/ sábado 9 de noviembre de 2024

Sobre la Iniciativa de Ley de Inteligencia Artificial en la CdMx

El 24 de octubre, el Instituto de Transparencia, Acceso a la Información Pública, Protección de Datos Personales y Rendición de Cuentas de la Ciudad de México (INFO- CDMX) presentó al Congreso de esta ciudad una iniciativa que, de aprobarse, sería la primera regulación en materia de Inteligencia Artificial (IA) del país y una de las primeras en su tipo en América Latina.

Se trata de la “Iniciativa de Ley para el uso de inteligencia artificial y el tratamiento de datos personales por sujetos obligados en la CdMx”. En medio de los debates públicos acerca de la reforma al Poder Judicial y la supremacía constitucional, y el cierre de la contienda electoral en Estados Unidos, este tema no ha tenido la suficiente resonancia, a pesar de su gran importancia para la vida pública en nuestro país.

La Iniciativa, impulsada por el Comisionado Julio César Bonilla y respaldada por el resto de las personas comisionadas del INFO-CdMx, busca proteger a las personas en cuanto al uso de sus datos cuando los sujetos obligados por la Ley de Transparencia de la Ciudad de México –o sea, cualquier autoridad y organismo de los poderes Ejecutivo, Judicial y Legislativo, órganos auotónomos, partidos políticos, fondos y fideicomisos públicos—manejen este tipo de datos mediante modelos de IA. De este modo, cualquiera de estas instituciones que desarrolle, adquiera, implemente y distribuya un modelo de IA deberá cumplir con una serie de obligaciones para garantizar la ética, la seguridad y la privacidad de los datos personales, así como de aquellos datos protegidos por derechos de autor –un tema de enorme controversia a nivel internacional por las pocas protecciones que tienen frente a los mecanismos de entrenamiento y alimentación algorítimica de los modelos de IA.

Es importante aclarar, por tanto, que esta iniciativa no busca regular a las corporaciones internacionales o nacionales que desarrollen estos modelos, sino que, por la naturaleza de su proponente, el INFO-CdMx, se concentra en establecer los parámetros de protección y seguridad que organismos, agencias y dependencias públicas de la propia CdMx deberán seguir cuando desarrollen, adquieran o utilicen IA para la gestión de datos personales y otros datos protegidos por ley. En este sentido, se trata de una regulación de avanzada que toma, en varios puntos los modelos regulatorios estadounidenses, sobre todo la sectorialidad, es decir, la idea de que no es necesario generar más regulación, sino utilizar, alinear y aprovechar lo más posible las reglas y normas que ya existen. Sin embargo, también subraya la importancia de la protección de derechos, como un guiño al modelo de regulación seguido por la Unión Europea.

En Estados Unidos, en octubre de 2023, la Casa Blanca emitió una Orden Ejecutiva (“Safe, Secure & Trustworthy IA”) que, entre otras cosas, establece también obligaciones a las agencias del gobierno federal para que sigan los estándares de seguridad y protección de datos que establezca el Instituto Nacional de Estándares y Tecnología. Asimismo, la Orden Ejecutiva ordena la creación de una oficina de IA en cada agencia del gobierno federal. En el caso de la Iniciativa del INFO-CdMx, su alcance, como se dijo, incluye no sólo al gobierno local, sino a todos los sujetos obligados. Además, establece la creación de Comités de IA en cada sujeto obligado con el fin de que sean éstos los responsables de establecer los lineamientos internos del uso y finalidades de la IA (un Plan de IA), de determinar sus posibles impactos adversos y, de elaborar reportes y carpetas que atestigüen que la recolección y uso de los datos sea lícita y que éstos sea hayan obtenido con consentimiento explícito por parte de los titulares (en este sentido, esta solicitud de permiso se añadiría a los avisos de privacidad en los sujetos obligados) y que esto se haya hecho para fines específicos de conformidad con el Plan de IA del sujeto obligado. En lo que la Orden Ejecutiva y la Iniciativa se parecen es que buscan generar buenas prácticas que posteriormente pudieran ser asumidas voluntariamente por organizaciones e instituciones privadas.

