IA y protección de datos

El extensivo uso de la inteligencia artificial (IA) en diferentes sectores, el boom de ChatGPT, la declaración de Bletchley sobre IA, la resolución adoptada en marzo de 2024 por la Asamblea General de la ONU sobre IA y el reciente Reglamento Europeo de Inteligencia Artificial, son algunos elementos que muestran el interés y los desafíos de la IA incluyendo los desafíos relacionados con la protección de datos personales.

La IA significa en muchos casos recolección y análisis de grandes volúmenes de datos. Esto implica tensiones y retos en relación con la protección de datos personales.

La IA permite, por ejemplo, la toma de decisiones automatizada y dichas decisiones pueden ser erróneas o discriminatorias. También hay dudas sobre la vigilancia, y evaluación persistente de los datos de las personas que ocurre con el uso de IA. Algunas técnicas avanzadas de IA incluso podrían identificar a individuos a partir de datos anonimizados

Además, puede haber tensiones respecto del requisito de la finalidad del tratamiento de datos personales teniendo en cuenta que con la IA los datos personales pueden ser tratados con finalidades distintas a las inicialmente autorizadas. También puede ser complejo explicar a los titulares de los datos el tratamiento al que van a ser o han sido sujetos sus datos personales bajo uso de IA o incluso en algunos casos no es posible saber cuál es el proceso de toma de decisiones de la IA.

Así por ejemplo la Superintendencia de Industria y Comercio (SIC) inició en 2023 una investigación para establecer si ChatGPT cumple con la regulación colombiana respecto de la protección de datos personales.

En todo caso, no son solamente ChatGPT y los gigantes tecnológicos los que usan IA. De acuerdo con un estudio de McKinesey publicado el 1 de agosto de 2023 sobre “El estado de la IA en 2023: El año clave de la IA generativa”, la mayoría de los encuestados afirman que en sus organizaciones han adoptado la IA.

Ahora bien, en Colombia, no hay una regulación especifica sobre la protección de datos bajo el uso de IA. En cualquier caso, la Red Iberoamericana de Protección de Datos, a la cual hace parte la SIC, publicó en 2019 unas recomendaciones para el tratamiento de datos en la IA.

En este contexto, las empresas deberían adoptar medidas y buenas prácticas para el tratamiento de datos en uso de la IA pensando en que los titulares del tratamiento de datos son sus stakeholders.

Dentro de estas medidas, las empresas pueden, entre otros aspectos, (i) implementar evaluaciones para identificar riesgos de privacidad antes de usar IA, (ii) adoptar de códigos de conducta alineados con sus modelos de gobernanza e (iii) incluir la transparencia como principio rector.

En todo caso, los desafíos de IA y el tratamiento de datos personales y las prácticas que se adopten deben tener una visión no solo local. Esto teniendo en cuenta que el tratamiento de datos en muchos casos puede tener implicaciones transfronterizas (transmisión y tratamiento de datos por ejemplo) e involucrar distintas jurisdicciones.

*Daniela Pérez Mahecha, Abogada senior Parra Rodríguez Abogados