16 minute read
¿CÓMO CONVERTIR UN RIESGO EN BENEFICIO?
ARTIFICIAL INTELLIGENCE AND PERSONAL DATA: HOW TO TURN RISK INTO PROFIT?
por/by: Bruno Mejía Gerente de Competencia & Mercados de EY Law
Es una realidad innegable que la Inteligencia Artificial (IA) ha llegado a nuestras vidas. Basta con revisar noticias, tweets, posts y artículos en las diversas plataformas para darse cuenta de ello. Chat GPT, por ejemplo, viene superando los 100 millones de usuarios activos al mes, desde su lanzamiento a fines de noviembre de 2022. Sin embargo, frente a esta realidad, también resulta importante dimensionar, de manera responsable, el impacto ―como riesgo o beneficio― que dicha herramienta puede tener en el tratamiento de nuestros datos personales.
No todo desarrollo de IA implica necesariamente el tratamiento de datos personales. Los datos personales no son la única información que se recopila y se utiliza
It is an undeniable reality that Artificial Intelligence (AI) has arrived in our lives. It is enough to review news, tweets, posts and articles on various platforms to become aware of this fact. Chat GPT, for example, has been surpassing 100 million active users per month, since its launch in late November 2022. However, in the face of this reality, it is also important to dimension, in a responsible manner, the impact - as risk or benefit - that such a tool may have on the treatment of our personal data.
Not all AI development necessarily involves the processing of personal data. Personal data is not the only information that is collected and used for this purpose. However, when AI-generated products do process personal data, it is imperative that their para dicho efecto. Ahora bien, cuando los productos generados por la IA sí traten datos personales, es imperativo que sus proveedores cumplan con el marco normativo que regula la materia. No se trata de “prohibir por prohibir” el tratamiento de datos personales por parte de la IA sino, más bien, que esta se realice con las garantías adecuadas que la regulación prevé.
Se debe establecer y garantizar, entonces, un equilibrio entre la innovación y el respeto de los derechos reconocidos por la normativa.
Para dicho propósito, se abordarán a continuación algunas recomendaciones formuladas por la Red Iberoamericana de Datos Personales a la cual el Perú pertenece:
1. Efectuar Estudios de Impacto de Privacidad
Los análisis de impacto de privacidad (“Privacy Impact Assessment” - PIA) son una herramienta útil que permite a las empresas evaluar el impacto que determinado programa o aplicativo de IA puede tener en la privacidad de los titulares de datos personales. Esto permite poner en marcha un sistema eficiente para describir las operaciones de tratamiento de datos personales que involucra el desarrollo de IA, evaluar los riesgos específicos para los derechos de los titulares e identificar las medidas de seguridad y garantías para afrontar riesgos.
2. Incorporar la privacidad desde el diseño y por defecto
El principio de “Privacy by Design” permite garantizar un tratamiento correcto de los datos personales utilizados en procesos de IA, incluso antes de que los riesgos puedan materializarse, ya que la privacidad forma parte esencial del diseño y arquitectura del software o algoritmo. El principio de “Privacy by Default”, por su parte, implica adoptar medidas de seguridad que garanticen, por defecto, recopilar y almacenar solo los datos personales necesarios para las finalidades del tratamiento. Ambos son de valiosa utilidad para los desarrolladores de programas de IA.
3. Respetar los derechos de los titulares e implementar mecanismos para su ejercicio
Uno de los derechos más característicos y relacionados con los proyectos que se emprendan sobre IA es el de “no ser objeto de decisiones individuales automatizadas”. Esto tiene como finalidad que la toma de decisión no esté a cargo en un 100% a la IA (a través de sus algoritmos) sino que haya participación humana para ello. Además, ante una decisión automatizada es importante que se le informe al titular del dato personal sobre lo decidido, se le permita expresar su punto de vista y brindarle la posibilidad de impugnar providers comply with the regulatory framework governing the matter. It is not a matter of “prohibiting for the sake of prohibiting” the processing of personal data by AI, but rather that it is carried out with the appropriate guarantees provided by the regulation.
Therefore, a balance must be established and guaranteed between innovation and respect for the rights recognized by law.
