Las empresas ultiman equipos multidisciplinares para gestionar la IA, donde la figura del DPO será clave

Durante dos días, Madrid se ha convertido en la capital de la privacidad ante los nuevos y significativos retos a los que se enfrentan las empresas e instituciones ante la nueva regulación europea del paquete normativo digital, en especial ante la reciente aprobación del Reglamento de Inteligencia Artificial, y el desafío para los delegados de protección de datos y los profesionales de la privacidad de ayudarlas con un asesoramiento actualizado, riguroso y ético.

Bajo este marco, la Asociación Profesional Española de Privacidad (APEP),  que ha cumplido quince años de vida, ha celebrado su 10º Congreso Internacional de Privacidad entorno a la Inteligencia Artificial, las obligaciones que el nuevo Reglamento de IA impone a desarrolladores, comercializadores y usuarios de estos sistemas y el rol de los profesionales de la privacidad y la protección de datos en el asesoramiento que requerirá el sector empresarial de nuestro país.

Marcos Judel, presidente de APEP, destacaba a Economist & Jurist que “en este viaje hacia la implementación responsable de la inteligencia artificial, es vital reconocer el papel esencial de los expertos en privacidad. Tenemos la oportunidad  de asumir el reto de la IA con la experiencia que da el haber asumido con anterioridad la implementación del RGPD europeo. La IA Generativa, cuando afecte a los datos personales en sus modelos y sistemas el Delegado de Protección de Datos (DPO ), va a ser la figura clave para liderar esta cuestión”.

Desde su punto de vista “nuestro trabajo tendrá que apoyarse en otros profesionales de la empresa. Lo primero que tiene que hacer un DPO es enterarse si en sus organizaciones están realizando tratamientos con IA. A partir de ahí, hay que hacer una evaluación sobre si esos modelos de IA están enlazados con datos personales. Ahí tendrá ver la necesidad de utilizar ese tratamiento. Hemos sabido recientemente que el 30% de los departamentos de RHH de las empresas ya utilizan sistemas de IA para el reclutamiento”.

El Congreso Internacional de Privacidad APEP ha reunido durante dos días a más de 300 asistentes y ha contado con ponentes líderes del sector, nacionales e internacionales, como Karolina Mojzesowicz, jefa adjunta de la Unidad de Protección de Datos de la Comisión Europea; Mar España, directora de la Agencia Española de Protección de Datos que intervino en el primer día en una videollamada desde Colombia al estar en una reunión de la Red Iberoamericana de Protección de Datos.

Karolina Mojzesowicz, jefa adjunta de la Unidad de Protección de Datos de la Comisión Europea explicó la importancia de la aprobación del Reglamento de IA. A su lado, Cecilia Álvarez, EMEA Privacy Policy director en Facebook. (IMAGEN: APEP)

Junto a ellos, tomaron la palabra  Norma Julieta del Río Venegas, comisionada del INAI México; Andrea Simándi, Privacy Legal director de Microsoft Europe; Stefano Fratta, director de Compromiso Global y Política de Privacidad de Meta, así como delegados de protección de datos de Importantes compañías de nuestro país, como Banco Santander, Telefónica, Iberdrola, Repsol, o MasOrange, entre otros .

 Complejidad normativa preocupante

En esas jornadas, uno de los temas que se  ha analizado es la complejidad regulatoria en Europa, reforzada por la aprobación de multitud de leyes en los últimos años, entre ellas, la Ley de Mercados Digitales, la Ley de Servicios Digitales, el Reglamento de Inteligencia Artificial o la Directiva de Plataformas. Además, se ha hablado de la coordinación de los reguladores que se crean como AESIA, con los ya existentes con la AEPD o la CNMC, entre otros.

Sobre esa complejidad normativa, comentaba Jorge Herrero, abogado experto en privacidad, vinculado al grupo Secuoya, a Economist & Jurist, como asistente a este Congreso: “Tenemos que estudiar bien el Reglamento de IA. Todo lo que tiene que ver con la IA y su implantación lo vamos a tener que asumir los Delegados de Protección de Datos (DPO). Es posible que haya desarrollar otros modelos de organización en las empresas, porque la colaboración con ingenieros y desarrolladores en estos temas de IA parece clave en estos momentos”.

