Entradas

E-Accesibilidad y la Inteligencia Artificial: La autonomía de las personas

La accesibilidad electrónica (e-accesibilidad) tiene como objetivo lograr que el máximo número de personas puedan obtener información disponible en plataformas digitales o electrónicas de una manera perceptible, operable, comprensible y tratada por cualquier tecnología que sea robusta e interoperable, independientemente de los conocimientos o capacidades personales e independientemente de las características técnicas del equipo utilizado para acceder a la información en entornos digitales.

Sin embargo, hoy en día la accesibilidad electrónica no debe estar orientada exclusivamente a las personas con discapacidad. Con el aumento del uso de los dispositivos que permiten el acceso a internet o a la información en formato electrónico, la accesibilidad electrónica pasa a significar que el acceso a la información en soporte electrónico  debe ser universal. Cuando hablemos de e-accesibilidad  se debe hablar de establecer los recursos necesarios para garantizar un acceso universal a la información y al conocimiento, independientemente de los medios tecnológicos utilizados y las condiciones físicas, mentales, cognitivas, culturales, sociales o geográficas de cada persona.

Las normas relacionadas con la accesibilidad digital protegen los derechos de las personas para garantizar la autonomía individual y por tanto la independencia de las personas. Además, estas normas son necesarias para garantizar otros derechos, como el derecho a la información o el derecho a la educación  donde la normativa de protección de datos es uno de los instrumentos legales más importantes para que dichos derechos sean realmente efectivos

El marco normativo internacional de la accesibilidad digital tiene sus fundamentos en la Convención sobre los derechos de las personas con discapacidad que fue adoptada por la Resolución 61/106, de 13 de diciembre de 2006, de la Asamblea General de las Naciones Unidas. En dicha Convención se establecen los siguientes principios:

  • El respeto de la dignidad inherente, la autonomía individual, incluida la libertad de tomar las propias decisiones, y la independencia de las personas;
  • La no discriminación;
  • La participación e inclusión plenas y efectivas en la sociedad;
  • El respeto por la diferencia y la aceptación de las personas con discapacidad como parte de la diversidad y la condición humanas;
  • La igualdad de oportunidades;
  • La accesibilidad;
  • La igualdad entre el hombre y la mujer;
  • El respeto a la evolución de las facultades de los niños y las niñas con discapacidad y de su derecho a preservar su identidad.

Respecto a las garantías de accesibilidad electrónica y la protección de la privacidad, en la Convención se establecen las siguientes disposiciones:

Artículo 9 Accesibilidad.

g) Promover el acceso de las personas con discapacidad a los nuevos sistemas y tecnologías de la información y las comunicaciones, incluida Internet;

h) Promover el diseño, el desarrollo, la producción y la distribución de sistemas y tecnologías de la información y las comunicaciones accesibles en una etapa temprana, a fin de que estos sistemas y tecnologías sean accesibles al menor costo.

Artículo 21 Libertad de expresión y de opinión y acceso a la información.

c) Alentar a las entidades privadas que presten servicios al público en general, incluso mediante Internet, a que proporcionen información y servicios en formatos que las personas con discapacidad puedan utilizar y a los que tengan acceso;

d) Alentar a los medios de comunicación, incluidos los que suministran información a través de Internet, a que hagan que sus servicios sean accesibles para las personas con discapacidad;

Artículo 22 Respeto de la privacidad.

Ninguna persona con discapacidad, independientemente de cuál sea su lugar de residencia o su modalidad de convivencia, será objeto de injerencias arbitrarias o ilegales en su vida privada, familia, hogar, correspondencia o cualquier otro tipo de comunicación, o de agresiones ilícitas contra su honor y su reputación. Las personas con discapacidad tendrán derecho a ser protegidas por la ley frente a dichas injerencias o agresiones.

Los Estados Partes protegerán la privacidad de la información personal y relativa a la salud y a la rehabilitación de las personas con discapacidad en igualdad de condiciones con las demás.

