En noviembre de 2023, la Agencia de Protección de la Privacidad de California (CPPA) publicó un conjunto de borradores de regulaciones sobre el uso de inteligencia artificial (IA) y tecnología de toma de decisiones automatizada (ADMT).
Las reglas propuestas aún están en desarrollo, pero es posible que las organizaciones deseen prestar mucha atención a su evolución. Debido a que el estado alberga muchas de las empresas de tecnología más grandes del mundo, cualquier regulación de IA que California adopte podría tener un impacto mucho más allá de sus fronteras.
Además, un tribunal de apelaciones de California dictaminó recientemente que la CPPA puede hacer cumplir las normas inmediatamente después de su aprobación definitiva. Al seguir el progreso de las reglas de ADMT, las organizaciones pueden posicionarse mejor para cumplirlas tan pronto como entren en vigencia.
La CPPA sigue aceptando comentarios públicos y revisando las normas, por lo que las normativas pueden cambiar antes de que se adopten oficialmente. Esta publicación se basa en el borrador más reciente al 9 de abril de 2024.
La California Consumer Privacy Act (CCPA), la ley histórica de privacidad de datos de California, no abordaba originalmente el uso de ADMT de forma directa. Eso cambió con la aprobación de la Ley de Derechos de Privacidad de California (CPRA) en 2020, que modificó la CCPA de varias maneras importantes.
La CPRA creó la CPPA, una agencia reguladora que implementa y hace cumplir las reglas de la CCPA. El CPRA también otorgó a la CPPA la autoridad para emitir regulaciones relativas a los derechos de los consumidores de California a acceder a información sobre decisiones automatizadas y optar por no recibirlas. La CPPA está trabajando en las reglas de ADMT bajo esta autoridad.
Al igual que con el resto de la CCPA, el proyecto de reglas se aplicaría a las organizaciones con fines de lucro que hacen negocios en California y cumplen al menos uno de los siguientes criterios:
Además, las regulaciones propuestas solo se aplicarían a ciertos usos de la IA y ADMT: tomar decisiones importantes, perfilar ampliamente a los consumidores y capacitar herramientas ADMT.
El borrador actual define la tecnología automatizada para la toma de decisiones como cualquier software o programa que procese datos personales y utilice la computación para ejecutar una decisión, reemplazar la toma de decisiones humanas o facilitar sustancialmente la toma de decisiones humanas. El borrador señala específicamente que esta definición incluye software y programas "derivados de machine learning, estadísticas, otras técnicas de procesamiento de datos o inteligencia artificial".
El borrador de las reglas nombra explícitamente algunas herramientas que no cuentan como ADMT, incluidos los filtros de spam, las hojas de cálculo y los cortafuegos. Sin embargo, si una organización intenta utilizar estas herramientas exentas para tomar decisiones automatizadas de una manera que elude las regulaciones, las reglas se aplicarán a ese uso.
El proyecto de reglas se aplicaría a cualquier uso de ADMT para tomar decisiones que tengan efectos significativos en los consumidores. En términos generales, una decisión importante es aquella que afecta los derechos de una persona o el acceso a bienes, servicios y oportunidades críticos.
Por ejemplo, el proyecto de reglas cubriría las decisiones automatizadas que afectan la capacidad de una persona para conseguir un trabajo, ir a la escuela, recibir atención médica u obtener un préstamo.
La elaboración de perfiles es el acto de procesar automáticamente la información personal de alguien para evaluar, analizar o predecir sus rasgos y características, como el rendimiento laboral, los intereses de productos o el comportamiento.
La “elaboración de perfiles extensiva” se refiere a tipos particulares de elaboración de perfiles:
El proyecto de normas se aplicaría al uso por parte de las empresas de los datos personales de los consumidores para entrenar ciertas herramientas ADMT. Específicamente, las reglas cubrirían el entrenamiento de un ADMT que pueda usarse para tomar decisiones importantes, identificar personas, generar deepfakes o realizar identificaciones y perfiles físicos o biológicos.
Como ley de California, las protecciones al consumidor de la CCPA se extienden solo a los consumidores que residen en California. Lo mismo ocurre con las protecciones que otorgan las reglas preliminares de ADMT.
Dicho esto, estas reglas definen al “consumidor” de manera más amplia que muchas otras regulaciones de privacidad de datos. Además de las personas que interactúan con una empresa, las reglas cubren a los empleados, estudiantes, contratistas independientes y solicitantes de escuelas y empleos.
El borrador de la normativa de IA de la CCPA tiene tres requisitos clave. Las organizaciones que utilizan ADMT cubiertas deben emitir avisos previos al uso a los consumidores, ofrecer formas de optar por no participar en ADMT y explicar cómo el uso de ADMT por parte de la empresa afecta al consumidor.
