligación legal que implica integrar medidas técnicas y organizativas desde las primeras fases del proyecto. Asimismo, la evaluación de impacto en protección de datos es un instrumento clave cuando se introducen tecnologías nuevas o tratamientos innovadores que pueden afectar significativamente a los derechos de las personas.
A este contexto se suma ahora el Reglamento de Inteligencia Artificial de inminente aplicación completa, que establece requisitos específicos para los sistemas de IA según el nivel de riesgo que impliquen y que complementa al RGPD, y en el caso de modelos que tratan datos personales —especialmente si son considerados de alto riesgo— obliga a una doble verificación: por un lado, el cumplimiento de obligaciones específicas como la evaluación de riesgos, la trazabilidad, la supervisión humana o la documentación técnica de los sistemas de IA; por otro, la compatibilidad con los principios de protección de datos; por otro,
Por tanto, cuando se trate de sistemas de inteligencia artificial que entren en el ámbito de aplicación del Reglamento de IA, especialmente aquellos clasificados como de alto riesgo, deberán cumplirse una serie de obligaciones específicas que van más allá del marco del RGPD. Entre ellas, destaca la obligación de realizar (por parte del desarrollador) y revisar (por parte del usuario del despliegue) una evaluación de impacto en los derechos fundamentales, que permita identificar y mitigar los posibles efectos adversos del sistema IA sobre las personas; garantizar elementos como la trazabilidad del sistema, la supervisión humana efectiva, la calidad del conjunto de datos utilizado y la disponibilidad de documentación técnica suficiente para acreditar el cumplimiento. Todo ello con un enfoque preventivo, orientado a reforzar la seguridad jurídica y la confianza en el despliegue de tecnologías cada vez más influyentes y al alcance de todos y hasta de forma gratuita.
Ahora bien, cuando estos sistemas IA utilizan datos personales —ya sea en su fase de entrenamiento, durante su funcionamiento o en los resultados que generan— entran también en juego las obligaciones generales del RGPD. En estos casos, será necesario asegurar que los datos son exactos, pertinentes y limitados a lo estrictamente necesario para la finalidad del tratamiento. Habrá que establecer medidas de seguridad técnicas y organizativas adecuadas, garantizar el ejercicio efectivo de los derechos de los interesados —como el acceso, la rectificación o la oposición— y aplicar los principios de protección de datos desde el diseño y por defecto. Asimismo, deberá existir una base jurídica válida para cada tratamiento concreto, y modelos de gobernanza que integren la dimensión jurídica del dato personal como un eje central del sistema.
El creciente interés de las autoridades de control por los sistemas de IA generativa —como demuestra el caso de ChatGPT— refleja una evolución natural del marco regulador hacia una mayor vigilancia del uso de estas tecnologías.
Cumplir con el RGPD y con el Reglamento de IA no debería entenderse como una carga para el sector tecnológico, sino como una condición imprescindible para su consolidación. Las empresas que integren estos requisitos desde el diseño, que documenten adecuadamente su cumplimiento y que asuman una responsabilidad activa, no solo minimizarán riesgos legales o reputacionales, sino que también se posicionarán como referentes de una innovación responsable, sostenible y plenamente alineada con los valores europeos. Esa apuesta por la legalidad y la confianza es, además, una ventaja competitiva en un mercado cada vez más exigente.
Ahora bien, el equilibrio es fundamental: una aplicación excesivamente rígida de las normas y un exceso de burocracia podría acabar asfixiando el desarrollo tecnológico en Europa, en un momento en que la competencia global no da tregua. La clave está en aplicar la regulación con inteligencia, reforzando los derechos fundamentales sin frenar la capacidad de innovar.
Artículo publicado por Marcos Judel en Diario La Ley:
Lea el artículo completo [+]
La tecnología blockchain emergió como una herramienta revolucionaria con aplicaciones que van mucho más allá de las criptomonedas, como por ejemplo los smart contracts que permiten automatizar el cumplimiento de acuerdos sin intermediarios, la gestión de cadenas de suministros, la gestión de derechos de autor o los sistemas de voto electrónico para ciertas operaciones. Su característica principal es que se trata de un sistema distribuido, algo que ofrece ventajas importantes como la seguridad y la inmutabilidad de los registros, ya que ya que los datos no se almacenan en un único servidor, sino que se replican en múltiples nodos de la red. De esto ya he hablado en otras entradas del blog.
Al no existir una autoridad central que controle la blockchain, surgen dudas o impedimentos sobre quién es responsable en caso de fallos o usos indebidos, o en cómo aplicar las normas de los estados cuando todo está tan distribuido, como por ejemplo, la protección de datos personales en las redes blockchain. Es un oxímoron, pues mientras que la blockchain garantiza la inmutabilidad de los datos, el Reglamento General de Protección de Datos establece derechos como la rectificación o la supresión.
La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una nota técnica titulada “Blockchain y protección de datos: hacia un tratamiento compatible con el RGPD”, en la que analiza cómo alinear el uso de la tecnología blockchain con los requisitos del RGPD así como proporcionar pautas para diseñar soluciones que cumplan con las normativas europeas en materia de privacidad y protección de datos. O por lo menos lo intenta.