Actualmente la UE dispone de las siguientes directivas que desarrollan dichos apartados de la Convención:

  1. Por un lado la Directiva (UE) 2016/2102 del Parlamento Europeo y del Consejo, de 26 de octubre de 2016, sobre la accesibilidad de los sitios web y aplicaciones para dispositivos móviles de los organismos del sector público.

El artículo 1 define el objetivo de esta directiva:

1. A fin de mejorar el funcionamiento del mercado interior, la presente Directiva tiene por objeto aproximar las disposiciones legales, reglamentarias y administrativas de los Estados miembros relativas a los requisitos de accesibilidad de los sitios web y aplicaciones para dispositivos móviles de los organismos del sector público, permitiendo así que dichos sitios y aplicaciones sean más accesibles para los usuarios, en particular para las personas con discapacidad.

2. La presente Directiva establece las normas por las que se exige a los Estados miembros que garanticen que los sitios web, independientemente del dispositivo empleado para acceder a ellos, y las aplicaciones para dispositivos móviles de los organismos del sector público cumplan los requisitos de accesibilidad establecidos en el artículo 4.

Dicha Directiva ya ha sido transpuesta en España por el Real Decreto 1112/2018, de 7 de septiembre de 2018.

  1. Y  la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios.

El artículo 1 define el objetivo de esta directiva:

El objetivo de la presente Directiva es contribuir al correcto funcionamiento del mercado interior mediante la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros en lo relativo a los requisitos de accesibilidad exigibles a determinados productos y servicios, en particular eliminando y evitando los obstáculos a la libre circulación de productos y servicios derivados de las divergencias en los requisitos de accesibilidad en los Estados miembros.

Los sistemas de inteligencia artificial pueden mejorar y facilitar el cumplimiento de los principios de la e-accesibilidad para cualquier colectivo de personas (por ejemplo para reconocer gestos, comportamientos, emociones o incluso analizar la actividad cerebral de las personas para que el sistema ejecute determinadas acciones). Pero dichas facilidades y funcionalidades también crean nuevos riesgos legales.

Respecto a la normativa de inteligencia artificial que será aplicable en la UE, el pasado 21 de abril de 2021 se ha publicado la Propuesta de reglamento del parlamento europeo y del consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (ley de inteligencia artificial) y se modifican determinados actos legislativos de la unión.

La  Comisión Europea propone un marco reglamentario sobre inteligencia artificial (IA) con los siguientes objetivos específicos:

  • Garantizar que los sistemas de IA introducidos y usados en el mercado de la UE sean seguros y respeten la legislación vigente en materia de derechos fundamentales y valores de la Unión;
  • Garantizar la seguridad jurídica para facilitar la inversión e innovación en IA;
  • Mejorar la gobernanza y la aplicación efectiva de la legislación vigente en materia de derechos fundamentalesy los requisitos de seguridad aplicables a los sistemas de IA;
  • Facilitar el desarrollo de un mercado único para hacer un uso legal, seguro y fiable de las aplicaciones de IA y evitar la fragmentación del mercado.

La propuesta de Reglamento sigue un enfoque basado en los riesgos que distingue entre los usos de la IA que generan: i) un riesgo inaceptable, ii) un riesgo alto, y iii) un riesgo bajo o mínimo.

Respecto a los sistemas de IA inaceptables, la propuesta establece que estará prohibida la introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA que aproveche alguna de las vulnerabilidades de un grupo específico de personas debido a su edad o discapacidad física o mental para alterar de manera sustancial el comportamiento de una persona que pertenezca a dicho grupo de un modo que provoque o sea probable que provoque perjuicios físicos o psicológicos a esa persona o a otra.

Para el resto de sistemas de IA no clasificados como inaceptables, se establece el principio de transparencia cuando están destinados a interactuar con personas físicas o a generar contenidos que puedan conllevar riesgos específicos de suplantación o falsificación, con independencia de si los sistemas son clasificados como de alto riesgo o no.

En particular, se establece la obligación de notificar a las personas físicas que están interactuando con un sistema de IA, salvo que sea evidente por las circunstancias y el contexto de uso, y deben ser informadas cuando estén expuestas a un sistema de reconocimiento de emociones o a un sistema de categorización biométrica y por tanto, especialmente se establece la obligación de facilitarse esta información y estas notificaciones en formatos accesibles para las personas con discapacidad.

