Andrea Jiménez[1] y Cesar Durand[2]
- Introducción
La Inteligencia Artificial (IA) está presente con mayor frecuencia en nuestro día a día, y si bien genera el rechazo o temor de algunos profesionales, lo cierto es que es una realidad presente, con la que debemos convivir y a la que debemos adaptarnos. Desde la creación de vehículos autónomos, canciones, fotografías, procesos industriales avanzados, y diagnósticos médicos, la IA toma cada vez mayor relevancia en el desarrollo de la tecnología y los negocios.
Frente a ello, surgen diversos retos para el derecho, los cuales en algunas jurisdicciones, como la Unión Europea, buscan ser abordados con propuestas regulatorias diversas. Así por ejemplo, el Parlamento de la Unión Europea, aprobó el 14 de junio de 2023, la propuesta de la Ley de la IA (Artificial Intelligence Act), con la cual buscan promover la innovación, garantizar la seguridad jurídica a las empresas, y proteger los derechos humanos. Esta propuesta normativa de ser aprobada por el Consejo Europeo, se convertirá en la primera región del mundo que regule los beneficios y riesgos de la IA, aun no del todo descifrados o conocidos.
En ese contexto, la IA también presenta retos para dos grandes áreas del derecho como lo son la propiedad intelectual y la protección de datos personales, los cuales analizaremos en el presente artículo, a través de la evaluación de los tres componentes de un sistema de IA. El objetivo de este artículo es abrir la discusión enfocando los actuales retos que enfrentan las referidas áreas del derecho, los cuales deben ser abordados por los entes reguladores a fin de evaluar la mejor forma de adaptar el sistema normativo a la realidad que crean las nuevas tecnologías, como lo es la IA.
- Breve explicación de cómo funciona la IA
El término «Inteligencia Artificial» (IA), que se acuñó en una conferencia en Dartmouth, y se fundó como una disciplina académica, en 1956, es concebida al día de hoy, por sí misma como: «la capacidad de las máquinas para realizar tareas que normalmente requerirían inteligencia humana, como el aprendizaje, la percepción, el razonamiento y la resolución de problemas. La IA se basa en algoritmos y modelos matemáticos que pueden procesar grandes cantidades de datos para aprender y mejorar con el tiempo. Los sistemas de IA pueden tomar decisiones autónomas y realizar tareas complejas, como el reconocimiento de voz, la visión por computadora y el procesamiento del lenguaje natural»[1].
Al respecto, de acuerdo con la Artificial Intelligence Act propuesta en la Unión Europea, «sistema de inteligencia artificial (sistema de IA) significa el software que se desarrolla empleando una o varias de las técnicas y estrategias que figuran en el Anexo I y que puede, para un conjunto determinado de objetos definidos por seres humanos, generar información de salida como contenidos, predicciones, recomendaciones o decisiones que influyan en los entornos con los que interactúa»[2].
Para efectos del presente artículo, se distingue el concepto de sistemas de inteligencia artificial, descrito previamente (también llamado narrow IA), el cual principalmente se enfoca en los sistemas de aprendizaje, por el cual máquinas pueden realizar o mejorar una tarea, con intervención humana limitada o nula, del concepto de superinteligencia o inteligencia artificial general, el cual abarca sistemas capaces de realizar con éxito cualquier tarea intelectual que pueda realizar el cerebro humano o la capacidad hipotética de una máquina para superar con creces el cerebro humano[3]. Estos últimos conceptos aún no han sido logrados por la tecnología actual, por lo que no será materia de análisis del presente artículo.
En consecuencia, un sistema de IA puede estructurarse en tres partes: i) los inputs o datos digitales con los que se alimenta al sistema, los cuales son procesados a través de determinada ii) técnica, algoritmo o modelo matemático, con la finalidad de que el sistema de IA pueda aprender; y, así generar un iii) resultado u output, con cierto grado de autonomía, en base a los prompts u órdenes que reciba del usuario.
- El input: retos de la propiedad intelectual
Los datos digitales con los que se alimenta el sistema de IA pueden ser textos, obras, dibujos, invenciones, signos distintivos, entre otros, que no se encuentren en el dominio público, sino que estén sujetos a derechos de propiedad intelectual, como derechos de autor, marcas o patentes. De ser el caso, la reproducción digital de dichos datos en la base del sistema de IA, para que sean procesados, puede representar una infracción a los derechos de propiedad intelectual de un tercero, en caso no se cuente con la debida autorización del titular; así como, podrían generar algunos retos desde la perspectiva de la protección de datos (aspecto que se desarrollará en el punto 5 del presente artículo).
