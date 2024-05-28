En noviembre de 2023, la Agencia de Protección de la Privacidad de California (CPPA) publicó un conjunto de proyectos de normativa sobre el uso de la inteligencia artificial (IA) y la tecnología de toma de decisiones automatizada (ADMT).
Las normas propuestas aún están en desarrollo, pero las organizaciones deberían prestar mucha atención a su evolución. Como el estado alberga muchas de las mayores empresas tecnológicas del mundo, cualquier regulación de IA que adopte California podría tener un impacto mucho más allá de sus fronteras.
Además, un tribunal de apelaciones de California dictaminó recientemente que la CPPA puede hacer cumplir inmediatamente las normas en cuanto estén finalizadas. Al seguir el progreso de las normas ADMT, las organizaciones pueden posicionarse mejor para cumplirlas tan pronto como entren en vigor.
La CPPA sigue aceptando comentarios públicos y revisando las normas, por lo que las normativas pueden cambiar antes de que se adopten oficialmente. Esta publicación se basa en el borrador más reciente del 9 de abril de 2024.
La California Consumer Privacy Act (CCPA), la ley histórica de protección de datos de California, originalmente no abordó directamente el uso de ADMT. Eso cambió con la aprobación de la Ley de Derechos de Privacidad de California (CPRA) en 2020, que modificó la CCPA de varias maneras importantes.
La CPRA creó la CPPA, una agencia reguladora que implementa y hace cumplir las normas de la CCPA. La CPRA también otorgó a la CPPA la autoridad para emitir reglamentos sobre el derecho de los consumidores de California a acceder a la información sobre las decisiones automatizadas y excluirse de ellas. La CPPA está trabajando en las normas ADMT bajo esta autoridad.
Como en el resto de la CCPA, el borrador de normas se aplicaría a organizaciones con ánimo de lucro que operen en California y cumplan al menos uno de los siguientes criterios:
Además, las regulaciones propuestas solo se aplicarían a ciertos usos de la IA y ADMT: tomar decisiones significativas, segmentar extensamente a los consumidores y entrenar herramientas ADMT.
El actual borrador define la tecnología de toma de decisiones automatizada como cualquier software o programa que procese datos personales y utilice la computación para ejecutar una decisión, sustituir la toma de decisiones humana o facilitar sustancialmente la toma de decisiones humana. El borrador señala específicamente que esta definición incluye software y programas "derivados del machine learning, estadísticas, otras técnicas de proceso de datos o inteligencia artificial".
El proyecto de reglamento nombra explícitamente algunas herramientas que no cuentan como ADMT, como los filtros de spam, las hojas de cálculo y los firewalls. Sin embargo, si una organización intenta utilizar estas herramientas exentas para tomar decisiones automáticas de forma que evada las regulaciones, las normas se aplicarán a ese uso.
El borrador de normas se aplicaría a cualquier uso de ADMT para tomar decisiones que tengan efectos significativos en los consumidores. En términos generales, una decisión importante es aquella que afecta a los derechos o al acceso de una persona a bienes, servicios y oportunidades críticos.
Por ejemplo, el borrador de las normas cubriría las decisiones automatizadas que afectan a la capacidad de una persona para conseguir un trabajo, ir a la escuela, recibir asistencia sanitaria u obtener un préstamo.
La segmentación es el acto de procesar automáticamente la información personal de alguien para evaluar, analizar o predecir sus rasgos y características, como el rendimiento, los intereses del producto o el comportamiento.
La "segmentación extensiva" se refiere a tipos particulares de elaboración de perfiles:
El borrador de normas se aplicaría al uso por parte de las empresas de datos personales de consumidores para entrenar ciertas herramientas ADMT. Específicamente, las reglas cubrirían la formación de un ADMT que pueda utilizarse para tomar decisiones importantes, identificar personas, generar deepfakes o realizar identificaciones y perfiles físicos o biológicos.
Como ley de California, las protecciones de los consumidores de la CCPA se extienden solo a los consumidores que residen en California. Lo mismo ocurre con las protecciones que otorga el proyecto de normas ADMT.
Dicho esto, estas reglas definen al "consumidor" de manera más amplia que muchas otras regulaciones de privacidad de datos. Además de las personas que interactúan con una empresa, las normas abarcan a los empleados, estudiantes, contratistas independientes y solicitantes de escuelas y empleos.
El borrador de la normativa de IA de la CCPA tiene tres requisitos clave. Las organizaciones que utilizan la ADMT cubierta deben emitir avisos previos a su uso a los consumidores, ofrecer formas de excluirse de la ADMT y explicar cómo el uso de la ADMT por parte de la empresa afecta al consumidor.
