¿Deben o deberían las empresas dar indicaciones a sus empleados sobre si pueden, o no, usar herramientas de inteligencia artificial (IA) al realizar sus funciones? Sí, en España están obligadas por ley a hacerlo y además es siempre recomendable.
La utilización de IA sin un trabajo previo de identificación y minimización de los riesgos (legales, organizativos y de seguridad) es una amenaza claramente detectada en el sector privado desde hace años. Resulta ilustrativo constatar como en 2019 una de las más reputadas empresas de consultoría del mundo alertaba de ellos, señalando diferentes matrices de riesgos para los individuos, la sociedad y, por supuesto, para las organizaciones empresariales. Sin embargo, ha sido a finales de 2022 e inicios de 2023 cuando la estrategia de ciertas tecnológicas de permitir el uso gratuito por parte de los usuarios de herramientas de IA (ofrecidas en formato SaaS) ha provocado una dinámica en la que en todas las empresas, lo afronten o no, sus empleados están ya probando si herramientas de IA no expresamente autorizadas por la empresa pueden ayudarles a realizar sus funciones.
Una obligación legal, la/s Política/s de Medios Digitales
Desde finales del 2018 el artículo 87.3 de la Ley Orgánica 3/2018 (LOPDGDD) obliga a las empresas a “establecer criterios de utilización de los dispositivos digitales”. Son las conocidas habitualmente como Política o Políticas de Medios Digitales o Políticas de Uso Aceptable.
Habitualmente incluyen aspectos como por ejemplo si se puede hacer un uso moderado de los medios digitales de la empresa para finalidades personales (o no), informaciones sobre si el empleador puede monitorizar el uso de dichos medios (o no), cómo deben usarse -y no usarse- dichos medios, etc.
El artículo estipula también tanto que el personal debe ser informado sobre dichos “criterios de utilización” como que en la estipulación de los referidos criterios “deberán participar los representantes de los trabajadores” (nótese que no se obliga a una negociación).
Algunas de estas Políticas de Medios Digitales ya establecen prohibiciones de no emplear -en los medios digitales de la empresa y/o al realizar funciones profesionales- tecnologías que no hayan sido previamente autorizadas por la empresa (ya sean programas descargados, SaaS o en cualquier otro formato). Otras políticas no incluyen este tipo de reglas del uso únicamente de tecnologías previamente autorizadas.
En cualquier caso, ya hay empresas que están: (a) actualizando las referidas políticas; y/o (b) enviando instrucciones escritas a los empleados indicando la prohibición de la empresa del empleo de dichas tecnologías antes de que la empresa decida autorizar emplearlas y/o (c) limitando de facto el acceso a las páginas webs que ofrecen tecnologías de IA en formato SaaS mediante el firewall oel filtro de contenidos, por ejemplo. Paralelamente están trabajando o ya han aprobado protocolos o flujos de trabajo para autorizar al uso de tecnologías de IA cuando los correspondientes riesgos están reducidos, eliminados, traspasados o aceptados.
¿Qué riesgos buscan minimizar las empresas mediante estas prohibiciones temporales o finales al uso de ciertas tecnologías de IA?
Además de que las herramientas de IA en numerosas ocasiones incurren en errores plausibles que sólo detectan conocedores de la materia (cosa que exige de una necesaria supervisión completa) y cierta magnificación de los sesgos (cosa que en el pasado llegó a provocar, por ejemplo, una fuerte discriminación en procesos de selección de personal), se han identificado muchos más riesgos vinculados al uso no previamente autorizado/trabajado de las mismas (problemas de transparencia y trazabilidad, de seguridad o ciberseguridad, efectividad, ausencia de creatividad, etc.). Asimismo hay tres problemas legales especialmente remarcables: (a) los problemas de propiedad intelectual e industrial; (b) los problemas de confidencialidad/ secreto empresarial y (c) los problemas de protección de datos.
- Problemas de propiedad intelectual e industrial: resumiéndolo mucho los contenidos creados mediante IA generativas no podrán (o en muy pocas ocasiones podrán) ser protegibles ni mediante propiedad intelectual (por ejemplo textos o imágenes a través de los derechos de autor) ni mediante propiedad industrial (por ejemplo nuevas soluciones técnicas mediante patentes). Hay determinadas creaciones que a la empresa le interesa poder proteger mediante las diferentes vías legales. Si no es posible hacerlo, puede ser un problema para la estrategia empresarial. Además, se plantean dudas sobre si en ocasiones también puede haber infracciones de derechos de terceros.
- Problemas de confidencialidad/secreto empresarial: a título ilustrativo de los problemas que puede haber en este ámbito, The Economist en Corea publicó recientemente cómo los trabajadores de una gran tecnológica habían infringido hasta en 3 ocasiones la confidencialidad usando un conocido Chatbot de IA (que proactivamente indica que no debe emplearse así) dándole acceso a diferentes secretos empresariales como son (i) el código fuente secreto de un software; (ii) los protocolos para detectar chips defectuosos y (iii) las notas de una reunión de empresa.
- Problemas de protección de datos: quizás ahora mismo es el problema legal más grave vinculado al uso no regularizado de determinadas herramienta de IA. Algunas tecnológicas del ámbito de la IA que han apostado por la estrategia de popularización con la población mediante uso gratuito de sus herramientas lo han hecho partiendo de la poca o nula regulación de protección de datos que hay en los EUA. Así, uno de los chatbots de IA más populares ha tenido ya una importante brecha de seguridad que llegó incluso a exponer a datos bancarios de sus usuarios premium pero quizás lo más ilustrativo es que la autoridad de protección de datos italiana ha llegado a bloquear el uso de dicho chatbot temporalmente en Italia por entender que incumplía con numerosos aspectos de la normativa europea de protección de datos y sólo lo ha desbloqueado imponiendo un conjunto de condiciones (las autoridades de otros países están valorando si tomar decisiones similares). Asimismo, no hace falta detenerse en los argumentos legales que lo posibilitan pero el peor escenario posible para una empresa sería que se considerase que el uso por parte de sus empleados de dichas herramientas con datos personales provocando incumplimientos de la normativa de protección de datos hiciera recaer sanciones económicas (que pueden llegar a ser de hasta 20 millones o el 4% de la facturación mundial anual) en la empresa empleadora de dichos trabajadores y no en la empresa titular de dicha tecnología de IA.
Riesgos que sí pueden ser evitados mediante un proceso previo
La inmensa mayoría de estos riesgos (y otros de los que no hemos hablado) asociados al uso de tecnología de IA para realizar labores empresariales pueden reducirse enormemente con medidas organizativas, legales e informáticas (incluso hay organizaciones en las que hay protocolos sobre cómo hacerlo antes de autorizar su uso). El problema no es el uso de la IA en el ámbito empresarial, al contrario genera magníficas oportunidades. La amenaza radica en que se use en la empresa de forma poco sabia, sin control y/o sin valorar cómo minimizar, eliminar, trasladar o aceptar dichos riesgos potenciales.
