Hoy más que nunca, la economía y las organizaciones están basadas en datos y, sobre ellos, pivota su actual transformación digital, siendo asimismo claves para permitir el despliegue efectivo de tecnologías emergentes y disruptivas, como la Inteligencia Artificial (IA). De hecho, desde el año 2017, el Consejo Europeo insiste en la necesidad de tomar conciencia acerca de la urgencia de contar con datos suficientes y de calidad de forma que se posibilite su desarrollo, garantizando al mismo tiempo un elevado nivel de protección de estos, así como de los derechos digitales y las normas éticas aplicables (ética digital).
Sin duda, los datos son una pieza fundamental que posibilita avanzar de forma exponencial en el actual proceso de recuperación tras la situación de pandemia sufrida, construyendo sobre ellos una sociedad más justa y preparada para afrontar con garantías los cambios y avances que aún están por llegar.
La Unión Europea (UE), como otras regiones a nivel global, ha desplegado renovadas estrategias de fomento e impulso de nuevos modelos de crecimiento e innovación sostenible con apoyo en datos. Y precisamente a ello responde la creación por la UE del mercado único de datos, y el establecimiento, a nivel europeo, de un sólido marco regulatorio de acompañamiento que sienta las bases legales necesarias para liberar todo el potencial inherente a los datos que manejan las distintas organizaciones.
Estamos asistiendo, como nunca antes, a una auténtica revolución legal, que sienta las bases para posibilitar al máximo posible la liberación, el intercambio y la reutilización de los datos en manos de las organizaciones, tanto del sector privado, como del público. Pero, para aprovechar bien estas oportunidades, sin duda, es vital conocer en profundidad dichas bases legales, así como estas interactúan entre sí.
No es cierto que la ley represente un límite u obstáculo para el despliegue de nuevos modelos, proyectos e iniciativas sobre datos corporativos. Al contrario, es una gran aliada competitiva para mejorar los procesos de tratamiento de estos, según su concreta tipología y taxonomía.
Además, datos en las organizaciones hay de muchos tipos, y no todos tienen carácter personal, por lo que huelga seguir enarbolando el discurso de la privacidad como mera excusa para no avanzar. Más aún, tratar datos personales tampoco representa problema alguno, puesto que hay diversas técnicas que ayudan en la mitigación de los riesgos jurídicos concurrentes en estos casos, siendo la propia normativa de datos personales la que regula, además de su protección específica, su libre circulación e intercambio con las debidas garantías y cautelas legales (Considerando 6 del Reglamento (UE) 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (GDPR)).
Es por ello que, en la actualidad, son fundamentales los procesos corporativos de inventario y clasificación de datos y activos en los que se integren, determinación de su concreto nivel de riesgo, e identificación de las mejores soluciones y herramientas de tratamiento, sus funcionalidades e instrucciones de uso (sobre todo, si se trata de soluciones y sistemas de IA).
El derecho a la protección de los datos personales no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad y, por tanto, mantener el equilibrio con otros derechos fundamentales, con arreglo a un principio de proporcionalidad, incluida la libertad de empresa, según el artículo 16 de la Carta de los Derechos Fundamentales de la Unión Europea.
Sin perjuicio de lo anterior, es también importante poner de relieve la existencia de normas y proyectos normativos, en estado muy avanzado, que fomentan en un sentido amplio la reutilización y el intercambio de datos en todos los sectores de actividad. Entre otras normas, destacan las que siguen:
En esta línea, la promoción de la innovación impulsada por la IA está estrechamente vinculada a la Ley de Gobernanza de Datos, la Directiva relativa a los Datos Abiertos, y otras iniciativas emprendidas en el marco de la Estrategia de Datos de la UE, que prevén mecanismos y servicios de confianza para reutilizar, compartir y poner en común datos esenciales, por ejemplo, para el mejor desarrollo de modelos de IA.
Con base en estas normas, entre otras de tipo sectorial, es posible lanzar modelos y proyectos de crecimiento y negocio basados en el intercambio y la reutilización de datos (proyectos “Data Sharing”), ya tengan un carácter “Goverment to Goverment (G2G)”, “Goverment to Business (G2B)”, “Business to Goverment (B2G)” o “Business to Business (B2B)”, estén o no sustentados en sistemas o soluciones de IA.