Todo ello sin olvidarnos de aplicar el principio de transparencia del artículo 5 y el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en la persona física afectada o le afecte significativamente de modo similar, del artículo 22 del Reglamento General de Protección de Datos (RGPD).

Si se percibe interés por este tema, en otro artículo abordaré las posibles obligaciones jurídicas y técnicas contempladas en las normativas de e-accesibilidad, inteligencia artificial, ciberseguridad y protección de datos para que los proveedores, usuarios o cualquier entidad pública o privada pueda desarrollar legalmente sus sistemas de inteligencia artificial o plataformas digitales que permitan el acceso universal a la información y el conocimiento.

Eduardo López-Román
Abogado especializado en Derecho Digital y DPD, Vocal de ENATIC.

Compliance tecnológico: Cinco retos para la temporada 2021/22

Después de un verano tan deseado, comenzamos una nueva temporada trepidante y llena de retos y objetivos dentro del mundo del Derecho Digital. A continuación, indico algunos de esos aspectos que considero que van a plantearnos una importante dedicación a los profesionales que nos dedicamos a ayudar a las organizaciones a cumplir las normas, mitigar sus riesgos y aportar eficiencia a los nuevos negocios y operaciones digitales:

  • Reto 1. Legal Risk mapping: Cada vez resulta más complicado en organizaciones de cierto tamaño tener un mapa visual que nos ofrezca información clara de qué normas nos aplican, qué grado de madurez de cumplimiento tenemos en cada una de ellas, qué controles o medidas son comunes para cumplir varias normas, etc.

    La presión normativa a las que las empresas están sometidas es abrumadora, en asuntos generales y, en particular, en asuntos digitales. En muchas compañías se genera algún tipo de estudio de aplicabilidad normativa impulsado por Legal, Compliance, DPO, etc. que, en muchos casos, pronto queda obsoleto y pierde valor.

    En cambio, desde los Board cada vez existe más preocupación por el impacto que los incumplimientos normativos pueden tener en la empresa, ya sea por las sanciones o barreras de negocio que puedan representar, como por el impacto reputacional.

    Por ello, resulta conveniente trabajar en la realización y actualización de estos legal risk mapping:
    • con detalle del alcance, operaciones o servicios de la compañía donde nos aplican,
    • que refleje los indicadores y evidencias de cumplimiento necesarias para tener en tiempo real un termómetro de Compliance Tecnológico,
    • que establezca el grado de madurez y cumplimiento de los diferentes requisitos normativos y nos ayude a saber dónde trabajar y con qué medios para mitigar los riesgos más representativos,
    • con capacidad de absorber los nuevos requisitos y obligaciones que van a venir impuestas por reciente o inminente normativa (ENS, NIS, DORA, nuevos criterios RGPD, Derechos Digitales, Cookies, nueva ley sobre canales de denuncia y protección de alertadores, reconocimiento facial, etc.)
  • Reto 2. Uso de inteligencia artificial en procesos de la compañía: El uso de procesos de inteligencia artificial se está extendiendo poco a poco en todas las áreas de una organización.

    Si bien inicialmente se aplicó a la gestión de clientes, mejorar su perfilado y segmentación, predecir hábitos de consumo o preferencias, actualmente las áreas de RRHH, operaciones, administración y financiero, legal, etc. también se están apuntando al uso de tecnologías y herramientas que utilizan la Inteligencia Artificial.

    En este sentido, será fundamental participar y asesorar como profesionales de derecho digital en tales proyectos desde dos diferentes enfoques:
    • Comprobar que el uso de IA está alineado a las buenas prácticas internacionales que se han publicado desde diferentes instituciones (trazabilidad, auditoría, calidad de algoritmos, etc.), así como alinearlo a los criterios de la futura normativa europea que ya se ha planteado por la Comisión Europea. Por supuesto, uno de los retos es la protección de los derechos de los individuos y que el uso de IA no vulnere los mismos en términos de igualdad, privacidad, etc.