Desde su punto de vista “tal y como han explicado los ponentes en algunas mesas redondas, el impacto de la IA va a ser más reducido de lo que se dice. La mayor carga normativa la tienen los desarrolladores de IA.  No veo tanto paralelismo como se dice del Reglamento de IA con el ya implementado RGPD a nivel de privacidad. Las empresas  que contraten las herramientas y las implementen en sus sistemas van a tener que cumplir unas obligaciones más limitadas”.

Para Eduard Blasi, vicepresidente de APEP, “es muy importante que los DPO y los responsables de privacidad se empiecen a formar en cuestiones de IA, porque es clave que estas dos normativas de IA y RGPD vayan de la mano pese a que no siempre un riesgo de IA suponga un problema de privacidad deben tener puntos de conexión y a la hora de realizar las evaluaciones de impacto puedan casar perfectamente. Estos análisis previos implican cada vez más a más personas y debe analizar todos los riesgos. La IA es un área aun mas transversal que la privacidad”.

Desde su punto de vista, “lo mas complicado de este entorno de IA es entender la tecnología que hay detrás, el marco normativo que ahora conocemos es complejo pero queda bien definido en la norma. La base de todo esto, si supone un riesgo en materia de IA o privacidad, es entender la tecnología. Es fundamental contar con una formación tecnológica para entenderla y un acompañamiento por parte del responsable de seguridad que vaya introduciendo estos componentes tecnológicos de cierta complejidad”.

Ponencia de Stefano Fratta, de META, donde abordó el reto normativo que afronta Europa con la llegada de la IA. (IMAGEN: APEP)

Con este conjunto de regulaciones, se pretende crear un “mercado único en el que los datos fluyan libremente dentro de la UE en beneficio de los usuarios, las empresas y las administraciones públicas”, ha explicado Karolina Mojzesowicz. Un tsunami normativo en el que será clave que se produzca un “diálogo ágil entre la industria y las instituciones europeas” en los próximos meses, ha especificado Carlos Romero Dupla, director de la Oficina de Bruselas VINCES.

Por su parte, Asier Crespo, legal director en Microsoft Spain & Portugal, comentaba a Economist & Jurist que “las asesorías jurídicas deberán estar presentes en los órganos de gobierno de las empresas porque estará en juego toda la actividad”. Se mostró contundente cuando aseveró que “nos encontramos en una verdadera revolución que afectará a los reductos que todavía no estaban digitalizados dentro del ámbito legal, así como a la formación de los juniors”.

Desde su punto de vista, el perfil del abogado de empresa va a cambiar porque ya no se necesitarán especialistas para cada área, ya que sus funciones las llevará a cabo la IA. De esta forma, el abogado se convertirá en un gestor. Por otra parte, el derecho más especializado acabará trabajando en los despachos.  “El acuerdo que hemos suscrito con Garrigues es para seguir trabajando y explorando vías en el desarrollo de la IA”.

Los despachos apuestan por la privacidad

En este Congreso de APEP, la presencia de despachos de abogados y sus expertos en privacidad ha sido notable. María Luisa González es counsel de Ramon y Cajal Abogados en un despacho de nuevas tecnologías que dirige el socio Norman Heckh “donde una de las ramas claves del asesoramiento a terceros es la protección de datos. Los abogados debemos entender muy bien como funcionan los sistemas y modelos de IA para poder asesorar a los clientes en las partes organizativas y legales que requieran la implementación de la nueva normativa, no solo el Reglamento de IA, sino también normas sobre responsabilidad de productos”.

Asistencia masiva al Congreso de APEP celebrado en el auditórium de BVA. (IMAGEN: APEP)

Esta experta nos aclara que “estamos en el momento de conocer y asimilar la complejidad de la norma, darles formación a nuestros clientes, así como ideas de cómo organizar lo que va a venir y quién va a asumir la responsabilidad. La IA es transversal a los ámbitos de compliance, seguridad de la información, protección de datos. También hay que ver que tipo de comité se crea en las organizaciones para gestionar estos temas. Todas las empresas están planeando como adaptarse a este entorno de IA. Habrá que ver quien lo asume. En algunas entidades los DPO parece que se harán cargo de ella”.