Según la Agencia, las soluciones basadas en blockchain deberían implementar estrategias técnicas como el cifrado, el uso de hashes o referencias externas, para limitar el acceso a los datos personales de forma preventiva sin comprometer la integridad del sistema. Es decir, que la mejor solución es evitar que los datos personales se incluyan directamente en la blockchain; así, no habrá necesidad de suprimir ni modificar nada. O como diría mi abuela: muerto el perro, se acabó la rabia.
Sin embargo, en su análisis, la AEPD también admite que estas soluciones no resuelven completamente las tensiones entre la tecnología blockchain y el RGPD, precisamente por que estas medidas deberían aplicarse al más puro estilo del principio de la privacidad desde el diseño y por defecto. Para ello, la Agencia sugiere explorar esquemas de gobernanza que permitan asignar roles claros dentro de la red blockchain.
En mi opinión hay dos problemas claros de difícil solución. El primero es que la blockchain es descentralizada desde el diseño y por defecto y tratar de controlarla legalmente con las herramientas actuales no va a servir de nada sin una regulación especial al efecto. Por supuesto, no es algo fácil y hay que pensarlo bien, pues cuanta más regulación existe, más lejos de ella se montan estas redes, lo que supone un riesgo para los derechos y libertades de las personas, y también para su patrimonio. Actualmente, localizar a los titulares de algunas redes o sistemas que usan esta tecnología es tremendamente complicado cuando se quieren perseguir estafas o robos con criptomonedas, no digamos ya para rectificar un dato personal.
El segundo es el impacto de la Inteligencia artificial en la blockchain. De hecho, creo que la AEPD no ha considerado que la IA que puede complicar aún más las cosas. En los últimos años, la inteligencia artificial está permitiendo desarrollar aplicaciones cada vez más sofisticadas en el ámbito del blockchain, como el análisis de grandes volúmenes de datos generados por estas infraestructuras, facilitando la extracción y análisis de datos personales dentro de una red blockchain, aumentando los riesgos de reidentificación, incluso en datos que inicialmente han sido cifrados o anonimizados.
En mi opinión, la nota técnica de la AEPD representa un avance para abordar los retos que plantea la blockchain en el cumplimiento del RGPD pero pone de manifiesto que aún estamos ante un terreno complejo y abierto. Siempre he defendido que el equilibrio entre innovación y cumplimiento normativo es crucial para impulsar la competitividad y el desarrollo de los negocios, pero lo cierto es que la blockchain es mayoritariamente utilizada por personas que invierten o confían en sistemas y redes poco adecuadas, ubicadas en países como Singapur, Hong Kong, las Islas Cook o San Vicente y las Granadinas u otros chiringuitos financieros, entre otros motivos, por la falta de incentivos para desarrollarse en Europa y debido a su hiperregulación, habría que atajar esta situación y puede que solo a base de legislar y sancionar no sea el camino adecuado. El equilibrio es complicado, pero no imposible.
La inteligencia artificial (IA) lleva más de tres décadas transformando sectores clave, desde la industria y las telecomunicaciones hasta la medicina y la educación. Sin embargo, el auge de la IA generativa y su reciente democratización han supuesto una revolución, planteando no solo nuevas oportunidades, sino también desafíos inéditos en términos de regulación y cumplimiento normativo. Gracias a la publicación del Reglamento IA de la Unión Europea (Reglamento 2024/1689 de 13 de junio de 2024) el pasado 12 de julio en el Diario Oficial de la UE, contamos con normas armonizadas para garantizar un uso ético y seguro de los sistemas de inteligencia artificial. Este marco regulatorio afecta tanto a desarrolladores y comercializadores de IA como a cualquier empresa que utilice estas tecnologías: de ahí que sea crucial entender los puntos clave de esta normativa y cómo pueden impactar en los negocios, para poder tomar las decisiones adecuadas desde este mismo momento.
El Reglamento IA tiene como objetivo establecer un estándar legal común para asegurar un uso ético y seguro de los sistemas de inteligencia artificial (con especial énfasis en aquellos que presenten un riesgo para la salud, la seguridad o los derechos fundamentales) desde su desarrollo, comercialización y utilización. De hecho, el legislador busca un enfoque equilibrado que garantice que la tecnología se utilice de manera responsable sin eliminar su potencial beneficio, en una industria en auge donde Europa no puede permitirse quedar por detrás de otras potencias.
El RIA es una norma compleja, llena de excepciones y salvedades, por lo que abordarla con detalle en un post es imposible. De todas formas, a modo de resumen, (la norma tiene 180 considerandos, 113 artículos, 13 anexos y 419 páginas) quiero destacar varios aspectos clave a tener en cuenta:
En primer lugar, se trata de una norma de producto, es decir, sus obligaciones principales recaen en los «sistemas basados en máquinas» de IA, con el fin de preservar derechos de las personas, la democracia, el Estado de Derecho y la protección del medio ambiente, mediante obligaciones a fabricantes, distribuidores y usuarios. Para favorecer esta protección, se ha establecido un ámbito de aplicación tremendamente amplio, pues se aplicará también a sistemas IA creados o desplegados fuera de la UE cuando se introduzcan en nuestro mercado único europeo, o cuando cuando los resultados de salida generados por el sistema de IA se utilicen en Europa.
