La IA generativa está teniendo un impacto sin precedentes en la tecnología, con aplicaciones emergentes como Chat-GPT que han ganado popularidad en poco tiempo. A medida que su uso se ha incrementado, también lo han hecho las preocupaciones éticas y legales asociadas a su uso. En este artículo, nos centraremos en los riesgos legales que la IA puede presentar para las empresas.
El problema
Desde las áreas de cumplimiento normativo, el principal problema que enfrentamos es la velocidad con la que los usuarios adoptan la IA en contraposición a nuestra capacidad para comprender, identificar y regular su uso. En este artículo abordaremos los dos primeros puntos.
Sobre el funcionamiento
De forma simplificada, el funcionamiento de los sistemas de inteligencia artificial generativa implica tres grandes procesos:
Proceso de entrada de datos: para el entrenamiento del modelo de lenguaje o en el momento en que se le solicita algo a la IA, el sistema se alimenta de datos que se almacenan y tratan en servidores externos fuera del control de la organización.
Proceso de uso de datos: se trata de todas las operaciones que permiten al sistema comprender y procesar lo que se le solicita en lenguaje natural, recuperar información previamente almacenada en su base de conocimiento, añadir información útil para futuras solicitudes y generar una respuesta en lenguaje natural.
Proceso de salida de datos: es el resultado que genera la IA atendiendo a la solicitud realizada en el proceso de entrada. Puede ser de tipo textual, imágenes, sonidos o código de programación, entre otros.
Proceso de uso de datos: se trata de todas las operaciones que permiten al sistema comprender y procesar lo que se le solicita en lenguaje natural, recuperar información previamente almacenada en su base de conocimiento, añadir información útil para futuras solicitudes y generar una respuesta en lenguaje natural.
Proceso de salida de datos: es el resultado que genera la IA atendiendo a la solicitud realizada en el proceso de entrada. Puede ser de tipo textual, imágenes, sonidos o código de programación, entre otros.
Escenarios de riesgo
A partir de lo anterior, podemos identificar tres grandes escenarios de riesgo:
Al tipo de datos que se le facilitan al sistema
Dado que dichos datos se almacenan en un sistema de terceros, frente al que tenemos poco control, debemos considerar los riesgos asociados a facilitar datos sensibles para la organización o que estén sujetos a restricciones de uso. Algunos ejemplos incluyen:
Datos de carácter personal.
Datos confidenciales propios o de terceros con los que hay un compromiso de confidencialidad.
Información cuyo uso está restringido por una licencia u otro instrumento jurídico.
Por lo tanto, al utilizar la IA, debemos asegurarnos de que estamos legalmente habilitados para emplear esta información.
Información cuyo uso está restringido por una licencia u otro instrumento jurídico.
Por lo tanto, al utilizar la IA, debemos asegurarnos de que estamos legalmente habilitados para emplear esta información.
Al resultado que nos genera
La IA proporciona una respuesta basada en criterios, ponderaciones e información con la que ha sido entrenada, de la que no tenemos control ni conocimiento. Puede estar afectada por sesgos y no ser infalible, lo que significa que la calidad de la información que genera debe vigilarse de forma continua y, en algunos casos, ser transparente en cuanto a su uso. Además, la respuesta generada puede incorporar información o datos vinculados a los derechos de terceros que desconocen este uso de los datos.
Intención de su utilización
La IA puede ser utilizada con fines ilícitos por la organización o por cualquier trabajador que tenga acceso a todo el potencial de esta tecnología y decida emplearla para su propio beneficio o para el de la organización.
Destacamos que todos los escenarios de riesgos legales comparten un elemento común: la falta de control efectivo sobre el uso de la IA que puede tener el área de cumplimiento normativo.
Consecuencias
Para completar estos escenarios de riesgo, debemos tener en cuenta las consecuencias derivadas de su mal uso, que dependerán del ámbito normativo afectado. Algunos ejemplos son:
- Sanciones por incumplimiento de la normativa de protección de datos personales.
- Incumplimiento contractual por afectar su uso a terceros vinculados contractualmente con la organización.
- Responsabilidad derivada de infracción del principio de no discriminación establecido en el Estatuto de los Trabajadores.
- Responsabilidad civil por daños a terceros, por ejemplo cuando afecta a derechos relacionados con la propiedad intelectual e industrial.
- Responsabilidad penal de las organizaciones derivada de la ausencia de controles o medios para prevenir los delitos.
Conclusiones
El impacto de la IA en las organizaciones es significativo y, por tanto, es importante que las empresas adopten medidas para comprender, identificar y regular su uso. Las áreas de cumplimiento normativo deben trabajar de forma conjunta con las áreas de tecnología y los responsables del resto de áreas de la organización para desarrollar políticas y procedimientos que aborden los riesgos legales de la IA y mitiguen su impacto negativo. Esto permitirá a las empresas aprovechar al máximo las oportunidades que ofrece la IA, mientras se aseguran de cumplir con las obligaciones legales y éticas que implica su uso.
En próximos artículos desarrollaremos casos prácticos por cada una de las áreas empresariales de más interés en su uso.
Juan Carlos Álvarez
Socio-Consultor en cohaerentis
Especialista en Competitividad y Derecho Digital