¿Qué tener en cuenta al utilizar sistemas de IA?

Los Sistemas de Inteligencia Artificial (“IA”) son sistemas basados en máquinas diseñados para operar con distintos grados de autonomía, mostrando una adaptación después de su despliegue. Estos sistemas, a partir de los datos que reciben, pueden inferir cómo generar resultados, tales como predicciones, contenidos, recomendaciones o decisiones, que tienen el potencial de impactar tanto en entornos físicos como virtuales. Es decir, en esencia, los Sistemas de IA son herramientas que buscan emular la forma de razonar de una persona, a partir de algoritmos, modelos matemáticos y conjuntos de datos para imitar comportamientos inteligentes.

Bajo la Ley de IA de la Unión Europea (“EU”), los Sistemas de IA están clasificados bajo cuatro tipos de riesgos: inaceptable, alto, limitado y mínimo o nulo. De manera particular, los sistemas que planteen riesgos inaceptables, como amenaza a la seguridad, los medios de vida y los derechos de las personas, desde el escrutinio social por parte de los gobiernos hasta los juguetes que utilizan asistencia por voz, se encuentran prohibido. No obstante, los Sistemas de IA de riesgo mínimo, como los juegos y los filtros de spam, pueden utilizarse libremente.

Ahora bien, para los Sistemas de IA catalogados como riesgo limitado, como los chatbots, deben cumplir obligaciones de transparencia para que los usuarios sepan que no están interactuando con seres humanos.

Los Sistemas de Alto riesgo, como los utilizados en infraestructuras críticas o para hacer cumplir la ley, deben someterse a una evaluación de impacto en privacidad, la cual deberá contener, como mínimo:

• Los procesos en los que se utilizará el Sistema de IA de alto riesgo de acuerdo con la finalidad prevista.
• Período de tiempo y la frecuencia con que se prevé utilizar cada sistema de IA de alto riesgo.
• Las categorías de los grupos de interés que puedan verse afectados por el uso de Sistemas de IA en el contexto específico.
• Los riesgos específicos de daños que puedan afectar a las categorías de los grupos de interés, teniendo en cuenta la información facilitada por el prestador.
• La aplicación de las medidas de supervisión humana, de acuerdo con las instrucciones de uso.
• Las medidas que deben adoptarse en caso de materialización de dichos riesgos, incluidas la participación de la estructura administrativa para su mitigación.

La Superintendencia de Industria y Comercio (“SIC”), a través de la Circular externa 002 del 21 de agosto de 2024, mencionó que, para realizar el tratamiento de datos personales a través de Sistemas de IA, los Responsables deberán:

• Realizar una ponderación atendiendo cuatro criterios: idoneidad, necesidad, razonabilidad y proporcionalidad en sentido estricto.
• Abstenerse de realizar el tratamiento o adoptar medidas preventivas para proteger los derechos del Titular del dato, su dignidad y otros derechos humanos, cuando se presente falta de certeza frente a los potenciales daños que puede causar el Tratamiento de Datos personales.
• Identificar y clasificar riesgos, así como la adopción de medidas para mitigarlos, en cumplimiento del Principio de Responsabilidad Demostrada.
• Adecuar los sistemas de administración de riesgos asociados al Tratamiento, con el objetivo de identificar, medir, controlar y monitorear todos aquellos hechos o situaciones que puedan incidir en la debida administración del riesgo que están expuestos en desarrollo del cumplimiento de la Regulación de Protección de Datos Personales.
• Implementar técnicas de privacidad diferencial, en donde se realice una analítica sobre datos sin revelar información de las personas que proporcionaron esos datos.
• Implementar medidas tecnológicas, humanas, administrativas, físicas y contractuales, que propendan por el cumplimiento del principio de seguridad.
• Prever estrategias pertinentes, eficientes y demostrables para garantizar el cumplimiento de los derechos de los Titulares de la información.

De acuerdo con la Circular Externa 002 emitida por la SIC, los Responsables del tratamiento, previo al diseño y desarrollo de la IA, y en la medida que dicha técnica pueda tener un alto riesgo de afectación a los titulares de la información, deben implementar medidas de privacidad desde el diseño y por defecto. De manera específica, una de las medidas traídas a colación por la circular es la ejecución de una evaluación de impacto en privacidad. Dicha evaluación, deberá contener por lo mínimo:

• Una descripción detallada de las operaciones de tratamiento de datos personales.
• Una evaluación de los riesgos específicos para los derechos y libertades de los titulares de los datos personales. Asimismo, se deberá realizar la identificación y clasificación de dichos riesgos.
• Las medidas preventivas para evitar la materialización de los riesgos, medidas de seguridad, diseño de software, tecnologías y mecanismos que garanticen la protección de Datos personales, teniendo en cuenta los derechos e intereses legítimos de los Titulares de los datos y de otras personas que puedan eventualmente resultar afectadas.