Aunque la CPPA ha revisado las regulaciones una vez y probablemente lo hará de nuevo antes de que se adopten formalmente, estos requisitos fundamentales aparecen en cada borrador hasta ahora. El hecho de que estos requisitos persistan sugiere que permanecerán en las normas definitivas, aunque cambien los detalles de su aplicación.
Antes de utilizar ADMT para uno de los fines cubiertos, las organizaciones deben enviar de forma clara y visible a los consumidores un aviso previo al uso. El aviso debe detallar en lenguaje sencillo cómo la empresa utiliza ADMT y explicar los derechos de los consumidores a acceder a más información sobre ADMT y optar por no participar en el proceso.
La empresa no puede recurrir a un lenguaje genérico para describir cómo utiliza ADMT, como "Utilizamos herramientas automatizadas para mejorar nuestros servicios". En cambio, la organización debe describir el uso específico.
El aviso debe dirigir a los consumidores a información adicional sobre cómo funciona ADMT, incluida la lógica de la herramienta y cómo la empresa utiliza sus outputs. Esta información no tiene que estar en el cuerpo del aviso. La organización puede proporcionar a los consumidores un hipervínculo u otra forma de acceder a ella.
Si la empresa permite a los consumidores apelar las decisiones automatizadas, el aviso previo al uso debe explicar el proceso de apelación.
Los consumidores tienen derecho a no participar en la mayoría de los usos cubiertos de ADMT. Las empresas deben facilitar este derecho ofreciendo a los consumidores al menos dos formas de presentar solicitudes de exclusión.
Al menos uno de los métodos de exclusión debe utilizar el mismo canal a través del que la empresa interactúa principalmente con los consumidores. Por ejemplo, un minorista digital puede tener un formulario web para que los usuarios lo rellenen.
Los métodos de exclusión deben ser sencillos y no pueden tener pasos superfluos, como exigir a los usuarios que creen cuentas.
Al recibir una solicitud de exclusión voluntaria, una empresa debe dejar de procesar la información personal del consumidor utilizando esa tecnología automatizada de toma de decisiones en un plazo de 15 días. La empresa ya no puede utilizar ninguno de los datos del consumidor que procesaba anteriormente. La empresa también debe notificar a cualquier proveedor de servicios o terceros con los que haya compartido los datos del usuario.
Las organizaciones no necesitan permitir que los consumidores se abstengan del ADMT utilizado para la seguridad, protección y prevención del fraude. El proyecto de normas menciona específicamente el uso de ADMT para detectar y responder a incidentes de seguridad de datos, prevenir y perseguir actos fraudulentos e ilegales, y garantizar la seguridad física de una persona física.
En virtud de la excepción de apelación humana, una organización no necesita habilitar la exclusión voluntaria si permite a las personas apelar decisiones automatizadas ante un revisor humano cualificado con autoridad para anular esas decisiones.
Las organizaciones también pueden renunciar a la exclusión voluntaria para ciertos usos limitados de ADMT en contextos laborales y escolares. Estos usos incluyen:
Sin embargo, estos usos laborales y escolares solo están exentos de exclusión si cumplen los siguientes criterios:
Ninguna de estas exenciones se aplica a la publicidad conductual o a la formación ADMT. Los consumidores siempre pueden optar por no participar en estos usos.
Los consumidores tienen derecho a acceder a información sobre cómo una empresa utiliza ADMT en ellos. Las organizaciones deben ofrecer a los consumidores una forma sencilla de solicitar esta información.
Al responder a las solicitudes de acceso, las organizaciones deben proporcionar detalles como el motivo para usar ADMT, el resultado de ADMT con respecto al consumidor y una descripción de cómo la empresa utilizó el resultado para tomar una decisión.
Las respuestas a las solicitudes de acceso también deben incluir información sobre cómo el consumidor puede ejercer sus derechos de la CCPA, como presentar quejas o solicitar la eliminación de sus datos.
Si una empresa utiliza ADMT para tomar una decisión importante que afecta negativamente a un consumidor, por ejemplo, provocando el despido, la empresa debe enviar un aviso especial al consumidor sobre sus derechos de acceso con respecto a esta decisión.
El aviso debe incluir:
La CPPA está elaborando un proyecto de reglamento sobre la evaluación de riesgos junto con las normas propuestas sobre la IA y la ADMT. Aunque técnicamente se trata de dos conjuntos de normas independientes, las regulaciones de evaluación de riesgos afectarían a la forma en que las organizaciones utilizan la IA y la ADMT.
Las normas de evaluación de riesgos obligarían a las organizaciones a realizar evaluaciones antes de utilizar la ADMT para tomar decisiones importantes o elaborar perfiles exhaustivos. Las organizaciones también tendrían que realizar evaluaciones de riesgos antes de utilizar información personal para entrenar ciertos modelos ADMT o de IA.
