Por qué EE.UU. va a la zaga de Europa en violaciones de la privacidad de la IA: Expertos

Fiabilidad

Los organismos reguladores y policiales de Europa y otras partes del mundo están cada vez más preocupados por los crecientes riesgos que supone para sus ciudadanos la rápida evolución de la inteligencia artificial (IA) generativa, en particular plataformas como ChatGPT de OpenAI.

ChatGPT y otros chatbots han acumulado millones de usuarios en los últimos 18 meses, con escasos resguardos para proteger la información personal sensible. Las autoridades están buscando formas de frenar la precipitada carrera hacia un futuro digital desconocido.

El año pasado, la Agencia de Cooperación Policial de la Unión Europea (Europol) advirtió de que los grandes modelos lingüísticos como ChatGPT pueden facilitar a los delincuentes el fraude, la suplantación de identidad y la ingeniería social, la difusión de actos de phishing, la creación de malware y la participación en actos terroristas.

Lo cual es mucho poder para entregar a los malos actores.

Más o menos al mismo tiempo, Italia prohibió temporalmente ChatGPT después de que un fallo expusiera archivos de datos de usuarios. La Autoridad Italiana de Protección de Datos amenazó a OpenAI con multas millonarias por violación de la privacidad hasta que no aclarara a dónde va a parar la información de los usuarios.

Estas preocupaciones contribuyeron a que el Parlamento Europeo aprobara la Ley de Inteligencia Artificial -el primer marco jurídico del mundo que regula la IA-, cuyo objetivo es garantizar que los sistemas basados en la IA sean seguros y “respeten los derechos fundamentales, la seguridad y los principios éticos”, al tiempo que apoyan la innovación. La normativa se acordó en negociaciones con los Estados miembros en diciembre de 2023.

La Ley forma parte de un paquete más amplio de medidas políticas europeas para apoyar el desarrollo de una IA digna de confianza, que también incluye el Paquete de Innovación en IA y el Plan Coordinado sobre IA. La ley entrará plenamente en vigor dentro de dos años, dando tiempo a las organizaciones para garantizar su cumplimiento.

Puntos clave

  • La preocupación por los riesgos de la IA ha llevado a la adopción de medidas reguladoras en Europa a través de la Ley de Inteligencia Artificial de la UE.
  • En cambio, EE.UU. carece de una regulación exhaustiva de la IA, lo que da lugar a un mosaico de leyes estatales.
  • Expertos de Ernst and Young, Protegrity y Duality Technologies explican las diferencias, los riesgos y los posibles golpes económicos sin unas directrices claras.
  • Sin embargo, las recientes órdenes ejecutivas señalan un creciente interés en la gobernanza de la IA a nivel federal.
  • Las nuevas tecnologías, como las Tecnologías de Mejora de la Privacidad (PET), pueden ofrecer una solución para la privacidad y la seguridad de los datos, y empresas como Mastercard están explorando su potencial.

EE.UU. va a la zaga de la normativa común europea sobre IA y privacidad

Mientras que la UE cuenta con el GDPR para salvaguardar la privacidad de los datos, y ahora la Ley de IA se centra específicamente en cuestiones de seguridad, EE.UU. no dispone de una legislación integral para abordar la intersección de la IA, la privacidad y la dinámica del mercado.

Aunque los legisladores han propuesto esta semana una Ley federal sobre los derechos de privacidad de los estadounidenses, tendría que ser aprobada por ambas cámaras del Congreso y tendría pocas posibilidades de recibir la firma del Presidente en un año electoral.

“El gobierno federal de Estados Unidos no ha hecho el trabajo necesario para alinear nuestros estados y territorios con un marco común”, declaró a Techopedia Nathan Vega, Vicepresidente de Marketing y Estrategia de Producto de Protegrity.

“Un reto clave surge de un desajuste fundamental en la forma en que los estados y el gobierno ven los datos sobre los ciudadanos que el GDPR resolvió.

 

“El GDPR, en esencia, amplía los derechos de los ciudadanos de la UE a los datos sobre ellos. En efecto, los datos sobre un individuo son sus datos, y los ciudadanos tienen poder para determinar quién utiliza sus datos y con qué fines.

 

“El impacto de esto para las empresas que operan en la UE es que deben tener políticas de privacidad claras, transparencia sobre los datos que se captan y prescripciones sobre cómo utilizarán los datos de un ciudadano”.