      En este sentido, España publicó noviembre de 2020 una Estrategia Nacional de Inteligencia Artificial donde uno de sus 6 ejes estratégicos es el de “establecer una marco ético y normativo que refuerce la protección de los derechos individuales y colectivos, a efectos de garantizar la inclusión y el bienestar social”.
    • Protección de intangibles por la aplicación de IA en procesos de negocio, es decir, proteger los algoritmos creados o licenciados, los resultados y datos generados por aplicación de la IA, secretos comerciales, viabilidad para comercializar información disociada, etc.
  • Reto 3. Gobierno del camino al Cloud: Sin duda muchísimas organizaciones llevan tiempo contratando más y más servicios en Cloud, trasladando gran parte de su IT a la nube, ya sea en modo IaaS, PaaS, SaaS, etc. y la tendencia es seguir haciéndolo en mayor medida.

    Las implicaciones a nivel legal, de riesgos y cumplimiento son muy diversas en ese “journey to Cloud”, y a la vez muy diferentes de un modelo de internalización de la tecnología, en aspectos como la responsabilidad contractual del proveedor, el control de los datos, los riesgos de ciberseguridad, la gestión de evidencias de cumplimiento, Auditorías y supervisión por terceros o por Autoridades de Control, licenciamiento de software y modo servicio, gestión de crisis y brechas de seguridad, plan de salida y cambio de proveedor, etc.

    Por todo ello, se hace más necesario que nunca diseñar e implantar un sistema de Gobierno para el Cloud en cada organización, donde se definan los roles, responsabilidades y jerarquías en las variadas tomas de decisión que hay que tomar y que pueden conllevar importantes impactos para la compañía en términos de ineficiencia, asunción de riesgos, mayor coste en la factura del proveedor, problemas de seguridad, falta de coordinación interna, etc.

    Es necesario quitarse de la cabeza que ir a la Cloud es igual a desalojar todo tipo de responsabilidades en la compañía y que esa responsabilidad es asumida por el proveedor de manera íntegra. Es vital dotarse de esas políticas y procedimientos internos sobre Cloud para una mejor gestión de la contratación, monitorización y mantenimiento, cálculo de ahorro económico, mejor interlocución con el proveedor, mayor mitigación de riesgos, mejor control de eventuales crisis…
  • Reto 4. Implantación de Legaltech: Se habla mucho de Legaltech, de su mercado floreciente y de lo que aporta la digitalización y la incorporación de tecnologías en la función de las áreas legales, de Compliance y de Riesgos.

    Pero considero que es necesario dar un paso más y sacar todo el partido a las posibilidades que muchas herramientas nos ofrecen. En muchas organizaciones apenas se han implantado ninguno de estos sistemas o se limitan a gestores documentales, de expedientes, bases de datos, y otros productos de estas características.

    En algunas grandes corporaciones ya podemos ver cómo se han incorporado a los equipos legales y de Compliance expertos en tecnologías que ayudan a valorar la oferta de mercado, realizar demos y pilotos, liderar la implantación de las tecnologías seleccionadas, hacer un seguimiento de su utilidad y uso a través de indicadores, etc.

    En esta temporada 21/22 creo que debemos dar un paso de madurez y apostar por tecnologías Legaltech más disruptivas (y muy testeadas) que incorporan machine learning e IA y cuya aportación es enorme para una Asesoría en términos de valor añadido, capacidad de gestión de riesgos legales, ahorro de tiempo de los equipos, visión holística del estado de la compañía a nivel legal, capacidad de report a Dirección y Consejo, mejor relación e interlocución con áreas de negocio y con empleados, mejor control de medidas legales en los procesos de negocio, etc.
  • Reto 5. Apoyo continuo en la Transformación Digital: Considero que ya era un reto en la temporada anterior 20/21, y quizá lo siga siendo en la siguiente. Y es que los profesionales del Derecho Digital deben estar al lado de las áreas de IT y las oficinas de Transformación Digital, ya que los retos a los que se enfrenta la organización son enormes.