For this purpose, some recommendations made by the Ibero-American Personal Data Network -to which Peru belongs- will be discussed below:
1. Conduct Privacy Impact Assessments
Privacy Impact Assessment (PIA) is a useful tool that allows companies to assess the impact that a given AI program or application may have on the privacy of personal data subjects. This makes it possible to put in place an efficient system to describe the personal data processing operations involved in the development of AI, assess the specific risks to the rights of data holders and identify security measures and safeguards to address risks.
2. Incorporate privacy by design and by default
The “Privacy by Design” principle ensures the correct processing of personal data used in AI processes, even before risks can materialize, since privacy is an essential part of the design and architecture of the software or algorithm. The “Privacy by Default” principle, on the other hand, implies adopting security measures that guarantee, by default, to collect and store only the personal data necessary for the purposes of the processing. Both are of value to AI software developers.
3. Respect the rights of the owners and implement mechanisms for their exercise.
One of the most characteristic rights related to AI projects is the right “not to be subject to automated individual decisions”. The purpose of this is that the decision making is not 100% in charge of the AI (through its algorithms) but that there is human participation for it. In addition, when faced with an automated decision, it is important that the owner of the personal data is informed of the decision, is allowed to express his or her point of view and is given the opportunity to challenge the decision.
The aim is also to ensure that these automated decisions do not have a discriminatory basis. This recommendation could, to some extent, represent a barrier or obstacle to developing AI projects, which is why it is important to identify opportunities for improvement in the regulation of personal data protection, so that there is a balance between innovation and respect for the rights of data su decisión.
Lo que se busca también es que estas decisiones automatizadas no tengan una base discriminatoria. Esta recomendación podría, hasta cierto punto, significar una barrera u obstáculo para desarrollar proyectos en IA, razón por la cual es importante identificar oportunidades de mejora en la regulación de protección de datos personales, a fin de que exista el equilibrio entre la innovación y el respeto de los derechos de los titulares.
4. Asegurar la calidad de los datos personales
Para mitigar los riesgos originados por el sesgo de las máquinas al utilizar la IA es necesario que los datos personales sean ciertos, exactos y precisos. Para ello, se sugiere, al menos, (i) llevar un registro del origen de los datos, (ii) realizar auditorías a los datos de los algoritmos utilizados en la decisión por parte de la máquina, (iii) otorgar “veracity scores” a los datos que están utilizando para entrenar a la máquina durante su creación, (iv) actualizar periódicamente los datos y (v) tener sets de datos independiente para validar el proceso de toma de decisiones.
subjects.
4. Ensure the quality of personal data
To mitigate the risks originated by machine bias when using AI, it is necessary that personal data be true, accurate and precise. To this end, it is suggested, at least, to (i) keep a record of the origin of the data, (ii) perform data audits of the algorithms used in the decision by the machine, (iii) give “veracity scores” to the data being used to train the machine during its creation, (iv) periodically update the data and (v) have independent data sets to validate the decision making process.
5. Use anonymization tools
An important aspect is to determine whether or not it is strictly necessary for projects using AI to refer to a specific person. Thus, it could be feasible that, through a PIA, it is possible to reach the conclusion that for the implementation of a project that uses AI it is not relevant to identify a person and that the same purpose can be achieved without the need to refer to a specific holder. In Peru, for example, our regulation allows the use, in addition to the anonymization procedure (which is irreversible), the disassociation procedure, which is reversible. Both mechanisms are perfectly applicable to
5. Utilizar herramientas de anonimización
Un aspecto importante es determinar si es o no estrictamente necesario que los proyectos que utilizan IA deban referirse a una persona determinada. Así, podría ser factible que, a través de un PIA, se llegue a la conclusión que para la implementación de un proyecto que usa IA no es relevante identificar a una persona y que se puede llegar a la misma finalidad sin ser necesario referirse a un titular de manera específica. En Perú, por ejemplo, nuestra regulación permite utilizar, además del procedimiento de anonimización (que es irreversible), el procedimiento de disociación cuyo procedimiento es reversible. Ambos mecanismos son perfectamente aplicables en resguardo de la privacidad, permitiendo mitigar cualquier contingencia.
Consideraciones finales
Las recomendaciones que hemos revisado hasta aquí permitirán que las empresas (en su condición de desarrolladores) puedan mitigar los riesgos en la privacidad generados desde el inicio del diseño y desarrollo de los procesos y proyectos que utilizan la IA.
