Por: Carlos A. FERREYROS SOTO
Université de Montpellier I Francia.
M. Sc. Institut Agronomique Méditerranéen
cferreyros@hotmail.com
RESUMEN
La Junta Europea de Protección de Datos, EDPB, y el Supervisor Europeo de Protección de Datos, SEPD, han emitido un informe conjunto en el cual observan la prohibición del uso de Inteligencia Artificial para el reconocimiento automático de ciertos atributos personales en espacios de acceso público y algunos otros usos de la IA conducentes a formas discriminatorias.
El texto original del Resumen Ejecutivo ha sido
traducido del inglés al castellano por el autor. Este Resumen y el Texto integral
del Informe en inglés obran en el siguiente enlace:
En cuanto al alcance de la propuesta, el EDPB y el SEPD acogen con gran satisfacción el hecho de que se extienda al suministro y uso de sistemas de inteligencia artificial por parte de instituciones, organismos o agencias de la UE. Sin embargo, la exclusión de la cooperación internacional en materia de aplicación de la ley del ámbito de aplicación de la propuesta plantea serias preocupaciones para el EDPB y el SEPD, ya que dicha exclusión crea un riesgo significativo de elusión (por ejemplo, terceros países u organizaciones internacionales que operan aplicaciones de alto riesgo en las que confían las autoridades públicas de la UE).
El EDPB y el SEPD acogen favorablemente el enfoque basado en el riesgo que sustenta la Propuesta. Sin embargo, este enfoque debe ser aclarado y el concepto de "riesgo para los derechos fundamentales" debe alinearse con el RGPD y el Reglamento (UE) 2018/1725 (EUDPR), ya que entran en juego aspectos relacionados con la protección de datos personales.
El EDPB y el SEPD están de acuerdo con la Propuesta cuando ella establece que la clasificación de un sistema de IA como de alto riesgo no significa necesariamente que sea legal per se y que el usuario pueda implementarlo como tal. Es posible que deba cumplir con otros requisitos derivados de la ley de protección de datos de la UE por parte del controlador. Además, el cumplimiento de las obligaciones legales derivadas de la legislación de la Unión (incluida la protección de datos personales) debería ser una condición previa para poder entrar en el mercado europeo como un producto de marca CE. A tal efecto, el EDPB y el SEPD consideran que el requisito de garantizar el cumplimiento con el RGPD y la EUDPR debería ser incluido en el Capítulo 2 del Título III . Además, el EDPB y el SEPD consideran necesario adaptar la conformidad del procedimiento de evaluación de la Propuesta para que terceros siempre realicen evaluaciones de conformidad ex ante de los sistemas de IA de alto riesgo .
Dado el gran riesgo de discriminación, la Propuesta prohíbe la "puntuación social" cuando se realiza 'durante un cierto período de tiempo' o 'por las autoridades públicas o en su nombre '. Sin embargo, empresas privadas, como proveedores de servicios en la nube y redes sociales, también pueden procesar grandes cantidades de datos personales y realizar actividades de puntuación sociales. En consecuencia, el futuro Reglamento de IA debería prohibir cualquier tipo de puntuación social .
La identificación biométrica remota de individuos en espacios de acceso público plantea un alto riesgo de intrusión en la vida privada de las personas, con graves efectos sobre la expectativa de la población de ser anónimos en espacios públicos. Por estas razones, el EDPB y el SEPD piden una prohibición general de cualquier uso de IA para un reconocimiento automatizado de rasgos humanos en espacios de acceso público - tales como rostros, pero también sobre la forma de caminar, huellas dactilares, ADN, voz, pulsaciones de teclas y otras señales biométricas o de comportamiento - en cualquier contexto. Se recomienda igualmente la prohibición de los sistemas de inteligencia artificial que clasifican a las personas desde la biometría en grupos, según el origen étnico, el género, así como la orientación política o sexual, u otros motivos de discriminación en virtud del Artículo 21 de la Carta. Además, el EDPB y el SEPD consideran que el uso de IA para inferir las emociones de una persona física son altamente indeseables y deberían ser prohibidas.
El EDPB y el SEPD acogen con satisfacción la designación del SEPD como la autoridad competente y la autoridad de vigilancia del mercado para la supervisión de las instituciones, agencias y organismos de la Unión . No obstante, convendría aclarar el rol y las tareas del SEPD, específicamente en lo que respecta a su rol como autoridad de vigilancia del mercado. Además, el futuro Reglamento sobre la IA debería establecer claramente la independencia de las autoridades supervisoras en el desempeño de sus tareas de supervisión y ejecución.
La designación de las autoridades de protección de datos (APD) como autoridades nacionales de supervisión garantizaría un enfoque normativo más armonizado y contribuiría a una interpretación consistente de las disposiciones sobre el tratamiento de datos y evitar contradicciones en su aplicación entre los Estados miembros. Consecuentemente, el EDPB y el SEPD consideran que las autoridades de protección de datos deberían ser designadas como supervisoras nacionales autoridades de conformidad con el artículo 59 de la Propuesta.
La Propuesta asigna un rol predominante a la Comisión en el "Consejo Europeo de Inteligencia Artificial" (EAIB). Este rol entra en conflicto con la necesidad de que un organismo europeo de IA sea independiente de cualquier influencia política. Para garantizar su independencia, el futuro Reglamento de IA debería otorgar más autonomía a la EAIB y asegurarse de que pueda actuar por propia iniciativa.
Considerando la difusión de los sistemas de IA en el mercado único y la probabilidad de casos transfronterizos, existe una necesidad crucial para una aplicación armonizada y una asignación adecuada de competencias entre autoridades nacionales de supervisión. El EDPB y el SEPD sugieren concebir un mecanismo que garantice un punto de contacto único para las personas afectadas por la legislación, así como para las empresas, para cada sistema de IA.
En lo concerniente a las sandboxes[1], el EDPB y el SEPD recomiendan aclarar su alcance y objetivos . La Propuesta también debe establecer claramente que la base legal de dichos entornos sandbox deben cumplir con los requisitos establecidos en el marco de protección de datos existente.
El sistema de certificación descrito en la Propuesta carece de una relación clara con la ley de protección de datos de la UE, así como con la legislación de otros Estados miembros y de la UE aplicable a cada "área'' del sistema de alto riesgo de IA y no toma en cuenta los principios de minimización de datos y protección de datos por diseño como uno de los aspectos a tener en cuenta antes de obtener el marcado CE . Por tanto, el EDPB y el SEPD recomiendan enmendar la Propuesta para aclarar la relación entre los certificados emitidos en virtud de dicho Reglamento y certificaciones de protección de datos, sellos y marcas. Finalmente, las APD deberían participar en la preparación y el establecimiento de normas armonizadas y especificaciones comunes.
En cuanto a los códigos de conducta, el EDPB y el SEPD consideran necesario aclarar si la protección de datos personales debe ser considerada entre los "requisitos adicionales" que pueden ser abordados por estos códigos de conducta, y para asegurar que las “especificaciones técnicas y soluciones” no entren en conflicto con las reglas y principios del actual marco de protección de datos de la UE.
[1] Sandoxes puede ser definido como una
zona o entorno de prueba en un sistema
informático en el que se puede ejecutar de forma segura un programas informático
(software) nuevo o no probado. Nota del traductor.
No hay comentarios:
Publicar un comentario