A medida que se acerca el año 2024, la intersección entre la protección de datos y la inteligencia artificial (IA) cobra protagonismo, no solo en el Reino Unido, sino a nivel mundial. La esperadísima Ley de IA de la UE, a menudo promocionada como "la primera ley integral de IA del mundo", está a punto de implementarse. En diciembre de 2023, el Parlamento Europeo y el Consejo Europeo alcanzaron un acuerdo provisional sobre su contenido. Si bien el texto final aún no se ha publicado, borradores anteriores ofrecen algunas ideas. Se prevé su adopción a principios de 2024 y entrará en vigor plenamente dos años después.
Los empleadores deben tener en cuenta que la IA utilizada en empleos con altos niveles de riesgo, según defila legislación, estará sujeta a obligaciones de cumplimiento y salvaguardias adicionales. Cabe destacar que la Ley de IA de la UE tendrá alcance global, afectando a las empresas internacionales que utilicen IA dentro de la UE, independientemente de su sede. El incumplimiento de esta normativa puede conllevar multas cuantiosas, que pueden llegar a los 35 millones de euros o el 7 % de la facturación anual global.
Regulación de la IA en el Reino Unido: un enfoque diferente
A diferencia del enfoque estricto de la UE, el Reino Unido sigue un camino distinto, absteniéndose de introducir una legislación integral sobre IA. En su lugar, se centra en fomentar la innovación y la regulación y la orientación sectorial. Los críticos, incluida la Comisión para la Igualdad y los Derechos Humanos (EHRC), argumentan que el enfoque del Reino Unido es insuficiente. No obstante, se han observado indicios de movimiento regulatorio, como lo demuestra el Proyecto de Ley de Regulación de la Inteligencia Artificial, un breve proyecto de ley presentado por iniciativa de los miembros del Parlamento Europeo en noviembre de 2023. Este proyecto de ley pretende establecer una Autoridad central de IA responsable de supervisar la regulación de la IA.
Un rayo de esperanza surgió en septiembre de 2023 cuando el Congreso de Sindicatos (TUC), que representa a los sindicatos del Reino Unido, exigió una legislación urgente para salvaguardar los derechos de los trabajadores y formó un grupo de trabajo sobre IA. Este grupo tiene previsto presentar un proyecto de ley sobre IA y empleo a principios de 2024. Abogará por enmiendas legislativas al RGPD del Reino Unido para abordar posibles problemas, como algoritmos discriminatorios y amenazas a la privacidad de datos asociadas con el análisis de las expresiones faciales, el tono de voz y los acentos por parte de la IA durante las evaluaciones de los solicitantes de empleo.
Posible salida del Reino Unido del RGPD
Tras el Brexit, el gobierno del Reino Unido propuso el Proyecto de Ley de Protección de Datos e Información Digital, cuyo objetivo es simplificar y modernizar el marco de protección de datos del Reino Unido. Si bien este cambio legislativo podría facilitar el cumplimiento de la normativa de protección de datos para las empresas nacionales, es probable que los empleadores internacionales mantengan el cumplimiento de los estrictos estándares del RGPD. Un motivo de preocupación es si esta desviación del RGPD podría poner en peligro la decisión de adecuación de la UE otorgada al Reino Unido. La pérdida de esta decisión podría generar trámites adicionales para las empresas británicas que gestionan transferencias de datos desde la UE. Se prevé que el Proyecto de Ley se apruebe en la primavera de 2024, aunque el calendario podría verse influido por las próximas elecciones británicas.
Orientación de la ICO y revisión de la Comisión Europea
Se espera que la Oficina del Comisionado de Información (ICO), el organismo regulador de la protección de datos del Reino Unido, publique nuevas directrices en respuesta a la evolución tecnológica y legal. Estas incluyen recursos ampliados de IA y asesoramiento específico para empleadores, especialmente en materia de transferencias internacionales y mejores prácticas. Mientras tanto, la ICO está solicitando aportaciones para el borrador de directrices que abarca diversos temas, como la conservación de registros laborales y el reclutamiento y la selección.
En 2024, la Comisión Europea revisará el RGPD de la UE. Si bien el RGPD ha logrado en gran medida armonizar las normas de protección de datos y mejorar la protección de la privacidad, algunos aspectos menores, como las cargas de cumplimiento para las pequeñas organizaciones, podrían ser objeto de escrutinio.
Áreas de enfoque regulatorio: IA en el reclutamiento y protección de datos en servicios financieros
Como parte de su agenda estratégica, la ICO se ha comprometido a analizar el papel de la IA en la contratación y el cumplimiento normativo de la protección de datos en el sector de los servicios financieros. En octubre de 2023, la ICO emitió una notificación preliminar de cumplimiento contra una empresa tecnológica por no evaluar adecuadamente los riesgos para la privacidad que plantea un chatbot de IA generativa. Esto indica el probable aumento de las acciones de cumplimiento por parte de la ICO contra las empresas que descuidan las implicaciones de la IA generativa para la privacidad.
En resumen, 2024 se perfila como un año crucial para la normativa sobre privacidad de datos e IA en el Reino Unido y la UE. Si bien la Ley de IA de la UE promete una supervisión integral de la IA, el Reino Unido adopta un enfoque más centrado en el sector. Ambas regiones se encuentran en la compleja intersección entre la privacidad de datos y la IA, con posibles implicaciones para empleadores, responsables del tratamiento de datos e innovadores tecnológicos.