La regulación peruana sobre la materia ―Ley 29733, Ley de Protección de Datos Personales, su Reglamento, aprobado por Decreto Supremo 003-2013-JUS, y la normativa complementaria― es imperativa y transversal a todos los sectores. Esto significa que no puede existir algún proyecto o proceso de IA que, realizando un tratamiento de datos personales, no tenga en cuenta las disposiciones contenidas en dicho marco legal.
Finalmente, se debe destacar el fortalecimiento en las funciones de supervisión, fiscalización y sanción que, en la actualidad, nuestra Autoridad Nacional de Datos Personales viene realizando a las empresas de diversos rubros. Por ello, resulta imperativo que los responsables de tratamiento implementen programas de cumplimiento normativo en datos personales basados en estas recomendaciones para convertir los riesgos detectados en, más bien, un beneficio. Esto generará confianza y demostrará su compromiso en resguardar este activo tan valioso que son, precisamente, nuestros datos personales.
protect privacy, allowing to mitigate any contingency.
Final considerations
The recommendations we have reviewed so far will enable companies (as developers) to mitigate privacy risks generated from the beginning of the design and development of processes and projects that use AI.
The Peruvian regulation on the subject - Law 29733, Personal Data Protection Law, its Regulation, approved by Supreme Decree 003-2013-JUS, and complementary regulations - is imperative and transversal to all sectors. This means that there cannot be any IA project or process that, while processing personal data, does not take into account the provisions contained in said legal framework.
Finally, it is important to highlight the strengthening of the supervision, audit and sanction functions that our National Authority of Personal Data is currently performing for companies in different areas. Therefore, it is imperative that data controllers implement compliance programs on personal data based on these recommendations in order to turn the risks detected into a benefit. This will generate trust and demonstrate their commitment to safeguarding this valuable asset, which is, precisely, our personal data.
“DIGITAL AGE: ARTIFICIAL INTELLIGENCE AND DATA PRIVACY: PROTECTING PERSONAL INFORMATION IN THE DIGITAL AGE”
por/by: Elsa Carrera Pearson Sales Academic Consultant
Te levantas en la mañana y lo primero que haces es desbloquear tu teléfono escaneando tu rostro. Pides un taxi por aplicación o te subes al auto para ir a trabajar y el navegador te sugiere cambies la ruta, pues el camino que sigues a diario está más congestionado que de costumbre. Tu aplicación de compras favorita te propone un par de zapatos que van como anillo al dedo a tu estilo y que estarán en oferta durante esta semana, y tu banco te envía una notificación sobre un producto que encaja perfectamente con tus planes de ahorro. Los que coinciden con información que estuviste buscando en la web durante toda la semana. ¿Es magia? No, es progreso. Se trata de la inteligencia artificial, que ha dejado de ser ciencia-ficción para mejorar numerosos aspectos de nuestro día a día.
De un tiempo a esta parte la Inteligencia Artificial (IA) ha venido ocupando un lugar – cada vez más importante – en nuestras vidas y, aunque todavía estamos iniciándonos en el uso de esta herramienta, deberíamos de tener en cuenta la rapidez con la que el internet se desarrolló para tener una idea clara de que el uso de esta propuesta crecerá a una velocidad que quizás no nos imaginamos.
Pero ¿Qué es la Inteligencia Artificial y cómo podemos entender su uso?
La inteligencia artificial (IA) es una combinación de algoritmos diseñados para crear máquinas con las mismas características que los humanos. Una tecnología que aún nos resulta lejana y misteriosa, pero que siempre ha estado presente en nuestro día a día desde hace algunos años. Algunas tecnologías con inteligencia existen desde hace más de 50 años, pero los avances en la potencia informática, la disponibilidad
You wake up in the morning and the first thing you do is unlock your phone by scanning your face. You order a taxi by application or you get in the car to go to work and the navigator suggests you change the route, because the road you follow daily is more congested than usual. Your favorite shopping app offers you a pair of shoes that fit your style like a glove and that will be on sale this week, and your bank sends you a notification about a product that fits perfectly with your savings plans. The ones that match information you’ve been searching the web for all week. Is magic? No, it’s progress. It is about artificial intelligence, which has ceased to be science fiction to improve many aspects of our day to day.
