Seis meses después del cumplimiento del RGPD, las multas han sido una fracción de la cantidad permitida por infracciones importantes de la ley. Sin embargo, con la primera multa multimillonaria que golpeó a Google en 2019 y la Ley de Privacidad del Consumidor de California (CCPA) que entrará en vigencia en 2020, la pregunta sigue siendo: ¿Las empresas con IA en su lista de tareas pendientes se verán afectadas por complicaciones derivadas de la privacidad? leyes?
En esta sesión de preguntas y respuestas, Stuart Battersby, director de tecnología de Chatterbox Labs y la analista senior de Gartner, Lauren Maffeo, se sumergen de lleno en algunas de las preguntas más importantes que rodean la implementación de GDPR y AI.
Nota del editor: Lo siguiente ha sido editado para mayor claridad y brevedad.
¿El cumplimiento de GDPR complicará el uso irrestricto de datos para impulsar e investigar algoritmos de IA?
Lauren Maffeo: El RGPD cambiará el big data tal como lo conocemos. Específicamente, afectará la elaboración de perfiles de datos. –– la recopilación de datos personales y el uso posterior de esos datos para discernir información sobre el interesado.
El RGPD limita la capacidad de las empresas para obtener datos clave sobre la UE [European Union] ciudadanos, como edad, ubicación y nivel socioeconómico. Según el RGPD, las empresas que deseen utilizar estos detalles deben informar a los usuarios sobre la intención de recopilar datos, cómo planean hacerlo y cómo pretenden usarlos. También deben otorgar a cada persona el derecho a oponerse explícitamente a la elaboración de perfiles o excluirse de ella, y no pueden someter a las personas a la elaboración de perfiles automatizada. Todo esto afectará los conjuntos de datos utilizados para entrenar productos de IA.
Stuart Battersby: Sí, complicará las cosas. La IA, en general, es un proceso de dos fases. Existe el entrenamiento en el que los algoritmos aprenden ciertos patrones en toda una cohorte o conjunto de datos. El siguiente paso es la predicción, donde se toma alguna decisión sobre cada punto de datos, por ejemplo, cada transacción o aplicación del cliente.
Ambos lados del proceso tienen preocupaciones, pero una de las principales preocupaciones para GDPR es dónde se toman decisiones automatizadas sobre el individuo.
En el contexto de GDPR e IA, ¿las empresas tienen la obligación legal de limitar el uso de datos personales?
Battersby: La parte fundamental en el contexto de la IA es que las empresas tienen obligaciones legales en torno al procesamiento automatizado de datos. Si se toma una decisión sobre un cliente de manera automatizada, esto se debe explicar al cliente final.
Maffeo: Sí, cualquier empresa que tenga información de identificación personal sobre ciudadanos de la UE debe cumplir con GDPR, independientemente de dónde se encuentre esa empresa.
¿Cuáles son las implicaciones de GDPR en los algoritmos de aprendizaje automático y la inteligencia artificial, que requieren grandes cantidades de datos?
Battersby: Existe una preocupación real aquí porque los sistemas de inteligencia artificial y aprendizaje automático de caja negra que no ofrecen explicaciones y requieren el almacenamiento a largo plazo de grandes conjuntos de datos de clientes simplemente no estarán permitidos bajo el GDPR. Ha habido un gran enfoque en [producing] sistemas de alta precisión a un costo de explicar el resultado de estos sistemas tanto a las empresas como a los clientes.
¿Cómo pueden las empresas que implementan IA organizar, analizar y hacer que sus datos cumplan con las leyes de protección de datos como CCPA y GDPR?
Maffeo: Según el RGPD, las empresas son responsables de confirmar si la recopilación de datos personales de los usuarios es esencial y si necesitan obtener el consentimiento de dichos usuarios. La mejor práctica general con respecto al uso de datos de IA es comenzar con el estándar legal aceptable. El desafío es que no sabemos cómo es un estándar legal aceptable en relación con GDPR. Hasta que el primer caso llegue a los tribunales, abundará la confusión sobre el cumplimiento.
Battersby: La transparencia es clave. Es fundamental que los clientes finales sepan por qué se tomaron decisiones sobre ellos. Cuanto más detallado e interpretable sea, mejor.
¿Cuál es la probabilidad de incumplimiento del RGPD en toda la industria?
Maffeo: Una encuesta de GetApp a 190 propietarios de pequeñas empresas con sede en EE. UU. Encontró que el 50% no sabía qué es el RGPD. Eso es un problema teniendo en cuenta que las empresas declaradas culpables de incumplimiento pueden recibir una multa de hasta 20 millones de euros. [roughly $22,647,000 USD] o 4% de facturación global.
¿Cómo ayuda la IA explicable a las empresas con el cumplimiento del RGPD?
Battersby: La IA explicable es un término bastante general y no todo ayudará. Mucha investigación sobre IA explicable está tratando de explicar el algoritmo o el modelo. Responden preguntas como: «En toda nuestra base de clientes, ¿qué aprendió el algoritmo de los datos?» o ‘Dentro de nuestro entorno de aprendizaje profundo, ¿qué representan las capas aprendidas en la red neuronal?’
Esto está en el lado del entrenamiento. Para GDPR, esto no resuelve el [potential] problema porque el requisito es decirles a las personas por qué se tomó una decisión automatizada sobre ellos. Se necesita una explicación de por qué se marcó esa pieza individual de contenido para su eliminación, no una explicación general de lo que es el discurso de odio en toda la base de usuarios.
¿La reciente orden ejecutiva de la Iniciativa de IA estadounidense del presidente de los Estados Unidos, Donald Trump, tiene algún impacto en la relación entre el RGPD y la IA?
Maffeo: La legislación GDPR protege a las personas en la Unión Europea y el Espacio Económico Europeo [EEA]. Por lo tanto, la imposibilidad de recopilar datos sobre los ciudadanos de la UE podría, en teoría, obstaculizar [U.S.] Avance de la IA. Dicho esto, GDPR no cubre a las personas que viven en los EE. UU., Lo que significa que los ciudadanos estadounidenses no tienen los mismos derechos a la privacidad de los datos personales que los ciudadanos de la UE / EEE.
La orden ejecutiva se compromete a ‘mejorar el acceso a datos, modelos y recursos informáticos federales de alta calidad y totalmente rastreables para aumentar el valor de dichos recursos para I + D de IA, al tiempo que se mantienen las protecciones de seguridad, protección, privacidad y confidencialidad de conformidad con las leyes aplicables y políticas.
Pero al igual que con GDPR, existen pocas leyes y políticas aplicables que protegen la seguridad, la privacidad y la confidencialidad de los datos personales de los ciudadanos estadounidenses. Este precedente legal limitado es bueno para construir grandes conjuntos de datos para entrenar a la IA, pero no protege los datos individuales de las personas.