“En el caso de la inteligencia artificial (IA) hay una regulación en exceso en el Perú”
Las implicancias del proyecto de ley 7033/2023-CR, que regula el desarrollo y uso de la Inteligencia Artificial en el Perú, analiza la Dra. Alexandra Espinoza, experta en Derecho y Nuevas Tecnologías. Advierte que en estas tecnologías emergentes “se generan obligaciones que son difíciles de cumplir y fiscalizar o que se desprenden de otras normas vigentes”.
En las tecnologías emergentes como la Inteligencia Artificial (IA), “hay un exceso de regulación” y se generan obligaciones “difíciles de cumplir y fiscalizar”, advierte la Dra. Alexandra Espinoza, experta en Derecho y Nuevas Tecnologías. Ella es abogada asociada del área de Competencia y Propiedad Intelectual del estudio Benites, Vargas & Ugaz. Aquí analiza el proyecto de ley 7033/2023-CR, que regula el desarrollo y uso de la inteligencia artificial en el Perú.
¿Cómo entender este proyecto de ley sobre la IA?
La “sobreregulación” es una práctica recurrente, cambiar la forma de trabajo de los legisladores o creadores de regulación en general podría ser un objetivo fútil. Sin embargo, es necesario, especialmente para las normas sobre tecnologías emergentes, que estandaricemos conceptos y utilicemos como apoyo las normas vigentes al momento de la redacción y creación de los proyectos de ley. De esta forma, evitaremos contradicciones y aseguraremos la correcta comprensión de los aspectos teóricos, jurídicos y prácticos de la regulación sobre la IA.
PUEDES VER:
Experto lanza advertencia sobre el aprendizaje con inteligencia artificial en el futuro: "Es inevitable"
¿Advierte que eso pasa en la regulación?
Hay una regulación en exceso sobre temas tecnológicos. Es una práctica recurrente de los legisladores. Esto se debe a una preocupación sobre el uso inadecuado de las tecnologías emergentes y la afectación de los derechos de las personas. Sin embargo, esta preocupación muchas veces se materializa en normas que pretenden regular la aplicación de la tecnología en cada aspecto de nuestra vida. En consecuencia, se generan obligaciones difíciles de cumplir y fiscalizar o que se desprenden de otras normas vigentes. Esto ocurrió con la iniciativa de regular la inteligencia artificial (IA).
¿Es necesario que toda norma o proyecto de ley cuente con una definición diferente sobre “inteligencia artificial”?
No. Es fundamental que exista una sola definición sobre “IA” o “sistemas de IA”. De esta forma, será posible estandarizar su significado y aplicarlo de manera transversal a las situaciones que sean pertinentes.
¿Qué definiciones nota en las normas?
La Ley 31814, Ley que promueve el uso de la inteligencia artificial en favor del desarrollo económico y social del país, que está vigente, define la IA como una “tecnología emergente”. El proyecto de ley 7033/2023-CR la define como “la combinación de algoritmos”. El proyecto de ley n° 7072/2023-CR, como “un campo de la informática”, etc. Es posible que todas estas definiciones sean correctas. Pero es importante que el objeto de la regulación, la IA, sea definida y delimitada de forma estructurada y clara. Para alinearnos con las recomendaciones de la OCDE se podría usar la definición desarrollada por esta.
PUEDES VER:
Un país de Sudamérica elegido entre los más bellos del mundo, según la IA: compite con Italia y Francia
¿Observa que en los proyectos de ley se proponen conceptos que ya están en otras normas?
Sí, en ocasiones se proponen conceptos jurídicos de palabras o enunciados definidos en otras normas vigentes. Y para evidenciar la problemática vemos, por ejemplo, lo dispuesto en el proyecto de ley 7033/2023-CR. El proyecto define a los “datos personales” como “toda información relativa a una persona física identificada o identificable”. Asimismo, existen definiciones sobre “datos de entrada”, “datos de entrenamiento”, “datos de prueba” y “datos de validación”. Si bien el concepto se encuentra acorde, de manera general, a la definición establecida en la Ley 29733 —Ley de Protección de Datos Personales (LPDP)— hubiera sido preferible referir a tal definición mediante el fraseo “se entenderá por ‘dato personal’ a aquello que califique como tal, según lo dispuesto en la Ley 29733, Ley de Protección de Datos Personales”.
Son varias definiciones.
Con el fin de asegurar la coherencia que debe primar entre las normas es necesario evaluar si es realmente oportuno definir elementos, en tanto puede que estas definiciones se encuentren contempladas en normas vigentes. Si es así, es preferible referir a dichas normas, con el fin de evitar cualquier antinomia.
¿Además, hay obligaciones en el proyecto de ley, que se desprenden de las leyes vigentes?
Efectivamente. Uno de los sectores más afectados es el de protección de datos personales. Mucha de la información utilizada en el proceso de aprendizaje de las IA se clasifica, en la mayoría de circunstancias, como datos personales... Esto acarreó que existan análisis sobre el impacto de la IA en la protección de los datos de las personas, así como la creación de guías que puedan brindar pautas y recomendaciones para el tratamiento de datos en el desarrollo de estos sistemas. Es más, existen a la fecha denuncias interpuestas y fiscalizaciones iniciadas por el uso indebido de datos personales por parte de desarrolladores de sistemas de IA… El proyecto de ley 7033/2023-CR indica que se deberá respetar y proteger la privacidad de los usuarios y el tratamiento de sus datos en atención a las normas sobre la materia. Asimismo, el proyecto indica que es obligatorio obtener el consentimiento explícito e informado de las personas para el uso de sus datos. Se debe tener en cuenta que, según lo dispuesto en el artículo 13 de la LPDP, el consentimiento deberá ser libre, previo e inequívoco, no solo explícito e informado.
¿Y este proyecto de ley qué omite?
Pese a que especifica la obligatoriedad de consentimiento, omite otras características fundamentales para que el titular de datos consienta el tratamiento de su información. Además, el proyecto de ley omite señalar supuestos de excepción al consentimiento, los cuales podrán ser analizados de manera particular. En una lectura literal, pareciese que en toda circunstancia es obligatorio obtener consentimiento del titular de los datos.
En este punto, el de los datos ¿Ya hay un registro tipo banco de datos?
Sí, la Autoridad Nacional de Protección de Datos Personales cuenta con un registro de banco de datos en el cual se debe precisar los datos que son tratados y organizados por empresas u otras personas. Es obligatorio que todo aquel que sea titular de banco de datos personales informe a la Autoridad sobre la existencia de dicho banco, para lo cual es necesario completar un formulario. A pesar de la existencia de este registro, el proyecto de ley que regula el uso de la IA crea un nuevo registro con el fin de informar a la Secretaría de Gobierno y Transformación Digital sobre las características del sistema de IA y los datos personales que son utilizados en dicho sistema.
¿Son dos registros?
Sí, y es evidente que mantener dos registros, con diferentes autoridades a cargo y con finalidades similares es engorroso y confuso, además de contradictorio. Es necesario que no exista duplicidad de obligaciones entre las normas sobre datos personales y las que pretenden regular la IA. Caso contrario, podría configurar un desincentivo para los desarrolladores de IA en el cumplimiento de sus obligaciones.