A publicación o venres 12 de xullo de 2024 de o Regulamento de Intelixencia Artificial (RIA ou AIA nas súas siglas en inglés) abre unha nova etapa no marco regulatorio europeo e global. A norma caracterízase por tratar de conxugar dúas almas. De un lado trátase de asegurar que a tecnoloxía non xere riscos sistémicos para a democracia, a garantía dos nosos dereitos e o ecosistema socioeconómico no seu conxunto. Doutro lado, búscase un enfoque orientado ao desenvolvemento de produto de modo que responda os altos estándares de fiabilidade, seguridade e cumprimento normativo definidos pola Unión Europea.
Ámbito de aplicación da norma
A norma permite diferenciar entre sistemas de baixo e medio risco, sistemas de alto risco e modelos de IA de uso xeral. Para cualificar os sistemas, o RIA define criterios relacionados co sector regulado pola Unión Europea (Anexo I) e define o contido e alcance daqueles sistemas que pola súa natureza e finalidade poderían xerar riscos (Anexo III). Os modelos son altamente dependentes do volume de datos, as súas capacidades e a carga operacional.
O RIA só afecta aos dous últimos casos: sistemas de alto risco e modelos de IA de uso xeral. Os sistemas de alto risco esixen a avaliación da conformidade a través de organismos notificados. Estes son entidades ante as que se presentan evidencias de que o desenvolvemento se axusta ao RIA. Neste sentido, os modelos están suxeitos a fórmulas de control pola Comisión que aseguran a prevención de riscos sistémicos. No entanto, estamos ante un marco normativo flexible que favorece a investigación, relaxando a súa aplicación en contornas de experimentación, así como mediante o despregamento de sandboxes para o desenvolvemento.
A norma establece unha serie de “requisitos dos sistemas de IA de alto risco” (sección segunda do capítulo terceiro) que deberían constituír un marco de referencia para o desenvolvemento de calquera sistema e inspirar os códigos de boas prácticas, normas técnicas e esquemas de certificación. Entre eles, ocupa un lugar central o artigo 10 sobre “datos e gobernación de datos”. Leste proporciona indicacións moi precisas sobre as condicións de deseño dos sistemas de IA, particularmente cando supoñan tratar datos persoais ou cando se proxecten sobre persoas físicas.
Esta gobernación debería considerarse por quen proporcionen a infraestrutura básica e/ou os conxuntos de datos, xestionen espazos de datos ou os chamados Digital Innovation Hubs, que ofrezan servizos de soporte. No noso ecosistema, caracterizado por unha alta prevalencia de PYMEs e/ou equipos de investigación, a gobernación de datos proxéctase sobre a calidade, seguridade e fiabilidade nas súas accións e resultados. Por iso é necesario asegurar os valores que o RIA impón aos conxuntos de datos de adestramento, validación e proba en sistemas de alto risco e, no seu caso, cando se empreguen técnicas que impliquen o adestramento de modelos de IA.
Estes valores poden aliñarse cos principios do artigo 5 de o Regulamento Xeral de Protección de Datos (RGPD) e enriquécenos e complementan. A eles engádese o enfoque de risco e a protección de datos desde o deseño e por defecto. Relacionar uns e outros constitúe un exercicio sen dúbida interesante.
Garantir a orixe lexítima dos datos: Lealtad e licitud
Xunto á referencia común á cadea de valor asociada aos datos, hai que referirse a unha cadea de custodia que garanta a legalidade en os procesos de recollida de datos. A orixe dos datos, particularmente no caso dos datos persoais, debe ser lícito, lexítimo e o seu uso coherente coa finalidade orixinal da súa recollida. Por iso é indispensable unha adecuada catalogación dos conxuntos de datos en orixe que asegure unha correcta descrición da súa lexitimidade e condicións de uso.
Esta é unha cuestión que afecta as contornas de open data, aos organismos e servizos de acceso a datos detallados en o Regulamento de gobernación de datos (DGA nas súas siglas en inglés) ou o Espazo Europeo de Datos de Saúde (EHDS) e a recado inspirará futuras regulacións. O usual será combinar fontes externas de datos coa información que manexa a PEME.
Minimización dos datos, exactitude e limitación de finalidade
O RIA ordena, dunha parte, realizar unha avaliación da dispoñibilidade, a cantidade e a adecuación dos conxuntos de datos necesarios. Doutra, esixe que os conxuntos de datos de adestramento, validación e proba sexan pertinentes, suficientemente representativos e posúan as propiedades estatísticas adecuadas. Esta tarefa é moi relevante para os dereitos das persoas ou os colectivos afectados polo sistema. Ademais, na maior medida posible, carecerán de erros e estarán completos en vista da súa finalidade prevista. RIA predica estas propiedades para cada conxunto de datos individualmente ou para unha combinación destes.
Para a consecución de tales obxectivos resulta necesario asegurar o despregamento das técnicas adecuadas:
- Realizar as operacións de tratamento oportunas para a preparación dos datos, como a anotación, a etiquetaxe, a depuración, a actualización, o enriquecemento e a agregación.
- Formular supostos, en particular no que respecta á información que se supón que miden e representan os datos. Ou, dito nunha linguaxe máis coloquial, definir os casos de uso.
- Ter en conta, na medida necesaria para a finalidade prevista, as características ou elementos particulares da contorna xeográfica, contextual, conductual ou funcional específico no que está previsto que se utilice o sistema de IA de alto risco.
