Crónica de una muerte anunciada – El GDPR va a matar al deep learning


Hace unos días Alexandre Bastos nos pasaba este enlace “deep learning is not the AI future”, que nos dejó a todos bastante intrigados. En él Fabio Ciucci, CEO de Anfy srl, hablaba de lo que se conoce como deep learning y los problemas que surgirán en la obteción de los datos que se necesitan para que las máquinas aprendan. ¿Y si la obtención de esos datos resulta incompatible el nuevo GDPR? ¿Y si la normativa en protección de datos que debe implantarse el próximo año supone una traba para el desarrollo del deep learning? ¿Alguien se ha parado a pensarlo?

Es un post largo y en inglés, a modo de resumen deciros que su autor se centra en intentar arrojar algo de luz sobre qué es el deep learning y su relevancia real en el ámbito de la IA. Para Fabio Ciucci, deep learning es tan sólo una pequeña parte de la IA y no admite que quien se autodenomine experto en deep learning sea también un experto en IA. La parte que nos interesa es su reflexión final sobre la causa de que muchas startups abandonen la IA: el nuevo reglamento de protección de datos, que estará vigente en España a partir del 25 de mayo de 2018:

“…For many tasks, Deep Learning AI is or will become illegal, not compliant. Who collects data about citizens of the 28 European countries, should follow the General Data Protection Regulation (GDPR) by May 25, 2018. This is the date when DL will be abandoned for several apps in EU, causing AI startups to quickly replace DL with whatever else, or risking to be fined. Fines for noncompliance are 4% of global revenue, including USA revenue. GDPR, about automated decision-making, requires the right to an explanation, and to prevent discriminatory effects based on race, opinions, health, etc. Laws similar to GDPR exist or are planned worldwide, it’s only matter of time. The US Fair Credit Reporting Act requires to disclose all of the factors that adversely affected the credit score of the consumer, for a maximum of 4 factors allowed. DL factors are normally thousands or millions, not just 4, how to simplify into 4? AI, like bitcoin ICOs, started ignoring regulation, but laws and fines always come.”(…)

Los ciudadanos de la UE tienen derecho a una explicación de las decisiones que les afectan, y que son tomadas en base al análisis de una serie de datos que prácticamente desconocen, con el fin de prevenir situaciones de discriminación, en sus perfiles.

¿Qué es la elaboración de perfiles?

Aunque estemos familiarizados con la expresión gracias a las series policíacas, donde siempre se refiere al psicópata de turno, es importante reconocer el significado. La elaboración de un perfil consiste en coleccionar información relevante sobre un determinado sujeto, con el fin de llegar a partir de estos datos a una serie de conclusiones por medio de la deducción. La definición la recoge también el ordinal 4 del artículo 4 del GDPR “…toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;”(…)

¿Eso es legal?

El considerando 71 (los considerando son algo así como reflexiones sobre los motivos de una norma europea) reconoce que los ciudadanos de la EU tienen el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado de sus datos, como por ejemplo la denegación de un préstamo (la entidad financiera analiza su situación económica basándose únicamente en sus ingresos, gastos y cargas familiares y decide que no le concede el préstamo solicitado). La idea está bien, porque no somos datos, somos personas, pero como siempre ocurre, si seguimos leyendo vemos que existen excepciones a esta regla general, excepciones que sí que permiten la toma de decisiones que afecten a los ciudadanos de la UE basadas en la elaboración de perfiles. Estas excepciones, además de mencionadas en este considerando 71, vienen específicamente mencionadas en el artículo 22.2 del GDPR que lleva por título: Decisiones individuales automatizadas, incluida la elaboración de perfiles:

1. Cuando sea necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento.
2. Cuando está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
3. Cuando se basa en el consentimiento explícito del interesado.

Are you f**** kidding me?

Nop. El GDPR es claro: esto es legal, y se pueden adoptar decisiones basadas en datos extraídos de la elaboración de un perfil en los casos que acabamos de mencionar. En el mismo artículo se especifican algunas condiciones para que estas excepciones cumplan el GDPR, como por ejemplo:
respecto a la celebración o ejecución de un contrato y al caso del consentimiento explícito del interesado, es necesario que el responsable adopte medidas para salvaguardar los derechos del interesado y le impone que como mínimo haya una intervención humana para que el interesado pueda expresar su opinión e impugnar la decisión.
Se impone también la prohibición de tratar datos especialmente sensibles (raza, salud, sexo, religión, afiliación política…) enumerados en el artículo 9.1 del GDPR, salvo que el interesado expresamente de su consentimiento o deba prevalecer en ese caso el interés público.
Además de todo esto, el considerando 71 ofrece algunas recomendaciones sobre cómo realizar la elaboración del perfil:
“…el responsable del tratamiento debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles, aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado y se impidan, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o que den lugar a medidas que produzcan tal efecto.”(…)

Entonces, ¿por qué el GDPR provocará la muerte del deep learning?

Está claro que la línea que siguen muchas startups es la de la innovación, y muchas veces aprovechan lagunas legales para desarrollar sus negocios. Eso está bien, el problema viene cuando aparecen nuevas normas que les impiden seguir funcionando de la misma forma en que lo hacían al inicio. Y ese es precisamente el razonamiento de Fabio Ciucci: tal y como obtienen en este momento los datos muchas de las startups que se dedican al deep learning, van a resultar incompatibles con el GDPR. Además, los criterios en base a los que se puede elaborar el perfil no pueden ser más de cuatro, lo que provocará la muerte del deep learning porque las máquinas necesitan de muchos más parámetros para elaborar los perfiles.
Quizá sea un razonamiento un tanto alarmista, porque en realidad ya existe una normativa en materia de protección de datos personales, obligatoria y con fuertes sanciones para los infractores: la regulación actual ya podría provocar la muerte de esas startups, al menos si su aplicación fuera más estricta. Además, en otros países ya existen leyes similares al nuevo GDPR, como por ejemplo la US Fair Credit Reporting Act , con restricciones a los datos que pueden ser utilizados para la elaboración de perfiles. El GDPR impone como condición que los datos tratados no provoquen situaciones de discriminación, y en unas condiciones muy específicas. ¿Será para tanto entonces?

Conclusión

Con la nueva normativa sigue existiendo la posibilidad de crear perfiles a través del tratamiento de datos personales, pero la diferencia clave va a ser la obtención del consentimiento por parte del interesado. Ya no vale con el botón del pánico “leído y aceptado”, ahora los usuarios de los servicios que se usan como granjas donde cosechar datos personales deberán consentir específicamente en la cesión y el uso de esos datos. Quizá esa medida los haga al menos más conscientes de la cantidad de información que están cediendo a las grandes plataformas de manera gratuita, y recuerden que si no hay producto que comprar, puede que ellos sean el producto a la venta.

Si te ha gustado este post ayuda a su difusión:

This website uses cookies to give you the best user experience. If you continue browsing you are giving your consent for the acceptance of the aforementioned cookies and the acceptance of our cookies policy, click the link for more information.plugin cookies

ACEPTAR
Aviso de cookies