Para Paz Martín, socia directora del despacho Legal Things Abogados, boutique especializada en temas de derecho tecnológico, “la IA ya está aquí y se utiliza. Esta penetrando en distintos sectores de la actividad económica y sociedad. En el momento que trata datos personales, entra en juego el RGPD y los profesionales que nos dedicamos a la privacidad. Se nos presentan retos interesantes sobre la conexión de ambas normas. Nos esperan dos años intensos hasta que el Reglamento de IA entre de forma plena en España”.

En su opinión, “en estos momentos muchas empresas se están alineando sobre lo que esta por venir. Desarrolladores e implementadores deben ir preparando los sistemas en relación con esta nueva normativa que será obligatoria.  En muchas empresas se van a crear equipos multidisciplinares para abordar este reto transversal como es la IA. Ahí habrá perfiles técnicos, otros de gestión y jurídicos que van a abordar cuestiones tan importantes como la gestión de los riesgos en los sistemas de IA.  Hay empresas que ya tienen sus directores de IA y otras que confían en la gestión de los propios DPO”.

“Nos dirigimos hacia un mundo en el que el RGPD y los principios de privacidad se van a relacionar más con otras disciplinas”, ha indicado Stefano Fratta, en su intervención en la que ha añadido que, en este contexto, la coherencia y la consistencia serán elementos claves para que la UE siga siendo competitivo y “tengamos un mínimo de seguridad jurídica para todas las empresas que operan en el ámbito digital”.

Por su parte, “el mapa de la responsabilidad y la reacción del derecho ante la complejidad de riesgos de la inteligencia artificial es muy complejo”. Tal y como ha explicado en su ponencia  Javier Torre de Silva, socio director Área TMC en CMS Albiñána y Suárez de Lezo, los daños causados por uso de sistemas de están sujetos a la responsabilidad por productos, una directiva que data del año 1985 y que “prácticamente no ha cambiado en 35 años”.

Mesa redonda donde Javier Torre de Silva, socio director Área TMC en CMS Albiñána, y Suárez de Lezo han explicado la IA y la responsabilidad por daños. (IMAGEN: APEP)

Necesidad de equipos multidisciplinares

En un receso de la jornada, Cristina Sirera, Global Data Protection director de Colt Technology Service en España  y María Vidal, socia de nuevas tecnologías de finReg 360 despacho regulatorio conversan sobre la calidad de los ponentes. Para Cristina, “el papel de la AEPD es clave en este escenario regulatorio. Todas las guías que ha hecho son un punto de referencia en la UE. Ahora, esta nueva normativa de IA es un desafío y nos abre muchas posibilidades para generar debates éticos importantes. Hemos creado un grupo específico que aglutina protección de datos, seguridad y regulatorio para afrontar la IA”.

Esta multinacional ya ha definido sus políticas de privacidad y establecido los limites: “al mismo tiempo, hemos puesto en marcha guías y evaluaciones de impacto como multinacional que somos, donde también tenemos que tener en consideración la legislación local de países como Alemania, EEUU, India o Japón o UK. Nosotros lo gestionamos de forma colegiada la IA. Los abogados debemos aprender de algoritmos para luego auditarlos y trabajar conjuntamente con otros profesionales”.

Para María, “estamos analizando la normativa que se acaba de aprobar. No es tan complicada como es el caso del Reglamento Dora, especialmente focalizado a empresas y entidades financieras. De todas formas, el haber tenido la experiencia del RGPD de protección de datos hace que podemos utilizar con la implementación del Reglamento de IA metodologías similares. Ahora mismo, muchas empresas están creando la gobernanza de estas entidades. Los llamados comités colegiados de ética digital van a ser muy útiles”.

En su opinión, «después de crear esos comités hay que revisar las políticas existentes y realizar las evaluaciones de impacto que sean convenientes sobre los modelos y sistemas de cada organización. En España somos pioneros porque tenemos un regulador propio de IA, AESIA que habrá que ver su funcionamiento y cómo se articula con la AEPD y otros regulatorios. El reto ahora es trabajar conjuntamente los técnicos con los profesionales jurídicos para que estemos todos alineados y cumplamos con parámetros de transparencia que exige la normativa de IA».