    Resulta fundamental conocer el diseño de los nuevos procesos, de la incorporación de tecnologías, del tratamiento de los datos, etc. que se pretende realizar en la organización, ya que el impacto legal es muy grande en aspectos como las responsabilidades contractuales, el cumplimiento de la normativa de protección de datos, propiedad intelectual e industrial, la protección de activos intangibles, la ciberseguridad, etc.

    Para terminar, resulta necesario implantar un sistema de “legal by design” y poder dar esa cobertura legal de manera continua desde que se diseña ese nuevo producto o servicio, pero además resulta necesario establecer un buen sistema de gestión que facilite internamente los análisis de riesgos legales, la custodia de evidencias de cumplimiento y control, la monitorización de controles legales en el avance del proyecto, etc.

Hay muchos más retos para los profesionales del derecho digital, pero he querido hacer mención a estos cinco que considero los más fascinantes que se nos plantean para los próximos meses.

Mucho ánimo y salud compañer@s para enfrentarnos a esta temporada 2021/22.

Carlos A. Saiz
Presidente de ENATIC y socio de Ecix Group

A vueltas con la Propuesta de Reglamento de la CE sobre la regulación de la IA: avances y riesgos

Para hablar del futuro es necesario realizar una referencia a la novísima Propuesta de Reglamento de fecha 21 de abril de 2021, por la que se establecen normas armonizadas sobre la inteligencia artificial en la Unión, cuestión que también afectará irremediablemente en un futuro próximo a las investigaciones tecnológicas en la era postcovid, y en consecuencia, a los procesos penales donde se utilicen datos electrónicos.

Con esta normativa se vislumbra un futuro restrictivo en el uso de la IA a través de una regulación que frene su desarrollo y uso indiscriminado, con el fin de salvaguardar los valores últimos de la UE. Podemos decir que sería una parte dentro del Programa Europa Digital que actúa como su némesis. Dentro de este programa existe un topic principal consistente en “Configurar el futuro digital de Europa”[1] orientado en buscar una verdadera transformación digital de la UE con fiel respeto a los derechos fundamentales de los ciudadanos y como protagonista el desarrollo de la tecnología 5G mediante herramientas tecnológicas basadas en inteligencia artificial. Esta estrategia se traduce en impulsar, para todas las administraciones públicas y privadas, aplicaciones basadas en asistentes virtuales, herramientas predictivas, incorporación de bots o biometría entre otras. En definitiva, estamos hablando de utilizar Big Data, es decir, macrodatos en abierto[2], lo que causará inevitablemente un impacto en la privacidad de los ciudadanos europeos.

Además, esta propuesta de Reglamento sobre IA proporciona una definición de lo que se debe entender por este tipo de tecnología o herramienta, indicando que estaríamos ante “un software que, mediante el empleo de técnicas matemáticas y de programación, conocidas como “algoritmos”, permiten elaborar resultados que sirven para realizar predicciones, pronósticos de conductas, recomendaciones de decisiones futuras, entre otros fines”; cuestión de especial importancia al enfocar solo la definición en la parte intangible, y desligando acertadamente su desarrollo propio de la robótica, para lo que hay una serie de textos concretos y sobre las que gran parte de la sociedad y la doctrina entrelaza de manera confusa.

La Comisión Europea es consciente del alto grado de injerencia que este tipo de tecnología puede tener sobre el derecho fundamental a la protección de datos de los administrados, por lo que se deben plantear una serie de cautelas en la configuración de las aplicaciones por defecto. Quiere decir que partimos de una serie de requisitos previos de seguridad a nivel legal que se deberán cumplir y de que del mismo modo existe opacidad en muchos algoritmos que pueden generar complicaciones legales y desconfianza por parte de sus potenciales usuarios.

En este sentido, el proyecto presenta una normativa que clasifica los tipos de IA en función del riesgo de afectación e injerencia para los derechos fundamentales de los ciudadanos, diferenciando cuatro categorías: a) riesgo inadmisible, b) alto riesgo, c) riesgo limitado; d) riesgo mínimo.

