El mundo ha experimentado un renovado interés por la protección de datos personales, el que, a su vez, ha desembocado en distintas legislaciones que han elevado el nivel de protección de la autodeterminación de las personas. Así, se promulgó recientemente la Ley N° 21.719, que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales con el objetivo de poner a Chile a la par con el estándar europeo y permitir que el país enfrente los desafíos que implican la masificación de la toma de decisiones automatizadas y la Inteligencia Artificial (IA).
La nueva legislación exige que cualquier tratamiento o procesamiento de datos personales cuente con una base de licitud y que dicho tratamiento se realice cumpliendo con las condiciones y principios establecidos en la legislación. El incumplimiento a dichos requisitos puede acarrear importantes sanciones para los responsables del tratamiento; sin embargo, en los últimos años una importante pregunta ha estado circulando: ¿qué pasa cuando un algoritmo sofisticado o un modelo de IA es entrenado o desarrollado utilizando datos personales con infracción a las condiciones contenidas en la legislación? ¿Dicho incumplimiento sólo acarrea una sanción o puede contaminar incluso el despliegue futuro del sistema o modelo entrenado?
La primera alternativa sería asumir que la recolección o tratamiento de datos personales sin cumplir con los estándares legales generan una única instancia infractora, la que el responsable podría saldar y cuyo “pecado original” no afectaría el algoritmo o modelo entrenado con dichos datos personales. Esta postura se basa en el hecho que, si bien muchos sistemas utilizan grandes volúmenes de datos -incluyendo datos personales- al momento del entrenamiento o desarrollo del modelo, eso no quiere decir necesariamente que exista un procesamiento de datos personales al momento de su funcionamiento, ya que estos pueden haber sido anonimizados o haber sido utilizados tangencialmente sólo para realizar inferencias estadísticas en la etapa de entrenamiento.
La segunda alternativa es interpretar que se trata de una infracción contínua y que utilizar datos personales ilícitamente para desarrollar y entrenar modelos algorítmicos o de IA constituye una infracción que se proyecta al funcionamiento o despliegue de dicho modelo. En este sentido, el producto final sería una proyección del procesamiento ilícito del cuál no podría desligarse.
Recientemente dos organizaciones han tenido la oportunidad de abordar esta materia. El Comité Europeo de Protección de Datos emitió un dictamen (24/2024) sobre algunos aspectos relacionados con el procesamiento de datos personales en el contexto de modelos de Inteligencia Artificial. En dicho documento el Comité se pone en distintas hipótesis para distinguir si la infracción en la utilización de información usada para el desarrollo del modelo de IA podría eventualmente afectar el sistema de IA una vez ya desplegado; sin embargo, el Comité reconoce la capacidad que las agencias europeas de protección de datos personales tienen para imponer acciones correctivas las que pueden incluir “aplicar multas, imponer una limitación temporal del tratamiento, borrar una parte del conjunto de datos que haya sido tratado ilegalmente o, cuando esto no sea posible, en función de los hechos en cuestión, teniendo en cuenta la proporcionalidad de la medida, ordenar la eliminación de todo el conjunto de datos utilizado para desarrollar el modelo de IA y/o del propio modelo de IA” (el énfasis es mío).
Más recientemente la Comisión de Protección de Información Personal de Corea del Sur tuvo la oportunidad de referirse al asunto, llegando a una resolución tajante. La empresa Kakao Pay utilizó un sistema de cálculo de fondos insuficientes creado por Alipay; sin embargo, esta segunda empresa desarrolló dicho algoritmo utilizando información personal que fue proporcionada y transferida ilegalmente al extranjero. La comisión consideró que la única forma de “resolver fundamentalmente” esta vulneración en el tratamiento de datos personales fue ordenar a Alipay la destrucción del modelo de cálculo de puntuación.
En ambos casos -uno presentado como posibilidad eventual y el otro como jurisprudencia ya asentada- se presenta una especie de teoría del fruto del árbol envenenado algorítmico, en donde la infracción en el procesamiento de la información personal en la etapa de desarrollo o entrenamiento (árbol) del modelo algorítmico o de IA también permea a la etapa de funcionamiento o despliegue del mismo modelo (fruto).
En el caso de Chile, la nueva Ley N° 21.719 entra en vigencia el 1 de diciembre de 2026, por lo que este es un tema respecto del cual la futura Agencia de Protección de Datos Personales se deberá pronunciar. Sin embargo, sí es importante notar que dentro de las facultades legales de dicha agencia sí se encuentran las potestades para ordenar una medida de estas características.
Así, el artículo 35 inciso segundo permite a la Agencia establecer las medidas tendientes a subsanar las causales que dieron motivo a la sanción, mientras que el artículo 38 inciso tercero permite prorrogar indefinidamente la medida de suspensión temporal de procesamiento, por períodos sucesivos de máximo treinta días, hasta que el responsable cumpla con lo ordenado. En ambos casos son facultades amplias que podrían ser utilizadas por la Agencia chilena para hacer carne esta nueva doctrina del árbol envenenado algorítmico.
De momento es conveniente seguir de cerca la jurisprudencia internacional y los pronunciamientos de distintos organismos de otras jurisdicciones respecto de esta materia central para el futuro del desarrollo de modelos de IA.
