A quien nos lee,
si quieres apoyar nuestro trabajo te invitamos a suscribirte a la edición impresa.

SUSCRÍBETE

La información que las organizaciones usan para poner en marcha proyectos apoyados en la inteligencia artificial (IA)1 y gestionar el aprendizaje de las máquinas (machine learning)2 es vasta y diversa. En muchos casos puede sólo incluir datos estadísticos y anónimos, información generada a partir del funcionamiento de dispositivos autónomos o aquella generada por dispositivos conectados (internet de las cosas o IoT).

Sin embargo, también existen muchos casos en los que estas operaciones implican el uso de datos personales,3 así como su posible comunicación a otras organizaciones que también habrán de usarlos para numerosos fines, muchas veces desconocidos para su propio dueño, el titular de los mismos. Aquí entran en juego la protección de los datos personales y la privacidad de los usuarios.

Cuando el empleo de la IA —mediante un algoritmo específico que “asume” un rol decisivo en la toma de decisiones— implica la obtención, uso, divulgación o almacenamiento de datos personales,4 estamos —en términos de la normatividad en México— ante un tratamiento de datos personales y, por lo tanto, las organizaciones están obligadas a respetar el derecho humano a la protección de datos personales, en los términos que la Constitución federal y la legislación establecen. Precisamente por ello es necesario adoptar medidas para realizar un uso lícito de los datos personales en proyectos de IA.

 

La IA tiene diversos usos, que se hallan bastante extendidos en diversas actividades del quehacer humano. Por ejemplo, se emplea en servicios de traducción y reconocimiento de voz, motores de búsqueda y, por supuesto, en las plataformas de internet que usamos (como Facebook, YouTube, WhatsApp, Instagram, Twitter, Snapchat, entre otras) donde un algoritmo de IA es el encargado de mejorar nuestra experiencia de uso y de ofrecernos las funcionalidades características de estas plataformas.

Las plataformas de internet representan un segmento en el que la responsabilidad por el uso de los datos personales se torna compleja, máxime si tenemos en cuenta que los efectos y usos de las mismas pueden tener un carácter internacional en muchos casos, donde múltiples jurisdicciones y legislaciones pueden coincidir. También operan bajo términos de uso y políticas de privacidad propios, que pueden estar alineados o no con las principales tendencias regulatorias en la materia, y que el usuario —en la mayoría de las ocasiones— acepta de forma previa al uso de un servicio concreto. Ese ejercicio de aceptación, aunque poco consciente en muchos casos, implica ya la sujeción a las disposiciones de privacidad del servicio ofrecido, de tal suerte que al utilizar estos servicios el usuario acepta regularse bajo dichos términos.

En México podemos presumir que hay una ley ejemplar en la materia: la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Ésta y su reglamento tienen, por el momento, y contrariamente a otras regulaciones de las que hablaremos brevemente después, un ámbito de aplicación muy concreto que se sujeta a la territorialidad del tratamiento, pues es requisito esencial que la persona moral responsable de administrar el servicio esté establecida en México.

En consecuencia, en México, desde la perspectiva de la privacidad y protección a los datos personales del usuario estos servicios no se encuentran en muchas ocasiones totalmente protegidos por la LFPDPPP, sino bajo las propias reglas de operación de la plataforma si es que ésta no se encuentra establecida en México.

Ilustración: Estelí Meza

Esta problemática ha atraído bastante atención en los últimos años y resultó en la incorporación de un amplio ámbito de aplicación para el muy nombrado Reglamento de Protección de Datos Personales europeo (GDPR, por sus siglas en inglés), donde dichos servicios sí pueden quedar sujetos a estas previsiones aun cuando la entidad responsable no esté establecida en la Unión Europea, si los bienes y servicios se dirigen o se realizan actividades de monitoreo y similares a un ciudadano en dicho territorio. En este sentido, se han escuchado diversas voces que pugnan por reformar la LFPDPPP y extender su ámbito de aplicación como ya lo hace el citado GDPR europeo.

Sin embargo, lo anterior no debe ser obstáculo para que las plataformas asuman estándares de protección a la privacidad de sus usuarios acordes con las principales tendencias regulatorias y adopten un enfoque ético en la adecuada protección de los usuarios, su información y los usos que se puede dar a la misma, principalmente cuando ésta implica la utilización de algoritmos de IA que inciden directamente en la vida de las personas.

Aunque la IA facilita en muchos casos enormemente la vida de las personas, también puede representar riesgos para su privacidad, e incluso afectar su propia dignidad. Por ejemplo, la elaboración de perfiles puede perpetuar estereotipos, implicar segregación social, encasillar a una persona en una categoría específica y limitarla a las preferencias que se le sugieren, conducir a predicciones inexactas —incluso en el diagnóstico de salud—, llevar a la denegación de servicios y bienes e incluso a una discriminación injustificada.5 Es decir, si la IA no se usa de forma responsable puede socavar la dignidad y libertad de la persona.