Riesgo inadmisible significa que dichos programas estarán prohibidos y que por tanto no podrían tener una inclusión comercial al exponerse a una sanción concretamente sobre el 5% de los beneficios anuales de la empresa que lo desarrolle. Entre los usos prohibidos podemos encontrar todos los programas persuasivos que lleguen a manipular subliminalmente a los usuarios, aquellos que ataquen a colectivos especialmente vulnerables y que les pueda causar daño físico o moral, los que se basen en sistemas de “puntuación social” o aquellos que se basen en sistemas de reconocimiento biométrico en espacios abiertos y con finalidades privadas y no autorizadas previamente en el marco de una investigación policial ante casos de especial gravedad entre los que la propuesta de Reglamento destaca propiamente el terrorismo.

De igual modo, también sufrirán especiales limitaciones los sistemas de alto riesgo y tendrán que pasar una serie de filtros si quieren ser comercializados sin que se les llegue a imponer una sanción. Cuestiones vinculadas a filtrado de perfiles para recursos humanos, perfilación, transporte o infraestructuras críticas deberán demostrar mecanismos para controlar los inevitables sesgos o a la discriminación algorítmica que lleven aparejados, al tiempo que deberán contar así con una supervisión por humanos. Con este nuevo bloque la UE deja clara su apuesta por un tipo de IA que sirva de apoyo, pero nunca de sustitución completa, a labores vinculadas a administraciones públicas.

Nos parece un enorme acierto afrontar la discriminación algorítmica con controles humanos, que haya obligaciones de testar de manera continuada y que exista un feedback de diversos profesionales, así como poder desarrollar guías de buenas prácticas o estándares de uso de IA. Todo ello dota de enorme valor la propuesta de crear un Consejo Europeo de Inteligencia Artificial, formado por comités de expertos que asesoren sobre la materia. Esta cuestión sigue la estela de la réplica de otros campos como la de robótica. Cuestión distinta y aún por definir es todo lo relativo a la creación de sistemas de compliance en este sentido o códigos de conducta a la hora de desarrollar y aplicar los algoritmos.

¿Cómo se pretende realizar todo ello?  A través de lo que se denomina sandboxes regulatorios (cajas de arena). Hablamos de un entorno de pruebas cerrado, diseñado para experimentar de forma segura con proyectos de desarrollo web o de software. Es decir, realmente estaríamos hablando de una especie de campo de pruebas para nuevas herramientas tecnológicas que se encuentran en el plano alegal y que deben ser supervisados por las instituciones regulatorias. En este sentido, desde el punto de vista judicial una muestra clara sería el de la jurimetría o justicia predictiva, el cual podría encontrarse en esta franje de alto riesgo y del que se necesitaría un proceso de testar mucho más profundo que el que se ha hecho hasta el momento. Comienza así una lucha contra los algoritmos sesgados con soporte legal, pues el proyecto de Reglamento le dedica tres artículos, del 53 al 55. Concretamente el art. 53 apunta que “Los espacios aislados de regulación de la IA establecidos por una o más autoridades competentes de los Estados miembros o por el Supervisor Europeo de Protección de Datos proporcionarán un entorno controlado que facilite el desarrollo, la prueba y la validación de sistemas innovadores de IA durante un tiempo limitado antes de su comercialización o puesta en servicio con arreglo a un plan específico”. Estamos hablando de unas pruebas supervisadas, en las que cualquier riesgo significativo para la salud y la seguridad y los derechos fundamentales que se detecte durante el desarrollo y las pruebas de dichos sistemas dará lugar a una mitigación inmediata; tal y como recoge el punto tres del aludido precepto. Con ello, se abre un nuevo espacio de cooperación procesal internacional entre las autoridades competentes de los Estados miembros que hayan creado sandboxes o espacios aislados de regulación de la IA coordinarán sus actividades y cooperarán en el marco de la Junta Europea de Inteligencia Artificial.

De igual modo, en relación estricta con el objeto de la presente investigación: el uso de inteligencia artificial en la fase de instrucción del proceso penal, debemos acudir directamente al art. 52 de la propuesta de Reglamento, pues hace alusión expresamente a ello.