Si bien la CPPA revisó las regulaciones una vez y es probable que lo haga nuevamente antes de que las reglas se adopten formalmente, estos requisitos básicos aparecen en cada borrador hasta ahora. El hecho de que estos requisitos persistan sugiere que permanecerán en las reglas finales, incluso si cambian los detalles de su implementación.
Antes de utilizar ADMT para uno de los fines cubiertos, las organizaciones deben enviar de forma clara y visible a los consumidores un aviso previo al uso. El aviso debe detallar en lenguaje sencillo cómo la empresa utiliza ADMT y explicar los derechos de los consumidores para acceder a más información sobre ADMT y optar por no participar en el proceso.
La empresa no puede recurrir a un lenguaje genérico para describir cómo utiliza la ADMT, como "Utilizamos herramientas automatizadas para mejorar nuestros servicios". En su lugar, la organización debe describir el uso específico.
El aviso debe dirigir a los consumidores a información adicional sobre cómo funciona la ADMT, incluida la lógica de la herramienta y cómo la empresa utiliza sus resultados. Esta información no tiene que estar en el cuerpo del aviso. La organización puede proporcionar a los consumidores un hipervínculo u otra forma de acceder a él.
Si la compañía permite a los consumidores apelar decisiones automatizadas, el aviso previo a la venta debe explicar el proceso de apelación.
Los consumidores tienen derecho a optar por no participar en la mayoría de los usos cubiertos de ADMT. Las compañías deben facilitar este derecho ofreciendo a los consumidores al menos dos formas de enviar solicitudes de exclusión.
Al menos uno de los métodos de exclusión debe utilizar el mismo canal a través del cual la empresa interactúa principalmente con los consumidores. Por ejemplo, un minorista digital puede tener un formulario web para que los usuarios lo completen.
Los métodos de exclusión deben ser sencillos y no pueden tener pasos superfluos, como exigir a los usuarios que creen cuentas.
Al recibir una solicitud de exclusión voluntaria, una empresa debe dejar de procesar la información personal de un consumidor utilizando esa tecnología automatizada de toma de decisiones dentro de los 15 días. La empresa ya no puede utilizar ninguno de los datos del consumidor que procesaba anteriormente. La empresa también debe notificar a cualquier proveedor de servicios o terceros con los que haya compartido los datos del usuario.
Las organizaciones no necesitan permitir que los consumidores opten por no utilizar ADMT para la seguridad y la prevención de fraudes. El proyecto de reglas menciona específicamente el uso de ADMT para detectar y responder a incidentes de seguridad de datos, prevenir y enjuiciar actos fraudulentos e ilegales, y garantizar la seguridad física de una persona física.
Bajo la excepción de apelación humana, una organización no necesita habilitar la exclusión voluntaria si permite que las personas apelen decisiones automatizadas ante un revisor humano calificado con la autoridad para anular esas decisiones.
Las organizaciones también pueden renunciar a la exclusión voluntaria para ciertos usos limitados de ADMT en contextos laborales y escolares. Estos usos incluyen:
Sin embargo, estos usos laborales y escolares solo están exentos de exclusión voluntaria si cumplen con los siguientes criterios:
Ninguna de estas exenciones se aplica a la publicidad conductual o a la capacitación de ADMT. Los consumidores siempre pueden optar por no participar en estos usos.
Los consumidores tienen derecho a acceder a información sobre cómo una empresa utiliza ADMT en ellos. Las organizaciones deben ofrecer a los consumidores una forma sencilla de solicitar esta información.
Al responder a las solicitudes de acceso, las organizaciones deben proporcionar detalles como el motivo para usar ADMT, el resultado de ADMT con respecto al consumidor y una descripción de cómo la empresa utilizó el resultado para tomar una decisión.
Las respuestas a las solicitudes de acceso también deben incluir información sobre cómo el consumidor puede ejercer sus derechos de la CCPA, como presentar quejas o solicitar la eliminación de sus datos.
Si una empresa utiliza ADMT para tomar una decisión importante que afecta negativamente a un consumidor, por ejemplo, al provocar el despido, la empresa debe enviar un aviso especial al consumidor sobre sus derechos de acceso con respecto a esta decisión.
El aviso debe incluir:
La CPPA está desarrollando un proyecto de reglamento sobre evaluaciones de riesgos junto con las normas propuestas sobre IA y ADMT. Aunque técnicamente son dos conjuntos de normas separados, las regulaciones de evaluación de riesgos afectarían a cómo las organizaciones emplean la IA y el ADMT.
Las reglas de evaluación de riesgos requerirían que las organizaciones realicen evaluaciones antes de utilizar ADMT para tomar decisiones importantes o realizar perfiles extensos. Las organizaciones también necesitarían realizar evaluaciones de riesgos antes de utilizar información personal para entrenar ciertos modelos ADMT o IA.
