La falta de regulación en materias vinculadas a la tecnología tiene efectos reales. Si bien Chile ya cuenta con una nueva Ley de Protección de Datos Personales, esta llega años atrasada. Aprobada este lunes 26 de agosto, tendrá una entrada en vigencia diferida y, durante ese período de vacancia, se mantendrá una ventana para que se siga haciendo uso de nuestros datos personales con pocas restricciones.

A estas alturas, es casi pedante insistir en que contar con una normativa robusta de protección de datos personales no es algo conveniente, sino indispensable. No solo por el incremento de estándares de privacidad que se exige en economías más desarrolladas, como condición para poder efectuar negocios vinculados a tecnología; sino, también, los grandes conjuntos de datos digitales se han convertido en el insumo básico de las tecnologías más disruptivas, que avanzan mucho más rápido que la velocidad con la que nuestros legisladores pueden regularla.

Un ejemplo práctico, pero muy relevante: recientemente, Meta modificó sus políticas para que, por defecto, todas las imágenes que publicamos en servicios como Instagram y Facebook —incluyendo imágenes con nuestros rostros o los de nuestros niños o amigos— sean utilizados para entrenar a sus sistemas de IA.

Para los ciudadanos europeos, protegidos por el Reglamento General de Protección de Datos (RGPD), empresas como Meta tienen una obligación proactiva de notificarles estos cambios y darles las opciones para decidir si autorizan el uso de sus datos personales con este fin. En otras jurisdicciones, en cambio, al no existir esta obligación, Meta guarda silencio. Y herramientas como la geolocalización le permiten separar a sus usuarios europeos del resto, no amparados por el RGPD, para quienes es incluso difícil llegar a la noticia.

Si la ya aprobada ley de datos personales chilena estuviera vigente, el deber proactivo de quienes tratan datos personales nos garantizaría poder conocer oportunamente estos cambios de políticas de forma clara y facilitar el ejercicio de nuestros derechos como titulares de los datos personales que se usan como insumo para actividades como entrenar sistemas de IA, tal como pueden hacerlo los ciudadanos europeos.

Así y todo —gracias al uso de dark patterns—, para quienes deseen excluirse de esta práctica, llegar al lugar en donde se puede tomar la decisión es intencionalmente difícil, por el diseño del interfaz en los servicios que recopilan datos personales que oscurece las opciones que por ley los responsables deben ofrecerles a los usuarios. En Europa, por ejemplo, los ciudadanos europeos son notificados e incluso así deben lidiar con los obstáculos diseñados para evitar que no den su consentimiento al tratamiento. Para el resto, ni hablar.

Esto no debiera ser así.

Las principales empresas que han desarrollado sistemas de IA han tenido problemas porque han utilizado información —sean datos personales o no— que no les pertenece para entrenarlos. En el caso de empresas afectadas, como las que forman parte de las industrias de contenidos, ellas han respondido a este uso no autorizado con demandas millonarias. Pero para los usuarios, la reacción ha sido mucho más lenta y la dificultad de organizarse hace necesario apoyarse en las autoridades, quienes solo pueden accionar si las leyes vigentes se lo permiten. El que Chile siga atrasado en su normativa de datos personales es muestra de esto: para cuando finalmente ya tengamos Agencia y esta pueda accionar, será demasiado tarde.

Martín Mois, Socio de Aninat Abogados