Así, el art. 52 regula las obligaciones de transparencia para determinados sistemas de IA. En este sentido será necesario que las personas que vayan a manejar el sistema sean informadas de las cuestiones de diseño y desarrollo sobre las que esa herramienta se ha configurado. Pero, a tenor de lo que atañe, esta cuestión queda excluida de los procesos penales, al indicar que “Esta obligación no se aplicará a los sistemas de IA autorizados por la ley para detectar, prevenir, investigar y perseguir delitos, a menos que dichos sistemas estén disponibles para que el público denuncie un delito”. Por tanto, solo deberán ser informados los usuarios si son herramientas de inteligencia artificial usadas por el público en general, pero no para autoridades judiciales.

Lo mismo ocurre con la biometría, ya que para ser autorizados estos sistemas deberán informar a las personas físicas que estén expuestas a los mismos, pero dicha obligación, según el art. 52.2 “no se aplicará a los sistemas de IA utilizados para la categorización biométrica, que están autorizados por la ley para detectar, prevenir e investigar delitos”[3].

De igual modo, si estos programas manipulan contenidos de imagen, audio o video, provocando lo que se denomina comúnmente como “Deep-fake”, se deberá indicar expresamente que el contenido está manipulado de manera artificial. Aunque vuelve a poner una objeción para la investigación de delitos al indicar que “no obstante, no se aplicará cuando el uso esté autorizado por la ley para detectar, prevenir, investigar y perseguir delitos o sea necesario para el ejercicio del derecho a la libertad de expresión y el derecho a la libertad de las artes y las ciencias garantizados en la Carta de los Derechos Fundamentales de la UE, y siempre que se ofrezcan las garantías adecuadas para los derechos y las libertades de terceros”. Creemos firmemente que esta cuestión está planteada para permitir el uso de materiales camuflados o creados artificialmente por agentes encubiertos informáticos, y así permitir el intercambio de archivos de naturaleza aparentemente ilícita.

Se abre una nueva etapa del uso de herramientas de inteligencia artificial en esta parte del proceso, para los que España ya se encuentra preparada. Debemos poner en valor que nuestro país es uno de los pocos estados miembros con una estrategia propia sobre Inteligencia Artificial, hecha pública en diciembre del 2020 y en la que se pretenden invertir 600 millones de euros hasta el 2023.  La misma se deberá adaptar al futuro Reglamento, aunque busca los mismos objetivos, los cuales se pueden resumir en dos: respetar los derechos fundamentales y generar confianza en la ciudadanía.

Al incardinar la estrategia en la Vicepresidencia de Asuntos Económicos y Transformación Digital, podemos ver que el enfoque está planteado para hacer del desarrollo de la IA un nuevo vector económico. Esto a su vez, podría llegar a tener una fuerte repercusión a nivel de empleo y se inserta además en el Plan de Recuperación, Transformación y Resiliencia de la economía española, lo que conecta con los fondos Next Generation de la UE para hacer frente a las consecuencias provocadas a todos los niveles por la crisis sanitaria de la Covid-19 y al que se añade el fondo Next Tech de naturaleza público-privada. Desde el punto de vista jurídico se habla de conseguir un marco ético y normativo que garantice la protección de los derechos individuales y colectivos. Podemos decir que el punto cardinal que centrará esta acción en legislar la injerencia de la IA en los derechos fundamentales de las personas entre los que destacará la protección de datos personales, para perseguir los fines propios recogidos sobre la materia en el mismísimo Tratado Fundacional de la Unión Europea.

Federico Bueno de Mata
Profesor Titular de Derecho Procesal en la Universidad de Salamanca y Vocal de ENATIC


[1]  Vid. https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/shaping-europe-digital-future_es (Fecha de consulta: 18 de mayo de 2021).

[2] BUENO DE MATA, F. “Macrodatos, inteligencia artificial y proceso: luces y sombras”, Revista General de Derecho Procesal, iustel.com, núm. 51, 2020.

[3] Esta cuestión ya viene apuntada por el Libro Blanco de la Inteligencia Artificial, en relación a la recopilación y el uso datos biométricos para la identificación remota; al indicar que su uso entraña riesgos específicos para los derechos fundamentales si dichas tecnologías se utilizan en espacios abiertos sin haber informado previamente a sus potenciales usuarios.