Privacidad: anonimización y seudonimización frente a la IA

Frente a la creciente exposición de nuestros datos personales debido al uso cada vez más extendido de la inteligencia artificial (IA), surge la pregunta sobre la responsabilidad legal en su aplicación. Si bien la IA ofrece numerosos beneficios en la vida cotidiana, desde la automatización de tareas hasta la personalización de servicios, su funcionamiento depende fundamentalmente de la utilización de datos personales.

Los aclamados beneficios que el uso de la IA trae en la vida cotidiana, tales como automatización de tareas repetitivas, personalización, asistencia virtual, automatización del hogar, mejor calidad de vida, entre otros, son indudables. La IA puede mejorar la vida cotidiana y se espera que su impacto continúe expandiéndose en diversas áreas en el futuro.

Sin embargo, requiere de datos, en tanto son la “fuente de alimento” para que la IA pueda expresarse o pensar como humanos, ejecutar tareas propias de la lógica formal, predecir respuestas y soluciones y un sin fin de ventajas más.

Observemos el impacto de la IA en nuestra vida diaria a través de ejemplos concretos como las aplicaciones disponibles en nuestros smartphones, tales como los asistentes virtuales Siri, Alexa y Google Assistant; así también, plataformas de streaming con recomendación de contenido como Netflix y Spotify. ¿Quién no ha experimentado que Spotify sugiere una canción que nos gusta?¿O que después de buscar un producto en línea, nos encontramos con invasión de publicidad de ese producto o relacionada?

Pensemos en sistemas de IA de reconocimiento facial utilizados en seguridad y aplicaciones de identificación. Herramientas de traducción automática como Google Translate. El uso cotidiano de la IA se encuentra más próximo de lo que se cree, lo cual significa que estos sistemas se encuentran más cerca de nuestros datos personales de lo que parece y creemos o llegamos a percibir.

El nudo gordiano es ¿Qué podemos hacer para prevenir el uso indebido o inapropiado de nuestros datos? En Argentina, la regulación de datos personales existe, plasmada en leyes tales como la 25.326 de Protección de Datos Personales, aunque fue pensada en una Web 1.0 y 2.0, en donde la interacción era limitada. En dichas interacciones de la red, el usuario tenía un perfil más bien pasivo, mientras que la Web 2.0 y 3.0 busca más bien un perfil del usuario más activo.

Ahora bien, la ley 25.326 que data del 2000 continúa vigente, más allá de los proyectos de ley impulsados por la Agencia de Acceso a la Información Pública (AAIP). Los smartphones, plataformas audiovisuales como Spotify o Netflix, Siri, el reconocimiento facial, entre otros, eran impensadas. Hoy estamos en presencia de la una web 3.0 que sin dudas es más “inteligente”, lo que se manifiesta especialmente en los buscadores. Por eso, Argentina en 2018 aprobó el Convenio 108 y recientemente, la Convención 108+ Modernizado que actualiza el anterior, ambos del Consejo de Europa.

Estas normativas buscan garantizar la legitimidad del tratamiento de datos y promover técnicas como la anonimización y la seudonimización para proteger la privacidad de las personas, porque permiten el uso de datos de manera segura para fines legítimos, como la investigación científica o estadística, sin comprometer la privacidad de las personas.

Las técnicas de anonimización se centran en la eliminación de la referencia de la persona identificada, y el dato personal se convierte en un dato impersonal o anónimo. Por otro lado, la seudonimización busca ocultar la referencia o identidad de la persona asociada a los datos, pero el dato personal subsiste. Es decir, conserva la posibilidad de vincular esos datos a una persona identificada o identificable. Sin embargo, realizar esta vinculación sin la información adicional necesaria puede resultar complejo sin información adicional.

La seudonimización se presenta como una técnica crucial en la gestión de datos, ya que requiere una capa adicional de seguridad para evitar la reidentificación de las personas. Un ejemplo de esta técnica es la creación de un ‘hash’, un algoritmo matemático que transforma los datos en una serie de caracteres, o la utilización de claves adicionales para acceder a datos encriptados, intercambiando datos personales por tokens o números aleatorios, entre otras estrategias.

Es fundamental que las empresas que gestionan datos personales, como supermercados, farmacias o empresas de comercio electrónico, utilicen estas técnicas de protección. Del mismo modo, las empresas de marketing, que procesan grandes cantidades de datos para elaborar estrategias de ventas, y los centros de salud, que manejan información sensible de pacientes, deben implementar medidas adecuadas para proteger la privacidad de los individuos.

Por otro lado, los proyectos de IA que emplean esta tecnología para el tratamiento de datos deben asegurarse de evaluar si la finalidad del tratamiento puede lograrse con datos anónimos.

Si es posible, los datos deben ser anonimizados para cumplir con los estándares de protección de datos. Solo en casos excepcionales en los que la anonimización no sea factible, se debería considerar la seudonimización, siempre respetando los lineamientos establecidos en el Convenio 108 + Modernizado para garantizar la legitimidad y la calidad en el tratamiento de los datos.

Un caso reciente y controversial es el caso de la Fundación Worldcoin, que supo ser noticia en primera plana de los medios de comunicación. El caso en cuestión se da por el accionar de la Fundación, que recolectaban datos biométricos de personas a través del escaneo facial y del iris a cambio de una compensación económica en tokens emitidos por la propia empresa. Actualmente, la AAIP (Agencia de Acceso a la Información Pública) anunció que la Fundación Worldcoin está siendo investigada, ya que no está claro el uso que le está dando la fundación a los datos biométricos de las personas recolectados, incumpliendo potencialmente de esta forma el Convenio 108 + Modernizado.

Se debe entender que, la IA va a interpretar y aprender de los datos que se le proporcionen, siendo que se debe velar para que durante el procesamiento de esos datos, los derechos humanos se encuentren protegidos, pudiendo existir sesgos cognitivos de los programadores, o de cualquier otro participe en la carga de datos, selección de bases de datos, o en los datos que se recolectan, por ejemplo, para predecir resultados, que puede resultar discriminatorio.

Si bien estos avances generan nuevas oportunidades para la creación de empleo, el desarrollo tecnológico y la economía digital, debemos darnos un debate que abarque aspectos éticos, legales y de regulación, moldeando el futuro de la interacción humano-IA, entre otros aspectos, la protección de la privacidad de nuestros datos. Los sistemas de IA buscan entender el lenguaje natural humano, basado en datos.

El caso de la Fundación Worldcoin es un ejemplo útil para ilustrar los desafíos en la protección de datos en la era de la IA. Estos desafíos subrayan la necesidad de un debate continuo sobre aspectos éticos, legales y de regulación para moldear el futuro de la interacción humano-IA y garantizar la protección de la privacidad de nuestros datos en un mundo cada vez más digitalizado.

*Abogado. Miembro del Instituto de Derecho e Inteligencia Artificial del Colegio de Abogados y Procuradores de Neuquén.