Respecto a los signos distintivos (marcas), de acuerdo al artículo 157 de la Decisión 486 – Régimen Común de Propiedad Intelectual de la Comunidad Andina (en adelante, la Decisión 486), un tercero puede utilizar sin consentimiento del titular una marca registrada, siempre que ello se realice de buena fe, no constituya un uso a título de marca, y tal uso se limite a propósitos de identificación o de información, y no sean susceptibles de inducir a confusión al público sobre la procedencia de los productos o servicios en cuestión. Por tanto, la reproducción/uso de marcas para alimentar la base de datos de un sistema de IA, sin la autorización de sus titulares, estaría permitida, en tanto se cumplan los presupuestos del referido artículo.
Respecto a las invenciones (patentes), de acuerdo al artículo 53 de la Decisión 486, el titular de la patente no podrá ejercer sus derechos de exclusiva -entre otros- respecto de actos realizados en el ámbito privado y con fines no comerciales; actos realizados con fines de experimentación, respecto al objeto de la invención patentada; y actos realizados exclusivamente con fines de enseñanza o de investigación científica.
Pero, ¿qué derechos de exclusiva le concede una patente a su titular? De acuerdo al artículo 52 de la Decisión 486, la patente le confiere a su titular el derecho de impedir a terceras personas que no tengan su consentimiento, fabricar el producto o empelar el procedimiento; ofrecer en venta, vender o usar el producto patentado u obtenido del procedimiento patentado; o importarlo para alguno de dichos fines. En ese sentido, se puede concluir que la reproducción/publicación/promoción de la patente no es un derecho de exclusiva de su titular; por lo que, el incluir dichos datos en la base del sistema de IA no representaría una infracción, aun cuando no se cumplieran con las disposiciones del artículo 53, previamente detallado.
Respecto a las obras protegidas por derechos de autor, el acto de reproducir dichas obras de manera digital en la base de datos del sistema de IA debe estar autorizado por el titular de los derechos de autor. En efecto, el artículo 31 del Decreto Legislativo 822 – Ley sobre el Derecho de Autor, dispone que el derecho patrimonial comprende el derecho exclusivo de realizar, autorizar o prohibir la reproducción de la obra por cualquier forma o procedimiento.
No obstante, respecto a las obras ya divulgadas lícitamente, es permitida sin autorización del autor, de acuerdo al artículo 43 del Decreto Legislativo 822, la reproducción por medio reprográfico, digital u otro similar, entre otros, para uso exclusivamente personal, o para la enseñanza o la realización de exámenes en instituciones educativas, siempre que no haya fines de lucro y en la medida justificada por el objeto perseguido, a condición de que tal utilización se haga conforme a los usos honrados (cita obligatoria del autor) y que la misma no sea objeto de venta u otra transacción a título oneroso, ni tenga directa o indirectamente fines de lucro.
Por tanto, la reproducción/uso de marcas para alimentar la base de datos de un sistema de IA, sin la autorización de sus titulares, estaría permitida, en tanto se cumplan los presupuestos del referido artículo. No obstante, en su gran mayoría, los sistemas de IA son desarrollados con fines comerciales directos o indirectos; por lo que, prima facie, necesitarían la autorización de los autores de las obras, para poder reproducir las mismas en la base de datos del sistema.
Ahora bien, uno de los campos de las ciencias de la computación o estadística utilizado con mayor frecuencia, por diversos sectores industriales, como aseguradores, redes sociales, bancos, empresas de marketing, entre otros, es la minería o exploración de datos, cuyo fin es descubrir patrones en grandes volúmenes de datos (digital), en la mayoría de casos a través de métodos de inteligencia artificial. Así, el artículo 2 de la Directiva 2019/790, sobre los derechos de autor y derechos afines en el mercado único digital, define la minería de textos y datos como «toda técnica analítica automatizada destinada a analizar textos y datos en formato digital a fin de generar información que incluye, sin carácter exhaustivo, pautas, tendencias o correlaciones».
