¿Pensando en invertir en Inteligencia Artificial en su empresa? Claves para su adecuación al RGPD Parte I.

En un intento por constituir máquinas inteligentes capaces de emular las formas de razonamiento y el comportamiento de los seres humanos, allá por 1956, John McCarthy acuñaría, por primera vez en la historia, el término de Artificial Intelligence o Inteligencia Artificial. En líneas generales, la Inteligencia Artificial (IA) se refiere a un sistema combinado de algoritmos dirigido a la toma de decisiones automáticas y la conformación de secuencias programadas para la resolución de problemas prácticos con un nivel de eficacia superior a toda capacidad humana gracias a la capacidad de procesamiento de los sistemas automatizados en que se fundamenta esta nueva tecnología digital. En suma, consiste en el diseño y ejecución de un sistema de razonamiento lógico que, a partir del potencial de la programación computacional, se planifican respuestas predeterminadas para la resolución de problema de orden práctico en la vida diaria. En esta línea, el Informe de la Comisión Europea Inteligencia Artificial para Europea, ya destacó unos días antes de que fuera de plena aplicación el nuevo Reglamento General de Protección de Datos que la implementación de la IA destaca, entre otros factores, por la diversidad de formas en que puede implementarse esta nueva tecnología, pues puede basarse en el desarrollo de un sistema operativo o software de un determinado producto comercial, hasta consistir en el diseño y ejecución de complejos sistemas hardware a través de dispositivos inteligentes como robots o aplicaciones de dispositivos domésticos que nos acompañan diariamente.

Así, la Inteligencia Artificial en su aplicación al sector empresarial se consolida como una herramienta imprescindible que permite la monitorización de sistemas operativos para la resolución de todo tipo de problemas cotidianos que no por ello resultan de menor complejidad. Concretamente, la implementación de la Inteligencia artificial en la empresa permite, entre otras funciones, el diseño y ejecución de modelos de predicción de la rentabilidad de un sistema o producto; la prevención del fraude y porcentaje de impagos a partir del comportamiento y características de los operadores y clientes, la personalización de líneas de negocio y productos a partir de las características del cliente.

La Inteligencia Artificial se erige como un instrumento eficaz para el aprovechamiento de toda aquella información reportada a un responsable o encargado del tratamiento de los activos de información a partir de la interacción entre la empresa y los factores externos (clientes, empleados y recursos tecnológicos y digitales, por ejemplo).A tal efecto, la IA permite una mayor eficiencia en el aprovechamiento de dichos activos de información de la empresa para optimizar el rendimiento y la rentabilidad empresariales.

Al mismo tiempo que se destacan los efectos positivos de la implementación de la IA a nivel empresarial, conviene no olvidar que esta nueva tecnología digital, basada en el desarrollo de los sistemas de computación y en el tratamiento masivo de información, plantea un nuevo escenario para el tratamiento de datos de carácter personal en que se pueda ver inmersa la empresa.

El carácter disruptivo de esta tecnología comporta notables riesgos a los derechos fundamentales de las personas, entre los que cabe destacar, en base al art. 18.4 Constitución Española (CE) en general, los derechos al honor, la intimidad personal y familiar de los ciudadanos a partir del uso de la informática y, más concretamente, el derecho a la protección de datos de carácter personal conforme a la legislación vigente tanto a nivel comunitario (Reglamento General de Protección de Datos o RGPD) como nacional (Ley de Protección de Datos Personales y garantía de los derechos digitales o LOPDGDD). Asimismo, en la línea del art. 8.1 de la Carta de Derechos Fundamentales de la Unión Europea, el art. 16.1 Tratado de Funcionamiento de la Unión Europea establece que “toda persona tiene derecho a la protección de datos de carácter personal que le conciernan”.

