Derecho

Economía digital
10 de diciembre de 2020

Comentarios y críticas al proyecto de Sandbox sobre privacidad desde el diseño y por defecto en proyectos de inteligencia artificial.

El pasado 4 de noviembre de 2020 la Superintendencia de Industria y Comercio (SIC) se sumó a la lista de entidades que lanzan propuestas para la implementación de sandboxes regulatorios, en este caso, un sandbox sobre privacidad desde el diseño y por defecto en proyectos de inteligencia artificial. Aunque el mecanismo de los sandboxes ha suscitado el interés en diferentes entes regulatorios una mirada crítica del mismo puede permitirnos ajustar las expectativas respecto de su utilización en Colombia.

Comúnmente se han definido las areneras regulatorias o sandboxes como “… un espacio seguro en el que las empresas pueden probar productos, servicios, modelos de negocio y mecanismos de entrega innovadores, sin recurrir inmediatamente en todas las consecuencias regulatorias normales de participar en la actividad indicada[1] Bajo este esquema las autoridades de países industrializados han encontrado en los sandboxes un punto de encuentro con empresas innovadoras que buscan posicionar nuevos modelos de negocio y demostrar, dentro de ambientes confinados, la viabilidad del escalamiento comercial de sus nuevos productos o servicios. Comunes en los países anglosajones, el desarrollo principal de este tipo de mecanismos se ha dado en el contexto de los mercados financieros del Reino Unido.

Dentro de este panorama, resulta igualmente pertinente puntualizar que la existencia del concepto de arenera o sandbox, es un tema común o recurrente dentro del ámbito los sistemas informáticos. Yordanova, 2019, señala puntualmente al respecto.

“Para decirlo en términos sencillos, sandbox informático es un entorno aislado destinado a probar y/o evitar que los programas maliciosos dañen un sistema informático o los recursos críticos del sistema. De hecho, la mayoría de nosotros interactuamos con estas areneras a diario sólo con el uso de navegadores web. Básicamente, cada vez que un navegador web carga una página, ésta se abre en una arenera, limitando lo que el sitio web puede y no puede hacer y qué recursos puede utilizar, por ejemplo, en términos de memoria, almacenamiento, etc. Los navegadores más populares, son también areneras, creando una especie de modelo de “arenera dentro de otra arenera”, mejorando así la seguridad general de un sistema informático. El entorno aislado también podría ser un espacio de disco dedicado en un disco duro o, más a menudo, una máquina virtual. Una de las aplicaciones clave de una arenera es también el monitoreo del sistema y cómo reacciona a ciertos programas. Esto es precisamente el uso de la arenera como herramienta de prueba”.[2] (traducción libre)

Las dos definiciones citadas y su complementariedad resultan relevantes al momento de analizar la motivación para proponer la implementación de sandboxes regulatorios en Colombia. Sobre el particular, y de acuerdo con el documento socializado por la Superintendencia de Industria y Comercio (SIC):

“La SIC propone esta arenera regulatoria para que sea un espacio para acompañar desde el inicio algunos proyectos de inteligencia artificial con miras a que los mismos no solo sean exitosos científica o económicamente, sino amigables y respetuosos de los derechos de las personas respecto de la recolección, almacenamiento, uso o circulación de su información.” (p.18) (negrilla fuera de texto)

La lectura de la motivación dado por la SIC y su contraste con las definiciones más comunes de estos mecanismos plantea algunos interrogantes en relación con las actividades y las finalidades para los sandboxes. Desde esa perspectiva, podría afirmarse que el acompañamiento no es de la esencia de este instrumento, por el contrario, la arenera supone para la empresa un espacio regulatorio libre de intervenciones activas o pasivas por parte de los reguladores.

Consecuente con lo anterior, tampoco es de la esencia de la arenera asegurar o contribuir al éxito de los emprendimientos específicos. El rol regulatorio debería limitarse a establecer periodos de tiempo para el despliegue de la tecnología y sus aplicaciones, así como periodos de revisión con base en indicadores establecidos con antelación bien sea unilateralmente o de común acuerdo entre regulador y la empresa o sector que propone las innovaciones. Dentro de este entendido, el resultado de evaluaciones de medio término, puedan conllevar o incluso detener el despliegue de la actividad empresarial acordada al constatarse que no se cuenta, en un momento determinado, con los instrumentos que permitan controlar problemas puntuales.

