El avance de las técnicas de Inteligencia Artificial (IA) y su capacidad para ser aplicada en múltiples sectores, hace que las startups dedicadas a la creación de soluciones o productos basados en estos sistemas tengan cada vez mayor presencia. En paralelo, la evolución de la Inteligencia Artificial y sus aplicaciones sobre la actividad humana ha despertado diversas inquietudes, tanto en la sociedad como en los reguladores. Junto a los innumerables beneficios que la IA nos reportará, tales como la mejora en la atención sanitaria, transportes, avances científicos, lucha contra el cambio climático etc., es evidente que la IA representa serios riesgos potenciales para los derechos de los ciudadanos, particularmente desde la perspectiva de la intimidad, privacidad, igualdad y no discriminación, que hacen imprescindible que estas técnicas también deban ser consideradas desde la perspectiva de la “ética digital”.
De este modo, la “ética de los datos” goza de especial importancia considerando que los ciudadanos serán cada vez más objeto de decisiones tomadas o soportadas por sistemas de Inteligencia Artificial. En este sentido, a pesar de que existen diversas dudas interpretativas y es previsible que se produzcan nuevos desarrollos legislativos a nivel europeo para establecer un marco normativo más preciso en torno a la IA, el Reglamento General de Protección de Datos (RGPD) contiene actualmente distintas obligaciones que deben ser tenidas en cuenta por aquellas startups que desarrollen productos o servicios basados en Inteligencia Artificial.
Entre éstas cabe destacar, la necesidad de aplicar la normativa sobre protección de datos desde el momento de concepción y diseño del producto o servicio. A este respecto, ya desde las primeras etapas del ciclo de vida de un sistema de Inteligencia Artificial debe procederse a la identificación de los riesgos que para los derechos de los interesados puede implicar el tratamiento de sus datos personales, así como a la definición e implementación de las medidas adecuadas para eliminar o mitigar dichos riesgos. Los sistemas de IA pueden implicar distintos tipos de riesgos (imagen de los interesados, fiabilidad del sistema, seguridad, etc.), si bien el más característico, al menos en los sistemas de toma de decisiones automatizadas o de elaboración de perfiles, es el riesgo de discriminación (p.ej. en el ámbito laboral, acceso a servicios, etc.). En cuanto a la mitigación de los citados riesgos, deberá considerarse la adopción de medidas como la minimización estricta de los tratamientos -tanto de las categorías de datos como de su plazo de duración-, la adopción de técnicas de anonimización o seudonimización robustas, la implantación de sistemas de encriptación, agregación, ocultación o separación de datos, la utilización de mecanismos y procedimientos que garanticen la fiabilidad, solidez y exactitud del sistema, el seguimiento y supervisión humana sobre los resultados -en un momento inicial y, con posterioridad, sobre los resultados que se vayan generando como consecuencia del aprendizaje del sistema-, etc.
Otro aspecto esencial para garantizar la licitud de estos sistemas desde la perspectiva del RGPD, es dotar de transparencia al producto o servicio mediante el suministro de información fácilmente accesible, concisa y comprensible sobre el tratamiento de los datos personales. El cumplimiento de este principio resulta crítico para la observancia de la normativa aplicable, considerando que la IA se caracteriza por su opacidad y complejidad para los usuarios e interesados. De este modo, más allá de generar una política de privacidad estándar, los
desarrolladores de los productos y servicios de IA deben ocuparse específicamente de elaborar y suministrar a los usuarios e interesados información clara, sencilla y completa sobre el sistema. Así, los usuarios de estos productos y servicios deben ser informados de las capacidades y limitaciones del sistema de IA, incluyendo cuestiones tales como los requerimientos para que el sistema funcione correctamente y el nivel de exactitud de los resultados ofrecidos por la solución. Los interesados cuyos datos personales vayan a ser objeto de tratamiento, deben ser adicionalmente informados de manera específica sobre lógica aplicada para la toma de decisiones automatizadas o la elaboración de perfiles -detalle de los datos empleados y valor relativo de cada uno de éstos para la toma de la decisión, valores de precisión o error, la existencia o no de supervisión humana, los perfilados realizados, etc.- y de las consecuencias que dichos tratamientos pueden tener para éstos.
Junto con las obligaciones expuestas, existen otros muchos requerimientos para el cumplimiento del RGPD (realización de evaluaciones de impacto de la privacidad, designación de un Data Protection Officer, desarrollo de políticas de protección de datos y de seguridad, etc.) En conclusión, las startups pertenecientes al sector de la IA y cuyos sistemas impliquen el tratamiento de datos personales deben velar de manera continua por el cumplimiento del RGPD, tanto en el momento de concepción y diseño como durante todo su ciclo de vida. En consecuencia, es conveniente que para el desarrollo de soluciones de IA innovadoras, estas empresas cuenten con asesoramiento experto en materia de protección de datos y de otros aspectos jurídicos relacionados (imputación de responsabilidades derivadas del uso de sistemas de IA, derechos de consumidores y usuarios, etc.)