A falta de una ley de protección de la intimidad de ámbito nacional, varios Estados han asumido la tarea de elaborar normativas individuales en la materia, con distintos niveles de aplicación.

Añadió Vega:

“La implicación global de la falta de una ley federal de privacidad holística en EE.UU. es un mayor coste y complejidad para participar en el mercado estadounidense”.

Ya en 2019, la Business Roundtable, una asociación de directores ejecutivos (CEO) de las principales empresas de Estados Unidos instó al Congreso a aprobar “urgentemente” “una ley federal integral de privacidad de datos de los consumidores para fortalecer la confianza de los consumidores y establecer un entorno político estable.”

señaló Vega: “La razón por la que 51 líderes tecnológicos de las mayores empresas del planeta firmaron una petición para tener una ley nacional de privacidad puede que incluyera la bondad de sus corazones, pero fue por los costes…

“Lo que vamos a ver, que ya está ocurriendo, es a empresas salir de mercados que no tienen el valor que pueden captar. No es difícil imaginar que una gran marca mundial determine que no va a operar en EE.UU. o en partes limitadas de EE.UU. porque no hay suficiente valor para seguir operando a nivel nacional”.

John D. Hallmark, responsable político y legislativo de EE.UU. en la consultora Ernst and Young, declaró a Techopedia que el enfoque de EE.UU. para regular la IA es “deliberado” más que tardío “…Con los responsables políticos de EE.UU. dedicados intensamente a aprender sobre la tecnología, comprender su potencial y desarrollar marcos de gobernanza que reflejen la naturaleza vertiginosa de este sector.

“Este pasado fin de semana, los líderes en materia de privacidad de datos del Congreso anunciaron una nueva propuesta sobre privacidad de datos, por lo que, aunque sin duda continuarán las negociaciones, Estados Unidos no está ignorando esta cuestión”, dijo Hallmark.

“Mientras tanto, otros gobiernos, incluidos la UE y varios estados de EE.UU. como California, están redactando sus propias normas sobre privacidad de datos. La falta de una ley federal estadounidense exhaustiva sobre la privacidad de los datos no significa que no existan normas en absoluto, especialmente cuando tantas grandes empresas tecnológicas tienen una huella global. Estas organizaciones también tendrán que desarrollar por sí mismas su enfoque estratégico de la gestión de riesgos.”

Ronen Cohen, vicepresidente de estrategia de Duality Technologies, declaró a Techopedia que, aunque Estados Unidos ha ido históricamente a la zaga del resto del mundo en cuanto a protección de la privacidad de los datos, está acortando distancias.

La Orden Ejecutiva sobre Inteligencia Artificial del Presidente Biden del pasado mes de octubre dio una orientación clara sobre privacidad y confidencialidad, y en febrero, la Casa Blanca publicó otra Orden Ejecutiva sobre Prevención del Acceso a los Datos Personales Sensibles Masivos de los Estadounidenses.

añadió Cohen:

“Dicho esto, creo que una ley federal de privacidad en EE.UU. no está prevista a corto plazo. Esto, por supuesto, tiene ramificaciones para nuestras economías globalizadas, en las que los datos y la información deben fluir tan libremente como sea posible.

 

“Por eso, y porque gran parte del mundo ya tiene leyes en vigor sobre privacidad, seguridad y soberanía de los datos, existe la oportunidad de aprovechar tecnologías como las PET (Privacy Enhancing Technologies), que pueden colmar estas lagunas, permitiendo a las empresas cumplir o superar los requisitos de privacidad de cualquier jurisdicción sin dejar de ser capaces de aprovechar los datos, construir modelos y utilizar IA/ML.”

El papel potencial de las tecnologías de mejora de la orivacidad

Las Tecnologías de Mejora de la Privacidad (PET) son un grupo de herramientas de software y hardware que las organizaciones pueden utilizar para minimizar la información personal sobre un cliente que recopilan y utilizan, al tiempo que maximizan sus garantías de seguridad.

Las PET pueden ser eficaces para el entrenamiento seguro de modelos de IA, la generación de estadísticas anónimas y el intercambio con terceros de datos protegidos que, de otro modo, sería demasiado delicado compartir.

Las PET pueden ofrecer garantías a los usuarios de los sectores público y privado de que pueden entrenar con seguridad modelos de IA con información sensible y colaborar con sus colegas para obtener nuevos conocimientos, salvaguardando al mismo tiempo los datos de los clientes.