For some time now, Artificial Intelligence (AI) has been occupying a place - increasingly important - in our lives and, although we are still just beginning to use this tool, we should take into account the speed with which the internet was developed to have a clear idea that the use of this proposal will grow at a speed that we may not have imagined.
But what is Artificial Intelligence and how can we understand its use?
Artificial intelligence (AI) is a combination of algorithms designed to create machines with the same characteristics as humans. A technology that is still distant and mysterious to us, but that has always been present in our daily lives for some years now. Some intelligent technologies have been around for more than 50 years, but advances in computing power, the availability of vast amounts of data, and new algorithms have allowed great strides to be made in recent years.
de enormes cantidades de datos y nuevos algoritmos han permitido que se den grandes pasos en los últimos años.
Por ejemplo, y como hemos visto al inicio de este artículo, se viene usando la IA en el reconocimiento facial de los teléfonos móviles, los asistentes de voz virtuales como Siri de Apple, Alexa de Amazon o Cortana de Microsoft, y se integra en los dispositivos cotidianos a través aplicaciones. El objetivo de todos ellos es facilitar la vida de las personas.
Por otro lado, el rápido desarrollo y la rápida adopción de la inteligencia artificial, presenta un desafío para la protección de datos personales, ya que su uso requiere inevitablemente el procesamiento de datos masivos. La mayoría de las aplicaciones de IA requieren grandes cantidades de datos para aprender y tomar decisiones inteligentes. En este sentido, la información es necesaria no solo para que la IA alcance todo su potencial, sino también para que pueda evitar sesgos o errores.
Cabe recordar que la legislación peruana toma como referencia normativa la Ley Orgánica de Protección de Datos Personales de España de 1999, por lo que fue redactada en un contexto histórico, donde la cantidad de datos era limitada y podía ser controlada. Pero ¿A quién le importaba y con qué propósito se usaban? El rápido desarrollo de la tecnología y las herramientas de inteligencia artificial han provocado cambios que permiten procesar millones de datos en diferentes partes del mundo a una velocidad inimaginable; como
For example, and as we have seen at the beginning of this article, AI has been used in the facial recognition of mobile phones, virtual voice assistants such as Siri from Apple, Alexa from Amazon or Cortana from Microsoft, and it is integrated into the everyday devices through applications. The goal of all of them is to make life easier for people.
On the other hand, the rapid development and rapid adoption of artificial intelligence presents a challenge for the protection of personal data, since its use inevitably requires the processing of massive data. Most AI applications require large amounts of data to learn and make intelligent decisions. In this sense, information is necessary not only for AI to reach its full potential, but also so that it can avoid biases or errors.
It should be remembered that Peruvian legislation takes the Organic Law on Personal Data Protection of Spain of 1999 as a normative reference, so it was drafted in a historical context, where the amount of data was limited and could be controlled. But who cared and for what purpose were they used? The rapid development of technology and artificial intelligence tools have caused changes that allow millions of data to be processed in different parts of the world at an unimaginable speed; as a result of these changes, the regulation became obsolete in the face of these new challenges.
However, it is important to consider which are the resultado de estos cambios, la normativa quedó obsoleta ante estos nuevos desafíos.
Sin embargo, es importante considerar cuáles son los escenarios en los que la inteligencia artificial puede suponer una amenaza para el titular de los datos personales. Para responder a esto, debemos enfatizar que hay dos aspectos de la inteligencia artificial que son particularmente importantes para la privacidad. La primera es que la propia IA puede tomar decisiones automáticas, y la segunda es que el sistema se desarrolla aprendiendo de la experiencia y el conocimiento. Por tanto, habría que preguntarse: scenarios in which artificial intelligence may pose a threat to the owner of the personal data. To answer this, we must emphasize that there are two aspects of artificial intelligence that are particularly important for privacy. The first is that the AI itself can make automated decisions, and the second is that the system develops by learning from experience and knowledge. Therefore, one should ask:
Is it possible to combine the development of artificial intelligence with an adequate treatment of personal data?
Surge entonces una preocupación inevitable de cuál es el uso correcto de la información personal del usuario y que además este uso sea respetuoso de los derechos humanos y del marco normativo que hoy en día se aplica para el tratamiento de datos. La responsabilidad recae en los desarrolladores puesto que son ellos los llamados a respetar las regulaciones que cada país ha establecido. Estas normas no solo tienen presente los intereses del titular, sino que además deben reconocer la necesidad de estos datos para la realización de diferentes actividades licitas, legitimas y de interés general o particular. En suma, lo que se busca con las regulaciones o normativas es respetar el tratamiento de los datos personales sin que se vulnere los derechos de cada ciudadano.