Al respecto, es interesante señalar, que en la Unión Europea, en la Directiva 2019/790, sobre los derechos de autor y derechos afines en el mercado único digital, se incluye la minería de textos y datos con fines de investigación científica como una excepción -entre otros- al derecho exclusivo del autor de realizar o autorizar la reproducción temporal o permanente, total o participar, por cual medio o forma de la forma de expresión de una base de datos; así como, una excepción al derecho sui generis -que se le otorga en la Unión Europea- al fabricante de la base de datos. Si bien, en el Perú, no se ha regulado una protección sui generis al fabricante de una base de datos, el Decreto Legislativo 822, tampoco hace referencia a dicho campo de la ciencia de la computación como una excepción o límite de los derechos de autor, de manera específica, aunque puede derivarse de una interpretación de los artículos previamente citados, en tanto se cumplan los requisitos para ello.
- El algoritmo y el resultado: ¿posibilidad de protección como propiedad intelectual?
Las técnicas, algoritmos o modelos matemáticos con los cuales se procese la información de tal manera que el sistema de IA pueda aprender, y posteriormente, arrojar un resultado, pueden ser susceptibles de ser protegidos bajo las normas de propiedad intelectual.
Al respecto, de acuerdo al artículo 15 de la Decisión 486, no es posible el registro como patente de un método matemático, pues no se considera al mismo una invención. No obstante, los algoritmos u otras técnicas inventivas sí pueden ser protegidas como patentes, en tanto sean nuevas, tengan nivel inventivo y sean susceptibles de aplicación industrial, de acuerdo al artículo 14 de la referida Decisión.
Así pues, hoy en día, el machine learning, según cifras de la Organización Mundial de Propiedad Intelectual, en el reporte WIPO Technology Trends 2019 Artificial Intelligence, es una de las técnicas de IA predominante divulgada en patentes, la cual está incluida en más de un tercio de todas las invenciones identificadas (134,777 documentos de patente)[4]. Así, la Comisión Europea ha señalado sobre la revolución de la IA, en el marco de su Plan Coordinado de 2018, lo siguiente: «Como la electricidad en el pasado, la inteligencia artificial (IA) está transformando nuestro mundo. (…) Crecimiento en el poder de la computación, disponibilidad de información, y el progreso en los algoritmos ha convertido a la IA en una de las más importantes tecnologías del siglo 21»[5].
Ahora bien, una de las técnicas en tanto sea considerado como un software o programa de ordenador puede ser protegido por Derechos de Autor. Al respecto, el Decreto Legislativo 822, define un programa de ordenador (software) como la expresión de un conjunto de instrucciones mediante palabras, códigos, planes o en cualquier otra forma que, al ser incorporadas en un dispositivo de lectura automatizada, es capaz de hacer que un computador ejecute una tarea u obtenga un resultado. La protección del programa de ordenador comprende también la documentación técnica y los manuales de uso.
Por tanto, en tanto sea posible la divulgación suficiente (sufficient disclosure) de la invención o sofware usando un sistema de IA, el mismo podrá ser protegido por el derecho de patente o autor, respectivamente. En efecto, IBM y Microsoft son líderes en patentes de IA, en relación a diferentes áreas relacionadas con IA[6].
Por otro lado, el resultado obtenido del uso de un sistema de IA, puede ser un objeto materia de protección del derecho de propiedad intelectual. En el caso de signos distintivos, no existe contingencia alguna para el registro de los mismos a nombre de una persona natural o jurídica, pues los mismos no protegen la autoría del signo en cuestión, sino le otorgan la titularidad del derecho a la persona que solicite y obtenga el registro.
Sin embargo, en caso sean objetos de protección del sistema de patentes y/o derechos de autor, la situación se complica por dos factores principalmente. El primero, es el carácter personal e intransferible del derecho moral de paternidad de una obra (derecho de autor) o el derecho de invención (derecho de patentes); y, el segundo es el denominado black box de la IA, según el cual aun cuando exista intervención humana a través de los prompts, el resultado que arroje la IA es impredecible.
En ese sentido, en diversas jurisdicciones como Estados Unidos, la Unión Europea, el Reino Unido, entre otros, se ha señalado que no es posible la autoría de una obra por parte de un ente distinto a un humano; es decir, que no es posible el registro y la protección de una obra bajo los derechos de autor, en tanto estas no hayan sido creadas por humanos.
Así por ejemplo, la U.S. Copyright Office solo registrará una obra original, en tanto la misma sea creada por un ser humano. Lo anterior, toda vez que entienden que la ley de derecho de autor solamente protege «los frutos de la labor intelectual»/»the frutis of intellectual labor» que «se fundamenten en el poder creativo de la mente»/ «are founded in the creative power of the mind»[7]. En ese sentido, la U.S. Copyright Office no registrará obras que sea creadas por la naturaleza, animales, plantas, maquinas, o IA.
