De la protección de datos al reconocimiento biométrico: los grandes retos de la Oficina Europea de IA
La inteligencia artificial (IA) se encuentra en el corazón de una revolución tecnológica que promete transformar la sociedad tal y como la conocemos. Sin embargo, con grandes promesas vienen grandes responsabilidades.
¿Quién velará por el complejo desafío de la protección de datos personales? ¿Qué medidas se implementarán para garantizar que las tecnologías de IA se utilicen de manera segura y ética? ¿Quiénes definirán con exactitud conceptos tan heterogéneos como qué es considerado “rasgo de personalidad”? Un grupo de 140 personas, entre los que se incluyen abogados, expertos en políticas públicas y economistas, y con el Reglamento de IA bajo el brazo, se ha colocado en el punto de mira.
Hablamos de aquellos que conformarán la Oficina de IA creada por la Comisión Europea, que será efectiva desde el 16 de junio. Su misión, en líneas generales y a través de distintas unidades, es contribuir a la implantación, seguimiento y supervisión de los sistemas de IA, los modelos de IA de propósito general y la gobernanza de la IA.
La Oficina de IA creada por la Comisión Europea será efectiva desde el 16 de junio
Pero sobre el papel todo parece sencillo y la realidad es que tienen la difícil misión de aportar claridad sobre las muchas inconsistencias y retos de interpretación que el Reglamento de IA plantea, especialmente en su interacción con otras leyes y en particular con el Reglamento General de Protección de Datos (RGPD).
La primera cuestión importante en la relación entre el Reglamento de IA y el RGPD es la conexión entre la evaluación de impacto sobre la protección de datos (EIPD) del artículo 35 del RGPD y la evaluación de impacto sobre los derechos fundamentales (EIDF) que deben realizar los implantadores de sistemas de alto riesgo. El objetivo de la EIDF es identificar los riesgos específicos para los derechos de las personas y las medidas a tomar en caso de que estos riesgos se materialicen.
El objetivo de la EIDF es identificar los riesgos específicos para los derechos de las personas y las medidas a tomar en caso de que estos riesgos se materialicen
No siempre el responsable del tratamiento de datos es el mismo que el implementador de sistemas de IA. Por ejemplo, un proveedor de sistemas de IA puede ser responsable del tratamiento de datos y, por lo tanto, debe realizar la EIPD.
Sin embargo, si el proveedor controla un sistema de IA, las autoridades de protección de datos pueden considerarlo responsable del tratamiento de datos, o incluso responsable conjunto con la entidad que implanta el sistema de IA.
Por lo tanto, podemos encontrarnos ante obligaciones incompatibles entre sí, causando confusión y duplicidades en las evaluaciones de impacto y todavía no está claro cómo se asignarán las funciones y obligaciones finales.
Otra cuestión será esclarecer algunos conceptos clave del Reglamento. Si bien el Reglamento de inteligencia artificial de la UE sirve como eje crucial para garantizar que las tecnologías de IA se utilicen de forma segura, y para proteger a los ciudadanos de la UE contra la manipulación y otros daños potenciales, algunas partes del mismo son ambiguas y carecen de definiciones claras, lo que pone en peligro su eficacia.
Algunas partes del Reglamento son ambiguas y carecen de definiciones claras, lo que pone en peligro su eficacia
La vaga referencia a los “rasgos de la personalidad”, sin una definición operativa adecuada, abre la puerta a interpretaciones erróneas y a incoherencias en la aplicación.
De la misma forma, otros términos necesitan mayor claridad y definiciones estrictas para garantizar aplicaciones coherentes y éticamente sólidas: técnicas subliminales, estrategias de manipulación, acciones engañosas de los sistemas de IA, o la declaración de cumplimiento con el RGPD (que carece totalmente de sentido, dado que el RGPD es una regulación basada en el riesgo y no aspira al cumplimiento total, sino a la identificación y mitigación de riesgos).
La regulación de los sistemas de reconocimiento biométrico con arreglo a los artículos 5, 6 y 26 del Reglamento también presenta importantes retos técnicos y de interpretación.
El Reglamento sobre IA distingue entre la aplicación de datos biométricos en tiempo real y a posteriori, refiriéndose a sistemas en los que la comparación de rostros se produce instantáneamente y en los que el reconocimiento se produce más tarde.
La regulación de los sistemas de reconocimiento biométrico también presenta importantes retos técnicos y de interpretación
Este marco jurídico presenta algunos problemas ya señalados por el Dictamen conjunto del EDPB y el EDPS (5/2021), dado que dicha distinción es inútil desde la perspectiva de los derechos fundamentales. El carácter intrusivo del tratamiento no depende siempre del momento en que se realiza la identificación o el reconocimiento.
Además, en el ámbito de la biometría aparecen de nuevo inconsistencias graves entre el Reglamento de IA y el RGPD: si bien la identificación y/o verificación biométrica no remota con participación activa del interesado se considera de riesgo bajo o inexistente por el Reglamento de la IA, tanto el Comité Europeo de Protección de Datos como la Agencia Española de Protección de Datos, en su interpretación del RGPD, vienen considerando -y sancionado acordemente- tales prácticas cómo prohibidas salvo excepciones.
Igualmente, la categorización biométrica de un individuo está a grandes rasgos permitida por el RGPD; pero el Reglamento de IA la clasifica, en función de los datos usados, como de riesgo alto o directamente como un sistema prohibido.
Por último, el Reglamento de IA no contiene disposiciones claras, como el RGPD, sobre la colaboración entre oficinas reguladoras nacionales y el concepto de “autoridad supervisora principal” para los casos en que puedan producirse inspecciones, requerimientos o sanciones a entidades de un país tercero por parte de autoridades distintas de las del país donde dicha sociedad tenga su matriz.
El Reglamento de IA no contiene disposiciones claras sobre la colaboración entre oficinas reguladoras nacionales y el concepto de “autoridad supervisora principal”
Ello abre la puerta a dobles sanciones y, en general, a una inseguridad jurídica que no facilitará la introducción y desarrollo de sistemas de IA seguros en Europa.
En conclusión, la nueva Oficina Europea de inteligencia artificial y las oficinas nacionales, como la precozmente constituida Agencia Española de Supervisión de la inteligencia artificial con sede en A Coruña, tienen ante ellas una ardua labor.
Con toda seguridad iremos a un contexto similar al de las agencias de protección de datos
Si bien con toda seguridad iremos a un contexto similar al de las agencias de protección de datos, en las que estas, con mejor o peor pericia, desarrollarán y aportarán claridad por medio de guías y a través su actividad inspectora y sancionadora, el contexto actual es el de muchos grises.
La claridad en la regulación, la coordinación entre entidades y la resolución de ambigüedades legales serán cruciales para avanzar hacia un marco regulatorio efectivo. La rapidez con la que se logren estos objetivos será, sin duda, el mayor reto de todos.
*** Guillem València, abogado Santiago Mediano Abogados.