Inteligencia artificial y regulación de lo desconocido: lecciones de la UE y el Reino Unido

AI
Fatima Ismail

Anadie quien ha visto un episodio de Black Mirror (una serie de ciencia ficción basada en el impacto de la tecnología en los humanos) probablemente haya cuestionado los límites de la tecnología, mientras mira hacia atrás en su reflejo en la pantalla en blanco al final del episodio. Entre otros temas relacionados con la tecnología, la serie ha abordado la inteligencia artificial o IA.

La regulación de la IA se ha convertido recientemente en el foco de discusión a nivel mundial, ya que la IA se está implementando rápidamente en varios sectores. Un ejemplo reciente es el uso de IA por Moderna para acelerar el desarrollo de la vacuna Covid-19. Si bien muchos países se están preparando para implementar regulaciones sobre el uso de IA, SA se queda atrás. Lo más cerca que ha estado Sudáfrica de regular la IA es la creación de la Comisión Presidencial del 4th Revolución Industrial (4IR) en 2019, que recomendó, entre otras cosas, la creación del Instituto Nacional de Inteligencia Artificial.

Dado que aún no se ha aprobado un conjunto de reglas legalmente vinculantes para gobernar la IA en Sudáfrica, hemos considerado los desarrollos recientes en la regulación de la IA en el Reino Unido y la UE para determinar si los reguladores sudafricanos deben seguir su ejemplo.

Desarrollos regulatorios sobre IA en el Reino Unido


Recomendado: ¿Qué es el Big data?.


En junio de 2021, la Oficina del Comisionado de Información (ICO) del Reino Unido (el perro guardián del Reino Unido a cargo de defender los derechos de información y proteger la información personal), publicó una opinión sobre el uso de la Tecnología de Reconocimiento Facial en Vivo (LFRT). LFRT recopila información biométrica, como huellas dactilares, iris o rasgos faciales de las personas, en tiempo real.

La opinión del ICO se centra en la aplicabilidad de la ley de protección de datos al uso de LFRT. La ley de protección de datos se aplica al procesamiento de LFRT, dado que implica el procesamiento de varios tipos de datos personales bajo el GDPR (el equivalente de la UE de POPIA, la ley de protección de datos de Sudáfrica), incluidos los datos personales, biométricos y de delitos penales. LFRT se puede utilizar para muchos propósitos. En el momento de publicar la opinión, el ICO había completado investigaciones sobre seis ejemplos de uso planificado o real de LFRT en lugares públicos. Los ejemplos incluyeron el uso de LFRT para vigilancia, marketing y publicidad.

La opinión enfatiza las preocupaciones de protección de datos del ICO sobre el uso de LFRT. Éstos incluyen:

  • la recopilación automática de datos biométricos a velocidad y escala sin justificación (en muchos ejemplos, la organización que procesa los datos no pudo demostrar que el procesamiento era necesario y proporcionado al propósito de la recopilación de datos); y

  • la falta de elección o control por parte de aquellas personas cuyos datos se estaban recopilando. Otras preocupaciones planteadas por la ICO incluyen la falta de transparencia que se brinda a esas personas sobre cómo, cuándo y por qué se procesan sus datos, así como el potencial de sesgo y discriminación. (LFRT trabaja con menos precisión para algunos grupos demográficos, incluidas las mujeres, los grupos étnicos minoritarios y las personas discapacitadas, debido a fallas de diseño o deficiencias en los datos de capacitación).

Para abordar sus preocupaciones, la ICO enfatizó que las organizaciones deben asegurarse de que su uso de LFRT cumpla con los requisitos de legalidad, equidad y transparencia, y se debe realizar una evaluación sólida de la necesidad y proporcionalidad. Estos requisitos se basan en los principios de GDPR, que también están presentes en POPIA. Si bien la ICO estableció estos requisitos obligatorios para el uso legal de LFRT, concluyó que cualquier investigación sobre el uso de LFRT debe ser específica para circunstancias y hechos.

Desarrollos regulatorios sobre IA en la UE

En abril de 2021, la Junta de Protección de Datos de la UE y el Supervisor de Protección de Datos de la UE publicaron un dictamen conjunto sobre el conjunto de propuestas de la Comisión Europea para la introducción de normas armonizadas sobre IA (Propuesta). El propósito de la propuesta era lograr seguridad jurídica dentro de la industria de la IA, para garantizar que los sistemas de IA sean seguros y respeten las leyes y los valores de la UE.

Sin embargo, la Junta y el Supervisor destacaron varias preocupaciones con la propuesta. Éstos incluyen:

  • la exclusión de la cooperación internacional en materia de aplicación de la ley del ámbito de la propuesta, que podría correr el riesgo de ser eludida por terceros países y organizaciones internacionales que utilizan sistemas de inteligencia artificial dentro de la UE; y

  • la necesidad de aclarar que el GDPR y la Directiva sobre privacidad y comunicaciones electrónicas (una directiva de la UE sobre protección de datos y privacidad en la era digital) se aplicarán al uso de AI Systems.

Si bien la Junta y el Supervisor acogieron con beneplácito el enfoque basado en el riesgo de la IA adoptado por la Comisión Europea, destacaron la necesidad de garantizar que los sistemas de IA, incluidos aquellos que no implican el procesamiento de datos personales pero que aún impactan los intereses o los derechos y libertades fundamentales de individuos, también entran dentro del alcance de la Propuesta.

Otra preocupación destacada por la Junta y el Supervisor es que la propuesta requiere que los proveedores de sistemas de IA realicen una evaluación de riesgos. Sin embargo, en la mayoría de los casos, los controladores (como se define en el GDPR) o la parte responsable (como se define en POPIA) serán los usuarios, en lugar de los proveedores, de los sistemas de IA.

Si bien de estas dos opiniones está claro que el Reino Unido y la UE todavía están lidiando con la forma de regular la IA, estas opiniones pueden proporcionar a los reguladores de Sudáfrica una guía sobre lo que puede ser importante en un contexto local de protección de datos en la regulación de la IA. Con el rápido crecimiento en el sector tecnológico de Sudáfrica, el país necesita desesperadamente una regulación de IA. Después de todo, un futuro al estilo Black Mirror puede que no esté muy lejos.

  • Fatima Ismail de Webber Wentzel