De igual manera, la propuesta de la SIC abre espacios para labores de asesoría por parte del regulador.

“Este sandbox será positivo para los emprendedores y sus clientes porque la innovación tecnológica estará acompañada de asesoría especializada para ser compatible con la protección de datos personales de manera que sus productos sean, entre otros, respetuosos de los derechos de las personas sobre la recolección y uso de su información.” (p. 18) (negrilla fuera de texto)

Esta idea plantea una peculiar posibilidad de interferencia de la administración pública en el proceso de innovación adelantado por empresas tecnológicas, las cuales en muchos casos requieren dispositivos específicos de protección de la divulgación de ciertas informaciones que son sensibles para el funcionamiento y a su vez críticas para la financiación posterior y viabilidad futura de tales empresas tecnológicas.

En este sentido no resulta claro en qué términos la SIC podrá, en el marco de un esquema colaborativo, tener acceso a información no divulgada, patentes, secretos industriales o software relevantes para la operación efectiva de sistemas basados en IA. Desde esta perspectiva es importante reiterar que la conformidad regulatoria no supone, en ningún caso, la obligación de hacer una divulgación de la tecnología por parte de las empresas vigiladas.

Es claro que la idea de un ambiente libre de regulación puede estimular el despliegue de la tecnología de forma óptima para la empresa, pero esto demanda diferenciar la comprensión de los efectos de la tecnología por parte del regulador de la comprensión de la tecnología por parte de la empresa. Es decir, es perfectamente posible, y de hecho normal, que el regulador no posea toda la información que hace posible la operación empresarial de una firma dentro de un mercado.

Idoneidad de una arenera regulatoria en materia de IA para perseguir un objetivo móvil.

Mención aparte merece lo relativo a la Inteligencia Artificial y el rol que esta juega en el contexto de la misma iniciativa de la SIC. Sobre este punto, esta entidad acoge la siguiente definición de IA:

“… campo de la informática dedicado a resolver problemas cognitivos comúnmente asociados con la inteligencia humana o seres inteligentes, entendidos como aquellos que pueden adaptarse a situaciones cambiantes. Su base es el Desarrollo de sistema informáticos, la disponibilidad de datos y los algoritmos”

Ahora bien, tomando en consideración el alcance amplio de la definición de IA adoptado por la SIC dentro de su finalidad de aplicarlo con fines de garantizar mejores estándares de protección de los datos personales, encontramos que el atributo de la adaptabilidad perseguido por los desarrolladores de sistemas basados en IA hace que el objetivo perseguido por el regulador posea igualmente un carácter cambiante, dinámico.

Las areneras regulatorias, por su parte, tratan de comprender el funcionamiento de un mercado en ausencia parcial/temporal de regulación. Dentro de esta comprensión, es procedente entrar a comparar lo que sería la acción normal del regulador si no existiera la idea, por estos días recurrente, de implementar sandboxes. En efecto, la actuación alternativa de la autoridad en materia de protección de datos hubiera consistido en emitir una circular instruyendo al sector sobre la necesidad de acreditar, dentro de un plazo establecido, los modelos de protección de la privacidad desde el diseño de los productos o servicios digitales ofrecidos en el mercado, para luego, a partir del análisis puntual de cada modelo, establecer cuáles de las opciones presentadas por las empresas garantizan de mejor manera la protección de los datos personales de los usuarios.

Si a lo anterior añadimos el hecho de que la forma normal como las empresas informáticas buscan impedir o corregir los efectos de programas maliciosos, es justamente a través del uso de areneras informáticas, la conclusión a la que llegamos es que más que crear areneras regulatorias, como lo pretende la SIC, lo que se requiere es que la misma autoridad en materia de protección de datos sepa interpretar la forma cómo estos mecanismos de protección son habilitados por las empresas tecnológicas desde la etapa de diseño y cómo logran efectivamente traducirse en el mercado en actitudes mas consientes por parte de los consumidores y las empresas.

Autor:
Guillermo Rodrigo Corredor  Castellanos
Docente investigador
Departamento de Derecho Económico

Referencias:

[1] Autoridad de Conducta Financiera del Reino Unido (FCA, 2015)

[2] Yordanova, 2019, The Shifting Sands of Regulatory Sandboxes for AI, disponible en https://www.law.kuleuven.be/citip/blog/the-shifting-sands-of-regulatory-sandboxes-for-ai/