Un aspecto muy importante de la Iniciativa tiene que ver con la transparencia y la rendición de cuentas. De acuerdo con ella, el INFO-CdMx podría llevar a cabo evaluaciones de “transparencia algorítmica” para verificar que los sujetos obligados estén cumpliendo debidamente con los preceptos establecidos. Para ello, los sujetos obligados deben tener disponible para esta revisión (y para el público, cuando corresponda) información relativa a: el tamaño de las bases de datos usadas, su fuente, los creadores de los datos, su propósito, los filtros usados para evitar sesgos, el tipo de información personal contenida, si hay datos con derechos de autor, y cómo se resguardan toda esta información. Otro concepto muy importante es el de “responsabilidad algorítimica”, donde si bien se espera que “por diseño y defecto” los modelos de IA garanticen el máximo de privacidad, su puesta en marcha podría conducir a que el modelo tome decisiones de forma autónoma que vulneren los derechos humanos de una persona. Por ello, la Iniciactiva establece la realización de evaluaciones impacto previas a poner en operación un modelo y también las auditorías periódicas por parte de la Agencia Digital de Innovación Pública de la CdMx, cuyos resultados deberán publicarse tanto en la página del sujeto obligado como en el Portal Nacional de Transparencia.

Habría más que analizar sobre esta Iniciativa. Sin embargo, ante la incertidumbre sobre el futuro de organismos como el INFO-CdMx, sobre el organismo o dependencia asumiría, o no, sus funciones, y sobre la velocidad con que se realicen estos cambios, es muy problable que, en el mejor de los casos su aprobación quede pendiente y, en el peor, que quede congelada hasta mejores tiempos. Con todo, se debe reconocer este esfuerzo en un tema tan urgente que, una vez más, queda sujeto al vaivén político.

El 24 de octubre, el Instituto de Transparencia, Acceso a la Información Pública, Protección de Datos Personales y Rendición de Cuentas de la Ciudad de México (INFO- CDMX) presentó al Congreso de esta ciudad una iniciativa que, de aprobarse, sería la primera regulación en materia de Inteligencia Artificial (IA) del país y una de las primeras en su tipo en América Latina.

Se trata de la “Iniciativa de Ley para el uso de inteligencia artificial y el tratamiento de datos personales por sujetos obligados en la CdMx”. En medio de los debates públicos acerca de la reforma al Poder Judicial y la supremacía constitucional, y el cierre de la contienda electoral en Estados Unidos, este tema no ha tenido la suficiente resonancia, a pesar de su gran importancia para la vida pública en nuestro país.

La Iniciativa, impulsada por el Comisionado Julio César Bonilla y respaldada por el resto de las personas comisionadas del INFO-CdMx, busca proteger a las personas en cuanto al uso de sus datos cuando los sujetos obligados por la Ley de Transparencia de la Ciudad de México –o sea, cualquier autoridad y organismo de los poderes Ejecutivo, Judicial y Legislativo, órganos auotónomos, partidos políticos, fondos y fideicomisos públicos—manejen este tipo de datos mediante modelos de IA. De este modo, cualquiera de estas instituciones que desarrolle, adquiera, implemente y distribuya un modelo de IA deberá cumplir con una serie de obligaciones para garantizar la ética, la seguridad y la privacidad de los datos personales, así como de aquellos datos protegidos por derechos de autor –un tema de enorme controversia a nivel internacional por las pocas protecciones que tienen frente a los mecanismos de entrenamiento y alimentación algorítimica de los modelos de IA.