Por las razones anteriores, en el debate público se pugna por una responsabilidad algorítmica a partir de la cual exista un análisis de las repercusiones de estas tecnologías, transparencia sobre sus usos y efectos y sobre todo, insistimos, un enfoque ético por parte de las organizaciones que inhiba aquellos usos de la IA que perjudiquen los valores humanos, como la dignidad de las personas.

 

Dada la notoria relevancia de este tema, en el panorama internacional se pueden identificar los siguientes instrumentos para regular la IA:

• Directrices Universales para la Inteligencia Artificial para informar y mejorar el diseño y uso de la IA emitidas el 23 de octubre de 2018 en Bruselas (Bélgica) por The Public Voice.6

• Declaración sobre la Ética y la Protección de Datos Personales en la Inteligencia Artificial emitida durante la 40.ª Conferencia Internacional de Comisionados de Protección de Datos y Privacidad.7

• Principios para la transparencia y responsabilidad algorítmica de la OCDE.8

• Directrices del Grupo Europeo sobre Ética de la Ciencia y las Nuevas Tecnologías (GEEE).9

Si bien estas disposiciones no son vinculantes, sí constituyen un importante referente para la construcción de un marco de responsabilidad proactiva y la adopción de un enfoque ético en las organizaciones que permita enfrentar de manera diligente los desafíos mencionados.

 

La normatividad vigente en materia de protección de datos personales se centra en proteger al individuo contra el tratamiento ilícito de sus datos personales y evitar que su dignidad y libertad humanas sean afectadas, sin embargo, existen limitaciones palpables a su aplicación, como el actual ámbito territorial de aplicación de la misma.

Además, como resultado del acelerado e incesante avance de la tecnología y el frecuente e importante tratamiento de datos personales mediante IA, resulta cada vez más complejo garantizar dicha protección, aunque no imposible si las organizaciones asumen, además del cumplimiento y el respeto a la legalidad vigente, compromisos éticos medibles y acordes con la legislación nacional y las tendencias internacionales.

Insistimos: el derecho humano a la protección de datos personales tiene como componente fundamental la dignidad de la persona, como el origen, la esencia y el fin de todos los derechos humanos,10 que representa un valor supremo11 establecido en el artículo 1 de la Constitución, por el que se reconoce una calidad única y excepcional a todo ser humano12 por el simple hecho de serlo, y cuya plena eficacia debe ser respetada y protegida integralmente sin excepción alguna.13

Por tanto, es necesario que la tecnología tenga en consideración desde su concepción la dignidad de la persona humana, que no sólo es un derecho en sí misma, sino que también constituye la base de otras libertades y derechos posteriores, como son el derecho a la privacidad y la protección de datos personales.

 

Isabel Davara F. de Marcos
Doctora en Derecho. Socia del despacho Davara Abogados, especialistas en derecho de las tecnologías.


1 El concepto de IA fue mencionado por primera vez en 1956 por John McCarthy. Frecuentemente, se relaciona con la habilidad de tomar una buena decisión incluso cuando existe inseguridad, vaguedad o demasiada información que manejar. No obstante, a la fecha, como sucede con muchos conceptos, no existe un consenso sobre cuál debe ser su alcance y contenido.

2 El término machine learning o aprendizaje automático hace referencia a un subconjunto de la IA en el que los programas se alimentan con datos y, por medio del reconocimiento de patrones de esos datos, aprenden de ellos y hacen inferencias o predicciones sin que necesariamente hayan sido programados para ello. Ver: Davara Abogados (abril de 2017). “El mundo del comercio electrónico bajo la ley”, IDC Asesor Jurídico y Fiscal, México, p. 80.

3 Dato personal, según la fracción V del artículo 3 de la LFPDPPP, se refiere a “cualquier información concerniente a una persona física identificada o identificable”.

4 La LFPDPPP señala en la fracción XVIII de su artículo 3 que tratamiento es: “La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales”.

5 https://bit.ly/2RtwCEd.

6 https://bit.ly/2O0rCFg.

7 https://bit.ly/38KmCMz.

8 https://bit.ly/38GWbHE.

9 https://bit.ly/2RtRr2z.

10 Tesis I.5o.C. J/30 (9.ª), Semanario Judicial de la Federación y su Gaceta, Décima Época, t. III, octubre de 2011, p. 1528. Ver, también, Fundamentación de la metafísica de las costumbres, de Emmanuel Kant, donde se reitera que el hombre siempre es un fin en sí mismo, y no un medio.

11Ver: Tesis 1ª. CCCLIV/2014 (10.ª), Semanario Judicial de la Federación y su Gaceta, Décima Época, t. I, octubre de 2014, p. 602.

12 Ver: Tesis P. LXV/2009, Semanario Judicial de la Federación y su Gaceta, Novena Época, t. XXX, diciembre de 2009, p. 8.

13 Tesis I.5o.C. J/31 (9.ª), Semanario Judicial de la Federación y su Gaceta, Décima Época, t. III, octubre de 2011, p. 1529.