Xestionar o risco: evitar o rumbo
No ámbito da gobernación dos datos atribúese un papel esencial á evitación do rumbo cando poida xerar riscos para a saúde e a seguridade das persoas, afectar negativamente os dereitos fundamentais ou dar lugar a algún tipo de discriminación prohibida polo Dereito da Unión, especialmente cando as saídas de datos inflúan nas informacións de entrada de futuras operacións. Para iso procede adoptar as medidas adecuadas para detectar, previr e mitigar posibles rumbos detectados.
O RIA habilita excepcionalmente o tratamento de categorías especiais de datos persoais sempre que ofrezan as garantías adecuadas en relación cos dereitos e as liberdades fundamentais das persoas físicas. Pero impón condicións adicionais:
- que o tratamento doutros datos, como os sintéticos ou os anonimizados, non permita efectuar de forma efectiva a detección e corrección de rumbos;
- que as categorías especiais de datos persoais estean suxeitas a limitacións técnicas relativas á reutilización dos datos persoais e a medidas punteiras en materia de seguridade e protección da intimidade, incluída a seudonimización ;
- que as categorías especiais de datos persoais estean suxeitas a medidas para garantir que os datos persoais tratados estean asegurados, protexidos e suxeitos a garantías adecuadas, incluídos controis estritos e documentación do acceso, co fin de evitar o uso indebido e garantir que só as persoas autorizadas teñan acceso aos este datos persoais con obrigas de confidencialidade adecuadas;
- que as categorías especiais de datos persoais non se transmitan nin transfiran a terceiros e que estes non poidan acceder de ningún outro modo a eles;
- que as categorías especiais de datos persoais elimínense unha vez que se corrixiu o rumbo ou os datos persoais haxan chegado ao final do seu período de conservación, se esta data é anterior;
- que os rexistros das actividades de tratamento de acordo con os Reglamentos (UE) 2016/679 e (UE) 2018/1725 e a Directiva (UE) 2016/680 inclúan as razóns polas que o tratamento de categorías especiais de datos persoais era estritamente necesario para detectar e corrixir rumbos, e polas que ese obxectivo non podía alcanzarse mediante o tratamento doutros datos.
As previsións normativas resultan extraordinariamente interesantes. RGPD, DGA ou EHDS apostan por tratar datos anonimizados. RIA establece unha excepción naqueles casos nos que se xeran conxuntos de datos inadecuados ou de baixa calidade desde o punto de vista do rumbo.
Tanto os desenvolvedores individuais, como os espazos de datos e os servizos de intermediación que proporcionen conxuntos de datos e/ou plataformas para o desenvolvemento deben ser particularmente diligentes á hora de definir a súa seguridade. Esta previsión é coherente coa esixencia de dispor de espazos seguros de procesamento en EHDS, implica unha aposta por estándares certificables en seguridade, públicos ou privados, e aconsella unha relectura da disposición adicional decimoséptima sobre tratamentos de datos na nosa Lei orgánica de protección de datos en materia de seudonimización, na medida na que engade garantías éticas e xurídicas ás propiamente técnicas. Ademais, sublíñase a necesidade de garantir unha adecuada rastrexabilidade nos usos. Adicionalmente será necesario integrar no rexistro de actividades de tratamento unha mención específica a este tipo de usos e á súa xustificación.
Aplicar as leccións aprendidas desde a protección de datos, desde o deseño e por defecto
O artigo 10 de RIA obriga a documentar as decisións pertinentes relativas ao deseño e a detectar lagoas ou deficiencias pertinentes nos datos que impidan o cumprimento do RIA e a forma de emendalas. En resumo, non basta con garantir a gobernación de datos, tamén é necesario proporcionar evidencia documental e manter unha actitude proactiva e vixiante durante todo o ciclo de vida dos sistemas de información.
Estas dúas obrigas integran a clave de bóveda do sistema. E a súa lectura debería ser mesmo moito máis ampla na dimensión xurídica. As leccións aprendidas no RGPD ensinan que existe unha dobre condición para a responsabilidade proactiva e a garantía dos dereitos fundamentais. A primeira é intrínseca e material: o despregamento da enxeñaría da privacidade ao servizo da protección de datos desde o deseño e por defecto asegura o cumprimento do RGPD. A segunda é contextual: os tratamentos de datos persoais non se dan no baleiro, senón en un contexto amplo e complexo regulado por outros sectores do Ordenamento.
A gobernación de datos opera estruturalmente desde os cimentos á bóveda dos sistemas de información baseados en IA. Asegurar que exista, sexa adecuada e funcional é esencial. Así entendeuno a Estratexia de Intelixencia Artificial 2024 do Goberno de España que trata de dotar ao país desas pancas que dinamicen o noso desenvolvemento.
RIA expón un salto cualitativo e subliña o enfoque funcional desde o que deben lerse os principios de protección de datos subliñando a dimensión poboacional. Iso obriga a repensar as condicións nas que se veu cumprindo o RGPD na Unión Europea. Urxe abandonar os modelos baseados en persoais que a empresa de consultoría copia-pega. É evidente que as listas de control e a estandarización son imprescindibles. Con todo, a súa efectividade é altamente dependente do axuste fino. E iso obriga a apelar particularmente aos profesionais que soportan o cumprimento deste obxectivo a dedicar os seus maiores esforzos para dotar de sentido profundo ao cumprimento do Regulamento de Intelixencia Artificial.