En ese sentido, para la U.S. Copyright Office la pregunta crucial es «si la ‘obra’ es básicamente uno de autoría humana, con la computadora (u otro dispositivo) siendo simplemente un instrumento auxiliar, o si los elementos tradicionales de autoría en la obra (expresiones literarias, artísticas, musicales o elementos de selección, arreglo, etc.), en realidad fueron concebidos y ejecutados no por el hombre sino por una máquina»[8].
En esa misma línea, el Decreto Legislativo 822, define al autor como una persona natural que realiza la creación intelectual (artículo 2.1); por lo que, en nuestro país tampoco se permitiría el registro de obras creadas por un sistema de IA.
Sobre el particular, por ejemplo, en setiembre del 2022, Jason Allen presentó la obra “Théâtre D’opéra Spatial” en la competencia de arte Colorado State Fair, la cual ganó el primer lugar en una de las categorías de la competencia, venciendo a otros 20 artistas. Sin embargo, dicha obra fue creada con una herramienta de IA, llamada Midjourney, que puede generar imágenes realistas al comando de un usuario. Lo mismo sucedió en abril del 2023, cuando la Sony World Photography Award anunció el ganador de la competencia abierta, a favor de Boris Eldagsen, en la categoría creativa, con su imagen Pseudomnesia/ The Electrician, un retrato blanco y negro de dos mujeres de diferentes generaciones.
En el primer caso, Jason Allen se negó a compartir los prompts con los cuales había generado la imagen ganadora, por el tiempo que había invertido en ellos; así como, defendió la idea de que las personas deberían dejar atrás la negación y miedo a la tecnología, la cual podría empoderar nuevas invenciones y rediseñar nuestro mundo, señalando que la IA, es solo una herramienta, que sin una persona no tiene fuerza creativa[9]. Por su parte, en el segundo caso, Boris Eldagsen, rechazó el premio, señalando que las imágenes de IA y las fotografías no deberían competir entre sí mismas, porque son entidades diferentes[10].
Lo mismo ocurre con las invenciones, en efecto, el software Dabus AI ha creado una luz de advertencia y un recipiente de alimentos dignos de ser protegidos por una patente; y, sin embargo, su registro no es posible, pues no han sido inventadas por un humano, conforme lo señalaron las oficinas del Reino Unido y de la Unión Europea. En efecto, incluso en aquellas jurisdicciones donde se permite la cesión de los derechos de invención, el inventor debe ser un contratista o empleado, lo cual no sucede en el caso de la IA[11]. Por último, otro ejemplo interesante, es la canción Daddy’s Car[12], compuesta por una IA de Sony Computer Science Laboratories, Inc., la misma que no puede ser protegida por derechos de autor.
Sobre el particular, si bien en el 2018, el Parlamento Europeo, debatía la creación sobre la «personalidad electrónica», como un tipo de personalidad jurídica, lo cierto es que dicha propuesta fue rechazada, y al día de hoy dejada de lado, pues implicada eliminar la responsabilidad de los fabricantes de la IA.
Al respecto, la Decisión 486, en su artículo 22 señala que el derecho de la patente pertenece al inventor, el cual podrá transferir su derecho por acto entre vivos o vía sucesoria; es decir, una persona natural, con personalidad jurídica capaz de suscribir contratos entre vivos o que sea posea sucesión.
En ese contexto, la implementación de nuevas tecnologías, en la creación de invenciones y obras, nos invita a redefinir la creatividad y el nivel inventivo, de tal manera que la conclusión de denegar derechos sobre una invención u obra generada por IA no se base únicamente en argumentos fundamentalistas, como aquel por el cual se indica que en la norma no se contempla un inventor u autor distinto a un humano, sino que permita un análisis más profundo, y basado en un balance de otorgar derechos de exclusiva (monopolio) sobre este tipo de invenciones y/u obras.
- La protección de datos personales en la utilización de sistemas de IA
Otro de los grandes desafíos en cuanto a la utilización de sistemas de IA es con relación al cumplimiento de la legislación aplicable en materia de protección de datos personales.