En este sentido la ONU ha sido enfática en señalar la importancia de “utilizar al máximo el progreso científico y tecnológico en beneficio del hombre y de neutralizar las actuales consecuencias negativas de algunos logros científicos y tecnológicos, así como las que puedan tener en el futuro”. Aun así, menciona además que: “los logros científicos y tecnológicos pueden entrañar peligro para los derechos civiles y políticos de la persona o del grupo y para la dignidad humana”
Es entonces imprescindible alcanzar un punto de equilibrio entre los actores principales, que vendrían a ser: la innovación, el desarrollo, la IA y los derechos humanos. Actualmente no contamos con una formula para ello, aunque si podemos encontrar algunas recomendaciones que de alguna manera resultan útiles para lograr dicho equilibrio y sobre todo para alcanzar un nivel de desarrollo social, económico y tecnológico que funcione dentro del marco de los derechos humanos.
Mientras tanto La Red Iberoamericana de Protección de Datos sugiere tener en cuenta las siguientes
An inevitable concern then arises as to what is the correct use of the user’s personal information and that this use is also respectful of human rights and the regulatory framework that is currently applied to data processing. The responsibility falls on the developers since they are the ones called to respect the regulations that each country has established. These rules not only keep in mind the interests of the owner, but must also recognize the need for these data to carry out different lawful, legitimate activities of general or particular interest. In short, what is sought with the regulations or regulations is to respect the treatment of personal data without violating the rights of each citizen.
In this sense, the UN has been emphatic in pointing out the importance of “using scientific and technological progress to the maximum for the benefit of man and neutralizing the current negative consequences of some scientific and technological achievements, as well as those that may have in the future”. Even so, it also mentions that: “scientific and technological achievements may entail danger for the civil and political rights of the person or group and for human dignity”.
It is therefore essential to reach a point of balance between the main actors, which would be: innovation, development, AI and human rights. Currently we do not have a formula for it, although we can find some recommendations that are somehow useful to achieve said balance and above all to achieve a level of social, economic and technological development that functions within the framework of human rights.
Meanwhile, the Ibero-American Data Protection Network suggests taking into account the following recommendations:
• Comply with local Regulations on the Processing of Personal Data.
• Conduct Privacy Impact Studies recomendaciones:
• Incorporate Privacy, Ethics and Security by Design and by Default.
• Materialize the principle of Demonstrated Responsibility.
• Cumplir las Normas locales sobre el Tratamiento de datos Personales.
• Efectuar Estudios de Impacto de Privacidad.
• Incorporar la Privacidad, la Ética y la Seguridad desde el Diseño y por Defecto.
• Materializar el principio de Responsabilidad demostrada.
• Diseñar Esquemas Apropiados de Gobernanza en las Organizaciones que Desarrollan Productos de IA.
• Adoptar medidas para Garantizar los Principios sobre los proyectos de IA.
• Respetar los Derechos de los titulares de Datos e Implementar Mecanismos efectivos para el Ejercicio de Estos.
• Asegurar la Calidad de los Datos.
• Incrementar Confianza y la Transparencia con los titulares de los Datos Personales.
Referencias:
• Design Appropriate Governance Schemes in Organizations that Develop AI Products.
• Adopt measures to Guarantee the Principles on AI projects.
• Respect the Rights of Data Holders and Implement Effective Mechanisms for the Exercise of These.
• Ensure Data Quality.
• Increase Trust and Transparency with the holders of Personal Data.
Translated by: Justo Leandro Mogrovejo
• https://www.iberdrola.com/innovacion/que-es-inteligencia-artificial
• https://www.worldcomplianceassociation.com/2767/articulo-el-impacto-de-la-inteligencia-artificial-en-la-proteccinde-datos-personales.html
• https://www.repsol.com/es/energia-futuro/tecnologia-innovacion/inteligencia-artificial/index.cshtml
• https://www.redipd.org/sites/default/files/2020-02/guia-recomendaciones-generales-tratamiento-datos-ia.pdf