Según la Oficina del Comisionado de Información del Reino Unido (ICO), las PET incluyen:

  • Privacidad diferencial es un método matemático de generar estadísticas anónimas en conjuntos de datos mediante la aleatorización del proceso de cálculo que añade ruido al resultado.
  • Los datos sintéticos proporcionan conjuntos de datos realistas si no es posible acceder a grandes conjuntos de datos que contengan información real.
  • La encriptación homomórfica, que permite realizar cálculos sobre datos encriptados sin desencriptarlos previamente.
  • Pruebas de conocimiento cero (ZKP), un método de minimización de datos cada vez más utilizado en las redes blockchain que permite a un individuo demostrar la exactitud de la información privada sin revelar realmente la información.
  • Los entornos de ejecución de confianza permiten que una parte segura de un procesador informático -aislada del sistema operativo principal y de otras aplicaciones- procese datos.
  • La computación multiparte segura (SMPC) permite que distintas partes procesen conjuntamente datos combinados, sin que ninguna de ellas tenga que compartir toda su información con las demás.
  • El aprendizaje federado entrena modelos de aprendizaje automático (AM) en entornos distribuidos, minimizando la cantidad de información personal que comparte cada parte. Utilizar el aprendizaje federado por sí solo puede no ser suficiente para proteger completamente la información personal, por lo que puede ser necesario combinarlo con otras PET en diferentes etapas del procesamiento de datos.

Las PET en acción

Un estudio de caso realizado por la Autoridad de Desarrollo de Medios Infocomm (IMDA) de Singapur ilustra cómo la red de pago con tarjeta Mastercard ha estado simulando el uso de PET para ayudar a combatir delitos financieros como el blanqueo de dinero, colaborando con terceros en varias jurisdicciones y cumpliendo al mismo tiempo la normativa sobre privacidad de datos, seguridad y finanzas.

Mastercard desarrolló una prueba de concepto en el programa PET Sandbox de la IMDA para investigar un producto de Cifrado Totalmente Homomórfico (FHE) suministrado por un proveedor externo para compartir inteligencia sobre delitos financieros con EE.UU., India y Reino Unido, cumpliendo al mismo tiempo la normativa sobre privacidad y protección de datos transfronteriza.

Mastercard llegó a la conclusión de que el uso de una interfaz de programación de aplicaciones (API) en la tecnología FHE es prometedor, aunque puede que sea necesario actualizar la normativa vigente para adaptarla a la forma en que se gestiona el proceso y se mantienen los datos de origen.

Cohen dijo que el uso de las PET “tiene beneficios derivados, como el mantenimiento de la seguridad nacional en el sector público y el impulso de nuevos productos, servicios, ingresos y eficiencias en el sector privado”.

“Al dar prioridad a estas tecnologías, que permiten un enfoque de privacidad por diseño para utilizar datos y modelos de IA, todos podemos liberar todo el potencial de la IA al tiempo que defendemos nuestros derechos civiles y de privacidad fundamentales y garantizamos que la IA sirva como una fuerza para el bien.”

Conclusión

Estados Unidos ha ido históricamente por detrás de regiones como Europa en la aplicación de normativas sólidas y generalizadas para gestionar el impacto de la IA en la privacidad y la seguridad de los ciudadanos.

Pero los legisladores están tomando medidas para introducir legislación, y la Casa Blanca ha manifestado un claro interés en proporcionar orientaciones destinadas a salvaguardar la privacidad de los consumidores en la era de la IA.

Haya o no regulación nacional en EE.UU., las empresas internacionales que operan en jurisdicciones fuera de EE.UU. tendrán que cumplir los requisitos más estrictos de otros países.

Las Tecnologías de Mejora de la Privacidad (PET) pueden ayudar a las empresas a cumplir los requisitos de privacidad dispares de cualquier jurisdicción sin dejar de poder aprovechar los datos, crear modelos de entrenamiento y utilizar aplicaciones de IA y ML.

Temas relacionados

Artículos relacionados

Nicole Willing
Technology Specialist
Nicole Willing
Editora

Nicole Willing cuenta con dos décadas de experiencia en la redacción y edición de contenidos sobre tecnología y finanzas. Es experta en los mercados de materias primas, acciones y criptomonedas, así como en las últimas tendencias del sector tecnológico, desde los semiconductores hasta los vehículos eléctricos. Su experiencia informativa sobre la evolución de los equipos y servicios de redes de telecomunicaciones y la producción de metales industriales le da una perspectiva única sobre la convergencia de las tecnologías del Internet de las Cosas y la fabricación.