Estos sistemas, por lo general, requieren utilizar grandes volúmenes de información de diversa naturaleza, los cuales pueden comprender, desde luego, datos de carácter personal, incluyendo datos numéricos, alfabéticos, gráficos, fotográficos, acústicos, relacionados a hábitos personales o de cualquier otro tipo concerniente a personas naturales, las cuales pueden identificarlas o hacerlas identificables a través de medios razonablemente utilizados.[13]
Actualmente, ya no es extraño escuchar que los sistemas de IA – y, en particular, aquellos consistentes en sistemas de aprendizaje (machine learning) – utilicen datos personales, como principal insumo, con el objetivo de crear perfiles, tomar decisiones automatizadas o realizar determinadas tareas, cada vez más sofisticadas. Especialmente, en ámbitos como el marketing y la publicidad, la autenticación de personas o la realización de evaluaciones de riesgo.
En efecto, es evidente que existe una tendencia a que se realice un uso mayor e intensificado de sistemas de IA que requieran una ingesta considerable de datos personales. Algunas circunstancias que abonan a este incremento es la posibilidad de acceder con mayor facilidad a datos personales a través de internet y la existencia de mejores tecnologías que permitirán la realización de procesamientos de información mucho más precisos, rápidos y eficaces.
Frente a este contexto, es importante que los desarrolladores de sistemas de IA – en particular, aquellos que se alimenten de datos personales – sepan dimensionar adecuadamente los posibles impactos o repercusiones que estos puedan tener en la privacidad y demás derechos de las personas (titulares de los datos), así como estimar y prevenir los riesgos de incurrir en incumplimientos de las obligaciones o limitaciones establecidas en las distintas regulaciones en materia de protección de datos personales.
En el caso de Perú, la Ley N° 29733, Ley de Protección de Datos Personales (LPDP), y su Reglamento, aprobado mediante Decreto Supremo N° 003-2013-JUS, constituyen el marco normativo en materia de protección de datos personales, estableciendo reglas para el tratamiento adecuado de los mismos con el fin de garantizar los derechos fundamentales de sus titulares.
Según el artículo 3 de la LPDP, este marco normativo es aplicable a los datos personales contenidos o destinados a ser contenidos en bancos de datos personales de administración pública y privada, cuyo tratamiento se realice en territorio nacional, ya sea que el titular del banco de datos está establecido en Perú o que, estando establecido en el extranjero, utiliza medios situados en territorio peruano (salvo que tales medios se utilicen solo con fines de mero tránsito y no impliquen un tratamiento concreto)[14]. En ese sentido, por ejemplo, un desarrollador de sistemas de IA ubicado en Perú o en el extranjero que recopila datos personales en territorio peruano para procesarlos (incluso, si este tratamiento es efectuado en el extranjero), podría estar potencialmente sujeto a la normativa peruana de protección de datos personales.
Así, la aplicación de la LPDP y su Reglamento le obligaría a dichos desarrolladores a cumplir con determinadas exigencias, tales como realizar el registro de los bancos de datos personales ante la Autoridad Nacional de Protección de Datos Personales (ANPDP)[15], obtener el consentimiento de los titulares de los datos personales para efectuar su tratamiento (cuando lo requiera así la LPDP), comunicar a la ANPDP sobre las transferencias internacionales de datos personales, habilitar canales de atención de solicitudes para el ejercicio de los derechos de los titulares de los datos, entre otros.
Si bien el marco normativo de Perú en materia de protección de datos personales entró en vigencia, en su totalidad, en el año 2015, lo cierto es que este no fue diseñado tomando en cuenta el desarrollo de sistemas de IA y sus implicancias. Sin embargo, pese a no contemplar disposiciones específicas en cuanto esta tecnología, la LPDP prevé una serie de principios rectores que los titulares de bancos de datos personales o quienes resulten responsables de su tratamiento deberán aplicar y cumplir.
Es importante precisar que la relación de principios rectores prevista en la LPDP es enunciativa, por lo que no impide la aplicación de otros principios que puedan resultar relevantes, aun cuando no hayan sido expresamente mencionados en la ley. Del mismo modo, en cuanto al valor de los principios rectores, el artículo 12 de la LPDP señala que estos sirven también como criterios interpretativos y tendrían, por ende, una función integradora pues permitiría suplir determinados vacíos o supuestos no previstos, como sería el caso, precisamente, de las implicancias de la utilización de sistemas de IA.
En ese sentido, algunos de los principios que los desarrolladores de sistema de IA deberán seguir a fin de garantizar el respeto al derecho fundamental a la protección de los datos personales y la privacidad son los siguientes:
- Principio de legalidad: De manera general, supone que el tratamiento de datos personales se debe realizar conforme al marco legal. Es decir, cumpliendo con sus disposiciones y evitando lesionar derechos fundamentales de las personas.