También en el Proyecto de Ley europea de Gobernanza de Datos se regulan, por primera vez, nuevos servicios de intercambio de datos son los: 1) servicios de intermediación entre los titulares de datos que sean personas jurídicas y los usuarios potenciales de los datos, incluida la facilitación de los medios técnicos o de otro tipo para habilitar dichos servicios; 2) servicios de intermediación entre las personas que deseen facilitar sus datos personales y los usuarios potenciales de los datos, incluida la facilitación de los medios técnicos o de otro tipo necesarios para habilitar tales servicios; y 3) servicios de cooperativas de datos.
De forma adicional, el Proyecto de Ley de Inteligencia Artificial pone de manifiesto la necesidad de contar con datos de calidad para que muchos sistemas de IA puedan funcionar correctamente, sobre todo, en relación con sistemas de IA de alto riesgo. Todo ello con el fin de evitar situaciones como el sesgo algorítmico y la discriminación, lo que legitima el uso de grandes volúmenes de datos que, en tal sentido, permitan balancear ciertos resultados o decisiones automatizadas basadas en tales sistemas y, por tanto, ayuden a cumplir mejor por parte de los proveedores y usuarios de sistemas IA con la legalidad vigente.
Es preciso en estos casos, por tanto, instaurar prácticas específicas y adecuadas de gestión y gobernanza de datos para lograr que los conjuntos de datos de entrenamiento, validación y prueba sean de buena calidad, sean lo suficientemente pertinentes y representativos, carezcan de errores y sean lo más completos posible en atención a la finalidad prevista del sistema.
De hecho, los conjuntos de datos de entrenamiento, validación y prueba deberán tener en cuenta, en la medida necesaria en función de su finalidad prevista, los rasgos, características o elementos particulares del entorno o contexto geográfico, conductual o funcional específico en el que se pretende utilizar el sistema de IA.
Asimismo, con el fin de proteger los derechos de terceros frente a la discriminación que podría provocar el sesgo de los sistemas de IA, los proveedores de estos sistemas podrán tratar también categorías especiales de datos personales, según el proyecto de ley europea en ciernes, como cuestión de interés público esencial, para garantizar que el sesgo de los sistemas de IA de alto riesgo se vigile, detecte y corrija.
Por último, para poder desarrollar ciertos sistemas de IA, determinados agentes, tales como centros de innovación digital, centros de ensayo y experimentación e investigadores, podrán tener asimismo acceso a ciertos conjuntos de datos de alta calidad en sus respectivos campos de actividad relacionados. Los espacios comunes europeos de datos, -también previstos dentro de la Estrategia europea de Datos-, y los proyectos intercambio de datos entre empresas y Gobiernos, en aras del interés público, serán esenciales para brindar un acceso fiable, responsable y no discriminatorio a estos datos de alta calidad con los que poder entrenar, validar y probar sistemas de IA.
A tenor de lo anterior, parece obvio que las estrategias de “data managment” y “data governance” se incluyan dentro de los principales retos y desafíos corporativos a los que se enfrentan las organizaciones en la actualidad.
Tampoco es de extrañar que, dado el alto componente regulatorio asociado a estos asuntos, directamente conectados también con el adecuado cumplimiento de Estándares ESG (Pilar de Gobernanza y Ética de los Negocios), recaiga de forma habitual sobre la función legal la misión y competencia de co-liderar estos procesos, junto con otras áreas de la organización. Así lo reflejan prestigiosos informes como el “Global Legal Department Benchmarking Survey 2021 Report” de KPMG, o el “Chief Legal Officers Survey. 2022” de ACC, entre otros. Por tanto en el marco de proyectos integrales de gobernanza de datos, los departamentos legales deberían abordar, con plenas garantías, estos procesos de alto componente estratégico para sus organizaciones.
Por tanto, se impone y plantea un enorme desafío y reto para los departamentos legales corporativos, en términos de una mayor especialización, control y mapeado de los nuevos riesgos (y oportunidades) en torno a la nueva gestión y la gobernanza de los datos, definición de renovadas operativas y procesos vinculados, gestión de equipos asociados, y selección de las mejores herramientas, talento y capacidades en este ámbito. Cuanto antes se aborden los mismos, mayor valor añadido aportará el departamento legal.
Por Noemí Brito Izquierdo, Directora y responsable del área de 'Legal Operations & Transformations Services' (LOTS) de KPMG Abogados