Es importante aclarar, por tanto, que esta iniciativa no busca regular a las corporaciones internacionales o nacionales que desarrollen estos modelos, sino que, por la naturaleza de su proponente, el INFO-CdMx, se concentra en establecer los parámetros de protección y seguridad que organismos, agencias y dependencias públicas de la propia CdMx deberán seguir cuando desarrollen, adquieran o utilicen IA para la gestión de datos personales y otros datos protegidos por ley. En este sentido, se trata de una regulación de avanzada que toma, en varios puntos los modelos regulatorios estadounidenses, sobre todo la sectorialidad, es decir, la idea de que no es necesario generar más regulación, sino utilizar, alinear y aprovechar lo más posible las reglas y normas que ya existen. Sin embargo, también subraya la importancia de la protección de derechos, como un guiño al modelo de regulación seguido por la Unión Europea.

En Estados Unidos, en octubre de 2023, la Casa Blanca emitió una Orden Ejecutiva (“Safe, Secure & Trustworthy IA”) que, entre otras cosas, establece también obligaciones a las agencias del gobierno federal para que sigan los estándares de seguridad y protección de datos que establezca el Instituto Nacional de Estándares y Tecnología. Asimismo, la Orden Ejecutiva ordena la creación de una oficina de IA en cada agencia del gobierno federal. En el caso de la Iniciativa del INFO-CdMx, su alcance, como se dijo, incluye no sólo al gobierno local, sino a todos los sujetos obligados. Además, establece la creación de Comités de IA en cada sujeto obligado con el fin de que sean éstos los responsables de establecer los lineamientos internos del uso y finalidades de la IA (un Plan de IA), de determinar sus posibles impactos adversos y, de elaborar reportes y carpetas que atestigüen que la recolección y uso de los datos sea lícita y que éstos sea hayan obtenido con consentimiento explícito por parte de los titulares (en este sentido, esta solicitud de permiso se añadiría a los avisos de privacidad en los sujetos obligados) y que esto se haya hecho para fines específicos de conformidad con el Plan de IA del sujeto obligado. En lo que la Orden Ejecutiva y la Iniciativa se parecen es que buscan generar buenas prácticas que posteriormente pudieran ser asumidas voluntariamente por organizaciones e instituciones privadas.

Un aspecto muy importante de la Iniciativa tiene que ver con la transparencia y la rendición de cuentas. De acuerdo con ella, el INFO-CdMx podría llevar a cabo evaluaciones de “transparencia algorítmica” para verificar que los sujetos obligados estén cumpliendo debidamente con los preceptos establecidos. Para ello, los sujetos obligados deben tener disponible para esta revisión (y para el público, cuando corresponda) información relativa a: el tamaño de las bases de datos usadas, su fuente, los creadores de los datos, su propósito, los filtros usados para evitar sesgos, el tipo de información personal contenida, si hay datos con derechos de autor, y cómo se resguardan toda esta información. Otro concepto muy importante es el de “responsabilidad algorítimica”, donde si bien se espera que “por diseño y defecto” los modelos de IA garanticen el máximo de privacidad, su puesta en marcha podría conducir a que el modelo tome decisiones de forma autónoma que vulneren los derechos humanos de una persona. Por ello, la Iniciactiva establece la realización de evaluaciones impacto previas a poner en operación un modelo y también las auditorías periódicas por parte de la Agencia Digital de Innovación Pública de la CdMx, cuyos resultados deberán publicarse tanto en la página del sujeto obligado como en el Portal Nacional de Transparencia.

Habría más que analizar sobre esta Iniciativa. Sin embargo, ante la incertidumbre sobre el futuro de organismos como el INFO-CdMx, sobre el organismo o dependencia asumiría, o no, sus funciones, y sobre la velocidad con que se realicen estos cambios, es muy problable que, en el mejor de los casos su aprobación quede pendiente y, en el peor, que quede congelada hasta mejores tiempos. Con todo, se debe reconocer este esfuerzo en un tema tan urgente que, una vez más, queda sujeto al vaivén político.