Con relación a este punto, la utilización de sistemas de IA podría dar lugar a afectaciones de derechos. Por ejemplo, en la medida que los algoritmos de estos sistemas de aprendizaje requieren ser «entrenados», existe un margen de error respecto a los resultados que estos puedan arrojar de manera automatizada. Así, podría ocurrir que un sistema de IA utilizado para la evaluación de perfil de clientes arroje resultados inexactos o inadecuados que puedan dar lugar a la toma de decisiones discriminatorias o al otorgamiento de un trato diferenciado no justificado.
De otro lado, con relación a este principio, el artículo 4 de la LPDP señala que una de sus manifestaciones es la prohibición de recopilar datos personales por medios fraudulentos, desleales o ilícitos. Es decir, los datos personales deben ser recopilados necesariamente de forma legítima. Por ejemplo, un sistema de IA aplicado para la revisión de perfil de postulantes no podría alimentarse de datos personales consistentes en antecedentes policiales, penales o judiciales que no sean obtenidos de fuentes lícitas[16].
- Principio de consentimiento: Este principio es la piedra angular del régimen de protección de datos personales y supone que el tratamiento de información personal solo será lícito si el titular ha otorgado su consentimiento.
Para que se considere que el consentimiento ha sido otorgado válidamente por el titular de los datos personales, este deberá cumplir con las siguientes características:
- Previo: El consentimiento debe ser brindado con anterioridad a la recopilación de los datos personales o a la realización del tratamiento en razón del cual fueron recopilados.
- Libre: El titular de los datos personales debe otorgar su consentimiento sin que medie error, mala fe, violencia o dolo que pueda afectar la manifestación de su voluntad. El numeral 1 del artículo 12 del Reglamento de la LPDP precisa que el condicionamiento de la prestación de un servicio o la advertencia de denegar el acceso a beneficios o servicios que normalmente no son de acceso no restringido, puede afectar la libertad de quien otorga el consentimiento si los datos solicitados no son indispensables para la prestación del beneficio o servicio.
- Expreso: El consentimiento debe ser manifestado de forma tal que no exista dudas sobre su otorgamiento. Puede expresarse de forma escrita, verbal o, incluso, en entornos digitales, mediante «clic«, «touch«, «pad» o similares. En el caso de la recopilación de datos sensibles[17], el consentimiento debe ser otorgado por escrito, a través de firma manuscrita, digital u otro mecanismo de autenticación.
- Informado: Se deberá informar a los titulares de los datos personales de forma clara, tallada y con lenguaje sencillo sobre los siguientes aspectos:
- Finalidad para la que los datos personales serán tratados.
- Quiénes son o pueden ser sus destinatarios.
- La existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del encargado del tratamiento de los datos personales.
- Si los datos personales serán transferidos.
- Las consecuencias de proporcionar los datos personales y de la negativa a hacerlo.
- El tiempo durante el cual se conservarán los datos personales.
- La posibilidad de ejercer los derechos que la ley le concede (de acceso, de actualización, inclusión, rectificación y supresión, a impedir el suministro, de oposición, al tratamiento objetivo, a la tutela y a ser indemnizado) y los medios previstos para ello.
Es sumamente importante que toda esta información sea trasladada al titular de los datos personales con ocasión de su recopilación y obtención de su consentimiento pues, de lo contrario, este no se otorgará válidamente otorgado y cualquier tratamiento ulterior de su información devendría en ilegal, exponiendo al titular del banco de datos a contingencias legales.
Cabe precisar que, si bien la LPDP establece determinados casos en los que el consentimiento del titular de los datos no será requerido para realizar su tratamiento (excepciones al consentimiento)[18], igualmente será necesario informarle sobre las condiciones en que sus datos será procesados. Normalmente, esto se puede lograr a través de avisos de privacidad, inclusión de cláusulas en los términos y condiciones para el uso del sistema de IA o en otros documentos informativos.
- Principio de finalidad: En virtud de este principio, los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita. Asimismo, su tratamiento debe ser efectuado de forma proporcional, es decir, no debe extenderse a otras finalidades que no hayan sido establecidas de manera inequívoca al momento de su recopilación.
Siendo ello así, es importante que los desarrolladores de sistemas de IA puedan establecer de manera suficiente y detallada las finalidades de la recopilación de datos personales. De igual modo, dichos sistemas (y, en particular, los algoritmos, aplicativos o métodos que utilizan) deberán estar diseñados cuidadosamente a fin de evitar realizar procesamientos de información personal que no se encuentren contemplados entre las finalidades establecidas y debidamente comunicadas a los titulares de los datos.