La monitorización y seguimiento del comportamiento de los ciudadanos en su interacción con la tecnología digital, por ejemplo, con un simple clic de acceso a una página web de compra en línea, comporta notables riesgos para la privacidad de los usuarios finales y clientes que, desde la perspectiva del empresario o comerciante, hacen necesaria la implementación de una política concreta de cumplimiento normativo que asegura que, por parte de la empresa, se garantiza la correcta utilización de la IA al tiempo que se protegen los datos de carácter personal objeto de tratamiento. A tal efecto, la Agencia Española de Protección de Datos (AEPD) ha publicado el pasado mes de febrero una guía para la correcta adecuación al RGPD de todos aquellos tratamientos que, en general, incorporan la IA en cualquiera de sus variantes.

Esta Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial se fundamenta en una dimensión ética de los datos que sean objeto de tratamiento a través de la IA; concretamente, se establece que, a falta de una definición expresa por parte de la Comisión Europea, la implementación de la IA debe fundarse en la adecuada gestión de la privacidad y los datos, junto a otros principios como la acción y supervisión humanas, la seguridad, la transparencia, la diversidad, la igualdad, el bienestar social y ambiental y la rendición de cuentas.

 A partir de la legitimidad ética de los tratamientos que tienen por objeto, concretamente, datos de carácter personal derivados de la implementación de la IA a nivel empresarial, conviene tener en cuenta que uno de los principales riesgos que entraña la IA, en materia de protección de datos personales, se relaciona con las decisiones automatizadas. A este respecto, el art. 22.1 RGPD, en la línea de lo indicado previamente por los Considerandos 71 y 72 RGPD, establece que “todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente”. No obstante, conviene remarcar aquellos supuestos en los que el RGPD permite que los datos personales del interesado sean objeto de un tratamiento automatizado:

– La realización de decisiones individuales automatizadas (incluyendo la elaboración de perfiles) fuera necesaria para la celebración o ejecución de un contrato entre el interesado y el responsable del tratamiento.
– El tratamiento está autorizado por el Derecho de la Unión Europea o de los Estados miembros que sea de aplicación al responsable del tratamiento.
– El tratamiento se basa en el consentimiento expreso del interesado de tales datos personales.

En tales supuestos regulados en el art. 22.2 RGPD, el responsable deberá adoptar las medidas adecuadas para salvaguardar los derechos y libertades y el interés legítimo de los interesados. Asimismo, en relación a las categorías especiales de datos, deberá tenerse en cuenta la protección reforzada conforme al art. 9 RGPD y, sobre todo, el art. 22.4 RGPD en que se indica que las decisiones individuales automatizadas, incluida la elaboración de perfiles, no podrán basarse en las categorías especiales de datos, salvo que el interesado diera su consentimiento explícito para un fin específico, o el tratamiento fuera necesario por razones de interés público esencial sobre la base del Derecho de la Unión o de los Estados miembros y que, en todo caso, deberá ser proporcional a la finalidad del tratamiento.

Como se aprecia, la IA supone un importante reto por parte del empresario en la puesta en funcionamiento de esta tecnología digital de marcado carácter disruptivo en el seno de la entidad. A este respecto, se recomienda diseñar una estrategia previa, en la que participen los responsables y/o encargados en materia de protección de datos de carácter personal así como el responsable de cumplimiento normativo en la materia, a fin de determinar qué recursos de esta tecnología resultan de aplicación teniendo en cuenta los activos de información personal y confidencial que son objeto de tratamiento por parte de la entidad y, no menos importante, poner en relación dicha estrategia con el plan de negocios y el plan de viabilidad económica.

En todo caso, la implementación de nuevas tecnologías digitales deberá ejecutarse de conformidad con la política de seguridad de la información de cada entidad, puesto que, como se ha visto anteriormente, la introducción de la IA en la empresa, independientemente del tamaño de la misma, plantea numerosos interrogantes y desafíos en materia de privacidad y protección de datos personales, los cuales serán objeto de una nueva publicación en el blog en las sucesivas fechas. Conviene estar atentos a las próximas publicaciones a efectos de consolidar el conocimiento de todas las claves a tener en cuenta en materia de protección de datos personales si se decide a implementar tecnología digital basada en sistema de Inteligencia Artificial.

Ver Parte II aquí.