Las evaluaciones de riesgos deben identificar los riesgos que la ADMT supone para los consumidores, los posibles beneficios para la organización u otros stakeholders, y las salvaguardas para mitigar o eliminar el riesgo. Las organizaciones deben abstener de emplear IA y ADMT cuando el riesgo supera los beneficios.
El proyecto de reglas de California sobre ADMT está lejos de ser el primer intento de regular el uso de IA y decisiones automatizadas.
La Ley de IA de la Unión Europea impone requisitos estrictos sobre el desarrollo y el uso de la IA en Europa.
En Estados Unidos, la Ley de Privacidad de Colorado y la Ley de Protección de Datos del Consumidor de Virginia otorgan a los consumidores el derecho de no procesar su información personal para tomar decisiones importantes.
A nivel nacional, el presidente Biden firmó una orden ejecutiva en octubre de 2023 que ordena a las agencias y departamentos federales crear estándares para desarrollar, usar y monitorear la IA en sus respectivas jurisdicciones.
Pero las regulaciones ADMT propuestas por California atraen más atención que otras leyes estatales porque pueden afectar potencialmente el comportamiento de las empresas más allá de las fronteras del estado.
Gran parte de la industria de tecnología global tiene su sede en California, por lo que muchas de las organizaciones que fabrican las herramientas de toma de decisiones automatizadas más avanzadas tendrán que cumplir con estas reglas. Las protecciones al consumidor se extienden solo a los residentes de California, pero las organizaciones pueden ofrecer a los consumidores fuera de California las mismas opciones por simplicidad.
La CCPA original a menudo se considera la versión estadounidense del Reglamento General de Protección de Datos (RGPD) porque elevó el nivel de las prácticas de privacidad de datos en todo el país. Estas nuevas reglas de IA y ADMT podrían producir resultados similares.
Las reglas aún no están finalizadas, por lo que es imposible decirlo con certeza. Dicho esto, muchos observadores estiman que las reglas no entrarán en vigencia hasta mediados de 2025 como muy pronto.
Se espera que la CPPA celebre otra reunión de la junta en julio de 2024 para discutir más a fondo las reglas. Muchos creen que la Junta de la CPPA probablemente comenzará el proceso formal de elaboración de normas en esta reunión. De ser así, la agencia tendría un año para finalizar las reglas, de ahí la fecha de vigencia estimada de mediados de 2025.
Al igual que otras partes de la CCPA, la CPPA estará facultada para investigar infracciones y multar a las organizaciones. El fiscal general de California también puede imponer sanciones civiles por incumplimiento.
Las organizaciones pueden ser multadas con 2500 USD por infracciones involuntarias y 7500 USD por infracciones intencionales. Estos montos son por infracción, y cada consumidor afectado cuenta como una infracción. Las sanciones pueden aumentar rápidamente cuando las infracciones implican a varios consumidores, como suele ocurrir.
El proyecto de reglamento aún está en proceso de elaboración. La CPPA continúa solicitando comentarios públicos y celebrando debates en la junta, y es probable que las reglas cambien aún más antes de que se adopten.
La CPPA ya ha realizado revisiones significativas a las reglas basadas en feedback anterior. Por ejemplo, después de la reunión de la junta de diciembre de 2023, la agencia agregó nuevas exenciones al derecho de exclusión e impuso restricciones a los perfiles físicos y biológicos.
La agencia también ajustó la definición de ADMT para limitar la cantidad de herramientas a las que se aplicarían las reglas. Si bien el borrador original incluía cualquier tecnología que facilitara la toma de decisiones humanas, el borrador más actual se aplica solo a la ADMT que facilita sustancialmente la toma de decisiones humanas.
Muchos grupos de la industria sienten que la definición actualizada refleja mejor las realidades prácticas del uso de ADMT, mientras que a los defensores de la privacidad les preocupa que cree lagunas explotables.
Incluso la propia Junta de la CPPA está dividida sobre cómo deberían verse las reglas finales. En una reunión celebrada en marzo de 2024, dos miembros de la junta expresaron su preocupación por el hecho de que el borrador actual excediera la autoridad de la junta.
Dada la evolución de las normas hasta ahora, es muy probable que los requisitos básicos relativos a los avisos previos al uso, los derechos de exclusión voluntaria y los derechos de acceso se mantengan intactos. Sin embargo, las organizaciones pueden tener preguntas pendientes como:
Cualquiera que sea el resultado, estas reglas tendrán implicaciones significativas sobre cómo se regulan la IA y la automatización en todo el país, y cómo se protege a los consumidores a raíz de esta tecnología en auge.
Aviso legal: El cliente es responsable de garantizar el cumplimiento de todas las leyes y reglamentos aplicables. IBM no brinda asesoría legal ni declara o garantiza que sus servicios o productos aseguren que el cliente cumpla con cualquier ley o reglamento.