- Principio de seguridad: Este principio exige que el titular del banco de datos y el encargado de su tratamiento deben adoptar medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales, a fin de evitar su adulteración, pérdida o desviaciones, pudiendo estos riesgos provenir, inclusive, de la aplicación de medios técnicos como sería, en este caso, la aplicación de sistemas de IA.
Estas medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se va a efectuar y con la categoría de datos personales a utilizar. Así, por ejemplo, se esperará que un desarrollador de sistemas de IA aplique medidas de seguridad reforzadas si es que estos procesarán datos sensibles de personas naturales.
Aun cuando la LPDP y su Reglamento no contemplen disposiciones específicas en cuanto al tratamiento de datos personales mediante la utilización de sistemas de IA, los desarrolladores de estas tecnologías deben observar y cumplir con las exigencias que emanan de los principios rectores establecidos en dicho marco legal. De lo contrario, podrían incurrir en infracciones administrativas, sancionables con multas por la ANPDP.
Sin perjuicio de ello, uno de los principales retos de las leyes de protección de datos es tener que adaptarse y actualizar su alcance y contenido teniendo en cuenta las implicancias derivadas del uso de sistema de IA y de sus características. En esa línea, algunos foros a nivel internacional están trabajando en el diseño de nuevas normas para regular el uso de estas tecnologías, como es el caso del Parlamento Europeo y se espera que otras jurisdicciones vayan en esa misma línea de debate.
- Conclusiones
En el campo de la propiedad intelectual, existen dos grandes retos y/o debates en el contexto de la IA.
En primer lugar, respecto a las excepciones o límites a los derechos de propiedad intelectual; en específico, los derechos de autor, que deberían implementarse o no, en relación al uso de obras protegidas para la alimentación de la base de datos del sistema de IA, para el aprendizaje del mismo, lo cual permitirá que arroje un resultado. En efecto, de la calidad y cantidad de información que se incluya en la base de datos, dependerá la calidad del resultado que se arroje.
En segundo lugar, respecto a la autoría de los resultados arrojados por la inteligencia artificial. Algunos años atrás, se discutía la posibilidad de otorgarle a las máquinas un tipo de personalidad jurídica distinta (personalidad electrónica); mientras que hoy en día se busca repensar el criterio de creatividad y/o nivel inventivo humano.
Por último, desde la perspectiva de la legislación en materia de protección de datos personales, los desarrolladores de sistemas de IA requerirán cumplir con el referido marco normativo, el cual, aunque no contemple – por el momento – disposiciones u obligaciones específicas en consideración a las características particulares de esta tecnología, exige que cualquier tratamiento de información personal sea realizado en estricta observancia de los principios rectores de la protección de datos personales.
[1] Asociada Senior del Estudio Echecopar asociado a Baker & McKenzie International. Abogada graduada de la Universidad del Pacífico («Sobresaliente»). Estudios de maestría concluidos en Derecho Administrativo Económico en la Universidad del Pacífico (2022). Candidata a LL.M. en el programa de maestría en derecho de Propiedad Intelectual organizado por WIPO y la Universidad de Turín (2023). Miembro de APPI y miembro joven de WIPO ADR. Especialista en temas de propiedad intelectual.
[2] Asociado Senior del Estudio Echecopar asociado a Baker & McKenzie International. Abogado egresado de la Universidad de Piura, con mención «Sobresaliente». Especialista en temas de derecho de la competencia, protección de datos personales y compliance corporativo.
[3] Fecha de consulta: 28 de mayo de 2023. Define inteligencia artificial en 50 palabras.
[4] Comisión Europea. Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de Inteligencia Artificial (Ley de Inteligencia Artificial) y se modifican determinados actos legislativos de la Unión. Disponible en: https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:52021PC0206. Fecha de Consulta: 29 de mayo de 2023.
[5] Esta distinción de realiza en el informe «WIPO Tecnology Trends 2019 – Artificial Inteligence», elaborado por la Organización Mundial de Propiedad Intelectual (2019). Disponible en: https://www.wipo.int/edocs/pubdocs/en/wipo_pub_1055.pdf.
[6] Organización Mundial de Propiedad Intelectual. 2019. «WIPO Tecnology Trends 2019 – Artificial Inteligence», elaborado por la Organización Mundial de Propiedad Intelectual (2019). Disponible en: https://www.wipo.int/edocs/pubdocs/en/wipo_pub_1055.pdf. p. 16. Fecha de Consulta: 29 de mayo de 2023.
