Los expertos vaticinan una ola de reclamaciones por los usos indebidos de la IA

Los datos son el oxígeno de la inteligencia artificial (IA). Por ello, las compañías que desarrollan este tipo de herramientas y aplicaciones avanzan con la certeza de pisar un terreno normativo incierto y extremadamente peligroso. El caso de Grok, la inteligencia artificial de Elon Musk utilizada en la red social X para crear pornografía infantil, ha hecho saltar las alarmas. Ni los juristas, ni los abogados, ni los consultores, ni los reguladores tienen claro cómo solucionar la relación entre la protección de los datos personales y la IA. Ni siquiera llegan a imaginarse aún cuál es la envergadura del problema.

No obstante, en España, los expertos anticipan que la actividad sancionadora aumentará en los próximos meses —porque hasta el momento el ritmo sancionador ha sido moderado—. “El número de reclamaciones ha sido bajo”, reconoce Francisco Pérez Bes, adjunto de la Agencia Española de Protección de Datos (AEPD), en parte porque se trata de una tecnología aún emergente. Pero casos como el de Grok anticipan una mayor vigilancia de los organismos reguladores. La democratización de ciertas herramientas puede dar pie a las primeras reclamaciones en masa, que en opinión de Pérez Bes, podrían llegar este año.

Así lo expuso este martes en la presentación de la sexta entrega de la GuIA práctica de la Inteligencia Artificial, editada por Aranzadi LA LEY. Un trabajo que, precisamente, en su sexta entrega ahonda en las amenazas que la IA presenta en materia de privacidad y datos (puede descargar el trabajo de forma gratuita aquí).

En el encuentro, que tuvo lugar en Madrid, en la Escuela de Práctica Jurídica, un grupo de juristas debatió sobre el heterogéneo marco regulatorio para poner coto a la IA, una tecnología que corre más rápido que el legislador.

El diagnóstico de los ponentes es que existe una situación de bicefalia normativa, un contexto que no favorece la seguridad jurídica. En la Unión Europea hay dos reglamentos que acotan el poder de la inteligencia artificial. Por un lado, existe el Reglamento de Protección de Datos (RGPD), que entró en vigor en 2018; por otro, el Reglamento de Inteligencia Artificial (RIA), que surte efectos de forma escalonada hasta 2027.

La relación entre las dos normas, de envergadura mastodóntica, aún no queda clara. Ello retrasa una actividad sancionadora de mayor intensidad. A las compañías aún les asaltan multitud de interrogantes. ¿Cómo aplicar ambos reglamentos? ¿Uno excluye al otro? ¿Es lo mismo un delegado de protección de datos (DPO) que un chief AI officer (CAIO)? “Es cierto que el RGPD y el RIA convergen”, reconoció Pérez Bes durante su turno de palabra. En cuanto al debate sobre el papel de la Agencia Española de Inteligencia Artificial (AESIA), el representante de la AEPD recordó que “todo lo que tiene que ver con protección de datos está regido por el RGPD”. Y ello, apostilló, incluye la competencia sancionadora y de control.

Bicefalia legal

Moisés Barrio, letrado del Consejo de Estado y asesor en regulación digital, dejó claro que “el RIA no es una lex specialis”. Es decir, cumplir con el articulado del Reglamento de Inteligencia Artificial no implica, per se, estar al día con la normativa de datos.

Y las compañías no deben olvidarlo. Desde la perspectiva empresarial, Belén Arribas Sánchez, delegada de protección de datos y presidenta de Enatic, aseguró que muchas empresas buscan trabajar en entornos de sistemas de IA en los que “los datos estén completamente anonimizados”. Dicha demanda ha abierto interesantes oportunidades de negocio para los proveedores tecnológicos.

En la mesa redonda, Arribas mencionó algunos de los riesgos que deben encarar las compañías que negocien o desarrollen IA, como la colisión entre la minimización de datos y el uso de big data, los límites a los plazos de conservación o los usos imprevistos de la información. A lo que se suman amenazas ya tangibles. Enumeró algunas: “la atribución incorrecta de hechos a individuos o grupos”, la revelación “de información de terceros sin consentimiento” o el tratamiento de “datos de categorías especiales o sensibles”.

Gobernanza

La gobernanza interna fue otro punto clave en la conversación entre expertos. El RIA y el RGPD son dos normas con el mismo rango normativo, pero que “protegen bienes jurídicos diferentes”. También entraron en vigor en momentos distintos, explicó Alejandro Touriño, socio director del bufete Écija. Esta dicotomía legal ha provocado una respuesta organizativa fragmentada en las empresas, en algunos casos a trompicones. También confusión, constata el abogado, porque muchos desarrolladores no tienen claro cómo actuar. Sobre la relación entre el chief AI officer (CAIO) y el delegado de protección de datos (DPO), Touriño defendió que son figuras distintas pues “el DPO vela por la privacidad”, mientras que “el CAIO no es el responsable de un derecho, sino de una tecnología”. Por ello contar con un perfil puramente técnico para el rol de CAIO es un error, pues deja la puerta abierta a descuidar aristas legales.

Cristina Retana, directora de contenidos e innovación de Aranzadi LA LEY, también defendió que la gobernanza de la inteligencia artificial no es algo que pueda resolverse en una oficina. Más bien, remarcó que es una tarea que “involucra muchas áreas, requiere una alianza estable entre negocio, tecnología, equipo jurídico y de protección de datos”. Asimismo, la experta puso el acento en la importancia de operar con “sistemas entrenados exclusivamente con datos corporativos internos, bien gobernados y catalogados”, además de “en entornos seguros y auditables”.

Guía para abogados

La GuIA Práctica de la Inteligencia Artificial es una serie de publicaciones editada por Aranzadi LA LEY, donde cada dos meses expertos en tecnología y derecho abordan las espinas legales de la IA. En su sexta y última entrega, que acaba de ver la luz, el trabajo, que firma Moisés Barrio, aborda la problemática relación entre el RIA y el RGPD, en especial cuando hay en juego datos personales.