En segundo lugar, se prohíben directamente determinados sistemas de IA por considerarlos contrarios a los valores democráticos de la UE (aunque con algunas excepciones). Esto incluye el empleo de técnicas subliminales para alterar el comportamiento de una persona de manera perjudicial, el tratar de aprovechar vulnerabilidades de grupos específicos o el uso por autoridades públicas para evaluar o clasificar la fiabilidad de personas según su conducta social, con posibles consecuencias negativas. El uso de estos sistemas puede conllevar multas de hasta 30 millones de euros o, en el caso de empresas, de hasta el 6% de su volumen de negocio total anual mundial del ejercicio financiero anterior. ¡Y las multas del RGPD nos parecían altas!
Además, el Reglamento IA especifica una serie de sistemas de alto riesgo sobre los que recaen obligaciones específicas. Podríamos englobarlos en dos categorías: los sistemas consistentes en componentes de seguridad de productos, o que son productos en sí mismos, como los integrados en máquinas, juguetes, ascensores, equipos radioeléctricos, equipos de embarcaciones de recreo, productos sanitarios, automoción o aviación, entre otros; y los que se consideran de alto riesgo por su finalidad, como los que se utilizan para la identificación biométrica y la categorización de personas físicas, la determinación del acceso o la asignación de personas a centros de educación o formación, la evaluación de acceso, la gestión, evaluación, contratación o despido del personal, así como aquellos relacionados con infraestructuras críticas, la aplicación de leyes, la administración de justicia o el acceso a servicios públicos esenciales, entre otros. Para todos quienes están desarrollando o utilizando estos sistemas, la norma prevé una amplia batería de obligaciones.
También se establecen normas para el resto de los sistemas de IA, tanto comunes como aquellos que puedan implicar un riesgo sistémico, basadas en obligaciones de transparencia, evaluación de riesgos y protección de ciberseguridad, así como un continuo recordatorio del cumplimiento del Reglamento General de Protección de Datos cuando se emplee información personal en dichos modelos o sistemas, o tengan incidencia en su entrenamiento o uso posterior.
Destaca también que la norma establece mecanismos de control, vigilancia y supervisión del mercado, así como obligaciones de colaboración con las autoridades de control. Este punto va a resultar complejo en la práctica, pues en España habrá varios organismos con competencias en la materia, dependiendo del tipo de sistema IA que se use y su finalidad. De forma general, la supervisión corresponderá a la AESIA, con sede en A Coruña; pero en función del sistema IA, su composición, finalidad y uso, podrán entrar en juego otras agencias y reguladores, como la AEPD en lo concerniente a datos personales, la Agencia Española de Medicamentos y Productos Sanitarios o en la Agencia Estatal de Seguridad Aérea, por ejemplo.
A modo de conclusión, me gustaría destacar dos ideas. En primer lugar, el Reglamento IA exige un enfoque integral que permita evaluar el grado de implicación de la inteligencia artificial en las organizaciones. Para ello, será imprescindible establecer modelos de gobernanza de IA a nivel interno que integren aspectos técnicos, procesos y organización. Esto implica no solo inventariar todos los sistemas que se empleen (incluidos aquellos integrados en aplicaciones de terceros), sino también analizar su interacción con normativas clave como la de protección de datos, la propiedad intelectual o la reciente Directiva (UE) 2024/2853, sobre responsabilidad por daños causados por productos defectuosos. Solo mediante un modelo de gobernanza interna adecuado, las organizaciones podrán identificar, gestionar y mitigar los riesgos asociados a estos sistemas, sentando así una base sólida para un uso responsable y estratégico de la inteligencia artificial.
La segunda, y quizás la más importante, es aprender de la experiencia de la entrada en vigor del Reglamento General de Protección de Datos en 2016 y su plena aplicación en 2018 y es que este nuevo Reglamento IA será de plena aplicación a los dos años, el 2 de agosto de 2026. Y dos años pasan muy rápido.
En este sentido, resulta imprescindible participar en espacios donde se debate y analiza esta norma en profundidad, como a través de los foros y eventos de la Asociación Profesional de Profesionales de la Privacidad (APEP), o en actualizarse con programas formativos como el curso que estamos impartiendo junto a Aranzadi La Ley. Reforzar el entendimiento técnico y estratégico será esencial para que empresas y profesionales logren convertir esta regulación en un aliado para la innovación y la confianza. Y como sucedió con el RGPD, los próximos años marcarán el ritmo de la transformación digital en Europa. Permítanme cerrar este post como terminé uno escrito el 29 de junio de 2017, sobre la inminente aplicación del RGPD: tempus fugit!
Artículo publicado por Marcos Judel en Channel Partner:
Lea el artículo completo [+]
Página 2 de 34«123...102030...»Última »
(0)