[7] Comisión Europea. Pan Coordinado de Inteligencia Artificial 2018. Disponible en: https://eur-lex.europa.eu/resource.html?uri=cellar:22ee84bbfa0411e8a96d01aa75ed71a1.%200002.02/DOC_1&format=PD. Fecha de Consulta: 30 de mayo de 2023.
[8] «IBM has the largest portfolio of AI patent applications with 8,290 inventions, followed by Microsoft with 5,930. Both companies’ portfolios span a range of AI techniques, applications and fields, indicating that these companies are not limiting their activity to a specific industry or field. Rounding out the top five applicants are Toshiba (5,223), Samsung (5,102) and NEC (4,406). The State Grid Corporation of China has leaped into the top 20, increasing its patent filings by an average of 70 percent annually from 2013 to 2016, particularly in the machine learning techniques of bio-inspired approaches, which draw from observations of nature, and support vector machines, a form of supervised learning». En: Organización Mundial de Propiedad Intelectual. 2019. «WIPO Tecnology Trends 2019 – Artificial Inteligence», elaborado por la Organización Mundial de Propiedad Intelectual (2019). Disponible en: https://www.wipo.int/edocs/pubdocs/en/wipo_pub_1055.pdf. p. 17. Fecha de Consulta: 29 de mayo de 2023.
[9] Dicho criterio se adoptó en el caso Burrow-Giles Lithographic Co., 111 U.S. at 58.
[10] United States Copyright Office. Compendium of U.S. Copyright Office Practices. Tercera Edición. Disponible en: https://www.copyright.gov/comp3/docs/compendium.pdf. p. 69. Fecha de consulta: 3 de junio de 2023.
[11] Para mayor referencia ver: https://www.washingtonpost.com/technology/2022/09/02/midjourney-artificial-intelligence-state-fair-colorado/
[12] Para mayor referencia ver: https://mymodernmet.com/ai-photography-boris-eldagsen/#:~:text=Academy-,Photographer%20Admits%20His%20Award%2DWinning%20Photo,AI%2DGenerated%20and%20Rejects%20Prize&text=When%20the%20Sony%20World%20Photography,winner%20of%20the%20Creative%20Category
[13] Para mayor referencia ver: https://www.politico.eu/article/europe-divided-over-robot-ai-artificial-intelligence-personhood/
[14] Se puede escuchar la canción en el siguiente enlace: https://www.youtube.com/watch?v=LSHZ_b05W7o
[15] Definición prevista en el numeral 4 del artículo 2 de la Ley N° 29733.
[16] Según lo previsto en el artículo 5 del Reglamento de la LPDP. Si bien existen cuestionamientos con relación a cómo la Autoridad Nacional de Protección de Datos Personales de Perú ha interpretado los criterios de aplicación territorial de la LPDP (en particular, respecto a cuándo se considera que se utilizan medios situados en territorial con fines de mero tránsito), lo cierto es que, en algunos casos, ha llegado a considerar, inclusive, que, por el uso de redes de telecomunicaciones y equipos terminales situados en Perú para la recopilación de datos, ya se gatillaría la aplicación de la referida norma.
[17] Entidad adscrita el Ministerio de Justicia y Derechos Humanos de Perú.
[18] La ANPDP, mediante Resolución Directoral N° 082-2022-JUS/DGTAIPD, sancionó al titular de un banco de datos que recopilaba datos personales sobre antecedentes judiciales, policiales y penales, así como información de denuncias ante el Ministerio Público, para fines de reclutamiento de personal, por cuanto adquirían dicha información a través de terceras empresas privadas que no tienen permitid manejar esos datos (a diferencia de las autoridades competentes y el propio titular de los datos personales). Dicha conducta fue calificada como una infracción muy grave a la LPDP.
[19] Se refiere a los datos personales sobre las características físicas, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima, la información relativa a la salud física o mental u otras análogas que afecten su intimidad.
[20] Según el artículo 14 de la LPDP, algunos supuestos de excepción al consentimiento son: (i) cuando los datos personales se recopilen o transfieran para el ejercicio de las funciones de las entidades públicas en el ámbito de sus competencias, (ii) cuando se trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público, (iii) cuando los datos personales sean necesarios para la preparación, celebración y ejecución de una relación contractual en la que el titular de datos personales sea parte, (iv) cuando se hubiera aplicado un procedimiento de anonimización o disociación, entre otros.