Macarena Gatica, presidenta del Consejo de Ética y Autorregulación de la AMDD y socia de DLA Piper.
Las empresas invierten y se desafían constantemente para mantener la calidad de sus servicios y la satisfacción de sus clientes. Sin embargo, muchas veces la mirada “cliente céntrico” omite el análisis de riesgos asociados a la protección de datos personales y otros que pueden emanar del uso de herramientas de inteligencia artificial.
Respecto de los riesgos asociados a la protección de datos y los sistemas de IA que adoptan decisiones, creemos relevante mencionar una de las mayores novedades de la Ley Nº 21.719 de Protección de datos personales, esto es, la regulación sobre las decisiones individuales automatizadas y la elaboración de perfiles. Es decir, tratamientos automatizados que evalúan, analizan o predicen aspectos de una persona.
La Ley contempla el derecho del titular de datos (el consumidor) a oponerse a no ser objeto de decisiones basadas en tratamientos automatizados de sus datos personales que produzcan efectos jurídicos en él o le afecten significativamente, salvo excepciones legales como, por ejemplo, cuando es necesario que para la celebración de un contrato exista un consentimiento o cuando lo señale la ley.
Además, en todos los tratamientos automatizados, el responsable (en este caso, la empresa proveedora de productos y servicios) debe adoptar medidas necesarias para asegurar los derechos de los titulares, el derecho a la información y el derecho a obtener una explicación, a la intervención humana, a expresar su punto de vista y a solicitar la revisión de la decisión.
Este último derecho presenta un gran desafío en el uso de sistemas basados en IA, toda vez que, en algunos casos, se presenta como “caja negra”, dificultando la explicabilidad de la decisión adoptada. La opacidad de los algoritmos puede afectar derechos fundamentales, el acceso a la información y cómo vemos los datos personales.
Al respecto, en febrero del 2025 el Tribunal de Justicia de la Unión Europea dictó una sentencia en la que ordenó a una empresa especializada en score crediticio, entregar al titular de datos la información significativa sobre la lógica aplicada en la elaboración del perfil relativo a sus datos personales (perfil de solvencia).
Mas allá del obstáculo de la explicabilidad, este derecho presenta otras dificultades, que dicen relación con su extensión: ¿hasta dónde se entiende la lógica aplicada?, ¿qué ocurre con los derechos de propiedad intelectual, código fuente, derechos de autor, secretos comerciales y el deber de confidencial de derechos de terceros?
Asimismo, se advierten riesgos relacionados con sesgos, discriminación arbitraria, denegación de productos/servicios, tratamientos de datos sin base de licitud o para una finalidad distinta para la cual los datos fueron captados o en contravención al deber de proporcionalidad, entre otros.
El desafío está en implementar una gobernanza no sólo de los sistemas basados en IA, sino de cualquier modelo predictivo, que permita aminorar los riesgos asociados a ellos. Al respecto, les recomendamos:
- Identificar y registrar los modelos predictivos y los sistemas que adoptan decisiones automatizadas.
- Determinar la lógica aplicada, es decir, las variables y su ponderación.
- Identificar los datos personales utilizados, su origen y naturaleza.
- Identificar la base de licitud y finalidad del tratamiento.
- Establecer una gobernanza que considere evaluaciones de riesgo desde el diseño y permita auditar los modelos y las decisiones automatizadas a lo largo de su ejecución.
