En su primera intervención desde que asumió el cargo de presidente de la Agencia Española de Protección de Datos (AEPD), Lorenzo Cotino participó ayer en el I Encuentro de Derecho Digital del ICAM donde ofreció una profunda reflexión sobre la interconexión entre la protección de datos y la inteligencia artificial.
Durante su ponencia, titulada “Los nuevos riesgos para la protección de datos por la inteligencia artificial y la respuesta de la AEPD”, Cotino anunció la próxima puesta en marcha de un plan estratégico de la AEPD, cuyo borrador se abrirá a la participación pública. «La sociedad civil tiene mucho que aportar en temas de derechos digitales y protección de datos», aseguró. Este enfoque colaborativo, explicó el nuevo presidente de la AEPD, busca integrar las opiniones de quienes están al frente de la problemática, creando un diálogo más inclusivo.
Lorenzo Cotino abordó los desafíos englobados en la nueva legislación sobre inteligencia artificial, identificando la complejidad que supone conjugar la normativa de protección de datos y la normativa de Inteligencia Artificial. Así, Cotino resaltó la importancia de establecer marcos regulatorios claros y adecuados a la realidad tecnológica actual.
En este sentido, el presidente de la AEPD aclaró que el Reglamento de Inteligencia Artificial «no es un reglamento de derechos», lo que puede resultar confuso. En esta línea, recordó que aunque el 95% de los sistemas de alto riesgo bajo el Reglamento de IA son tratamientos de datos personales, el reglamento en sí mismo no regula específicamente el ámbito de la protección de datos, lo que complica su interpretación y aplicación.
Además, hizo hincapié en las obligaciones que impone el reglamento sobre aspectos como la evaluación de riesgos de derechos fundamentales para los desarrolladores de IA o como la necesidad de realizar estudios de impacto en materia de protección de datos para quienes implementen sistemas de IA en sus organizaciones.
“No olvidemos que el Reglamento de Inteligencia Artificial también incorpora ese análisis de riesgos. Lo incorpora para los fabricantes, proveedores, y para los implantadores, que son muchos más, pero lo extiende no solo a la protección de datos, sino a la no discriminación, a los sesgos, y a muchos otros derechos, porque la Inteligencia Artificial dispara con fuego racheado en todos los derechos fundamentales, no solo en la protección de datos”, afirmó.
Respecto a la normativa específica de protección de datos, Lorenzo Cotino, aclaró que, en relación con la inteligencia artificial, es insuficiente limitar el cumplimiento normativo únicamente al artículo 22 del Reglamento General de Protección de Datos (RGPD). Subrayó que cualquier sistema de inteligencia artificial que trate datos personales debe cumplir con la totalidad del RGPD, desde el primer hasta el último artículo, además de cualquier normativa específica aplicable. El artículo 22 únicamente añade garantías adicionales cuando se trata de decisiones basadas exclusivamente en procesos automatizados.
Asimismo, explicó que durante el ciclo de vida de una inteligencia artificial existen distintas etapas en las cuales se produce tratamiento de datos personales. Destacó especialmente el momento en que un sistema de inteligencia artificial utiliza datos personales para generar datos inferidos, situación en la que indudablemente existe tratamiento de datos personales. También apuntó que hay otras fases críticas como el entrenamiento, validación, prueba e implantación de los sistemas de inteligencia artificial, en las que es clave evaluar cuidadosamente la naturaleza de los datos utilizados y asegurar el cumplimiento normativo.
El presidente de la AEPD mencionó también los desafíos en términos de cumplimiento que plantea el nuevo reglamento, especialmente aquellos relacionados con la calidad de los datos y la manera en que estos pueden influir en las decisiones y evaluaciones realizadas por sistemas de IA.
Finalmente, enfatizó que, una vez implantado un sistema de inteligencia artificial dentro de una organización, la responsabilidad sobre el correcto tratamiento de los datos personales recae principalmente en dicha organización como responsable del tratamiento. Aunque inicialmente el proveedor o desarrollador del sistema tiene responsabilidades específicas, la entidad que implementa y utiliza la inteligencia artificial será la responsable última frente al cumplimiento normativo, quedando el proveedor generalmente como encargado del tratamiento.
La intervención concluyó con un llamado a los profesionales del derecho a adaptarse a estos nuevos retos normativos y a aprovechar las oportunidades que ofrece la intersección entre la protección de datos y la inteligencia artificial.
Clausura I Encuentro de Derecho Digital ICAM
El I Encuentro de Derecho Digital del ICAM concluyó con la intervención de clausura de Ignacio Azorin, Director general de Estrategia Digital de la Comunidad de Madrid; Mábel Klimt, Diputada responsable de Tecnología e Innovación de la Junta de Gobierno del ICAM; y Alejandro Touriño, Presidente de la Sección TIC del ICAM.
En su intervención, Mabel Klimt, Diputada responsable de Tecnología e Innovación de la Junta de Gobierno del ICAM, mostró su opinión crítica sobre el Reglamento de Inteligencia Artificial de la Unión Europea. Consideró que este reglamento es «poco valiente» y, al igual que sucedió con la normativa del derecho al olvido, la regulación está reaccionando más que anticipando. En este sentido, afirmó que Europa ya ha perdido la carrera por la inteligencia artificial debido a la falta de un enfoque más audaz, y dio su opinión sobre que el Reglamento sólo establece un marco limitado, sin hacer suficiente énfasis en los incentivos fiscales a la innovación.