Las evaluaciones de riesgos deben identificar los riesgos que la ADMT supone para los consumidores, los beneficios potenciales para la organización u otras partes interesadas y las salvaguardas para mitigar o eliminar el riesgo. Las organizaciones deben abstenerse de utilizar IA y ADMT cuando el riesgo supera los beneficios.
El proyecto de reglamento de California sobre la ADMT está lejos de ser el primer intento de regular el uso de la IA y las decisiones automatizadas.
La Ley de IA de la Unión Europea impone estrictos requisitos sobre el desarrollo y uso de la IA en Europa.
En Estados Unidos, la Ley de Privacidad de Colorado y la Ley de Protección de Datos del Consumidor de Virginia otorgan a los consumidores el derecho de no procesar su información personal para tomar decisiones importantes.
A nivel nacional, el presidente Biden firmó una orden ejecutiva en octubre de 2023 por la que ordenaba a las agencias y departamentos federales que crearan normas para desarrollar, utilizar y supervisar la IA en sus respectivas jurisdicciones.
Pero las normas de ADMT propuestas por California llaman más la atención que otras leyes estatales porque pueden afectar al comportamiento de las empresas más allá de las fronteras del estado.
Gran parte de la industria tecnológica mundial tiene su sede en California, por lo que muchas de las organizaciones que fabrican las herramientas automatizadas más avanzadas para la toma de decisiones tendrán que cumplir estas normas. Las protecciones al consumidor se extienden solo a los residentes de California, pero las organizaciones pueden ofrecer a los consumidores fuera de California las mismas opciones por simplicidad.
La CCPA original a menudo se considera la versión estadounidense del Reglamento General de Protección de Datos (RGPD) porque elevó el listón de las prácticas de privacidad de datos en todo el país. Estas nuevas reglas de IA y ADMT podrían producir resultados similares.
Las normas aún no están listas, así que es imposible decirlo con certeza. Dicho esto, muchos observadores estiman que las normas no entrarán en vigor hasta mediados de 2025 como muy pronto.
Se espera que la CPPA celebre otra reunión del consejo de administración en julio de 2024 para seguir debatiendo las normas. Muchos creen que la Junta de la CPPA probablemente comenzará el proceso formal de elaboración de normas en esta reunión. De ser así, la agencia tendría un año para finalizar las reglas, de ahí la fecha de entrada en vigor estimada de mediados de 2025.
Al igual que otras partes de la CCPA, la CPPA estará facultada para investigar las infracciones y multar a las organizaciones. El fiscal general de California también puede imponer sanciones civiles por incumplimiento.
Las organizaciones pueden ser multadas con 2500 USD por infracciones involuntarias y con 7500 USD por infracciones intencionadas. Estas cantidades son por infracción, y cada consumidor afectado cuenta como una infracción. Las sanciones pueden aumentar rápidamente cuando las infracciones implican a varios consumidores, como suele ocurrir.
El proyecto de reglamento aún está en proceso de elaboración. La CPPA continúa solicitando comentarios públicos y celebrando debates en la junta, y es probable que las normas cambien aún más antes de ser adoptadas.
La CPPA ya ha realizado revisiones significativas a las reglas basadas en comentarios anteriores. Por ejemplo, tras la reunión de la junta de diciembre de 2023, la agencia añadió nuevas exenciones al derecho de exclusión e impuso restricciones a la elaboración de perfiles físicos y biológicos.
La agencia también ajustó la definición de ADMT para limitar el número de herramientas a las que se aplicarían las normas. Si bien el borrador original incluía cualquier tecnología que facilitara la toma de decisiones humanas, el borrador más actual se aplica solo a la ADMT que facilita sustancialmente la toma de decisiones humanas.
Muchos sectores consideran que la definición actualizada refleja mejor la realidad práctica del uso de la ADMT, mientras que a los defensores de la privacidad les preocupa que cree lagunas explotables.
Incluso la propia Junta de la CPPA está dividida sobre cómo deberían ser las normas definitivas. En una reunión de marzo de 2024, dos miembros de la junta expresaron sus preocupaciones porque el proyecto actual excede la autoridad de la junta.
Dada la evolución de las normas hasta ahora, los requisitos básicos para los avisos de uso previo, los derechos de exclusión y los derechos de acceso tienen muchas posibilidades de permanecer intactos. Sin embargo, las organizaciones pueden tener preguntas pendientes como:
Sea cual sea el resultado, estas normas tendrán implicaciones significativas para cómo se regulan la IA y la automatización a nivel nacional, y cómo se protege a los consumidores tras el auge de esta tecnología.
Descargo de responsabilidad: el cliente es responsable de garantizar el cumplimiento de las leyes y regulaciones aplicables. IBM no presta asesoramiento legal ni declara o garantiza que sus servicios o productos aseguren que el cliente cumpla con cualquier ley o regulación.