Inteligencia Artificial Agéntica y protección de datos. Importante documento de la autoridad inglesa de protección de datos (ICO)
La evolución de la Inteligencia Artificial es imparable. Se habla de IA generativa, neurosimbólica, agéntica…. Y el jurista, el abogado, debe estar al tanto de ese desarrollo tecnológico insólito para intentar hacer frente a los retos que supone para el derecho, y en nuestro caso en particular para el derecho a la protección de datos.
Teniendo en cuenta lo anterior, el Information Commissioner’s Office (ICO), la autoridad inglesa de protección de datos y transparencia, acaba de hacer público (el pasado 8 de enero) un interesantísimo documento sobre la Inteligencia Artificial Agéntica: ICO tech futures: Agentic AI que merece la pena tener muy presente.
El ICO parte de una idea de la IA agéntica (Agentic AI) como una forma de IA en la que modelos fundacionales —especialmente grandes modelos de lenguaje (LLM)— se integran o se “andamian” (“scaffolded”) con herramientas externas como bases de datos, memoria, sistemas operativos, navegadores web o software corporativo, de modo que el sistema no solo es capaz de generar contenidos, sino de planificar y ejecutar acciones para alcanzar objetivos en entornos reales o digitales. Esto permite a los sistemas de IA perseguir dichos objetivos de forma autónoma, con menor dirección humana directa, comprender y adaptarse a nuevos contextos y situaciones, utilizando información contextual o desrrollar capacidades similares al razonamiento, como planificar, dividir tareas en subtareas, comprobar resultados y corregir errores. Para el ICO la IA agéntica no es solo IA que “responde”, sino IA que planifica, decide y actúa dentro de un marco técnico y organizativo. Además, la evolución del sistema tiende hacia sistemas multiagente, mayor multimodalidad, integración en más dispositivos y software, y una personalización creciente basada en un perfilado cada vez más preciso.
En cuanto a los posibles usos de la IA agéntica se señalan los ámbitos de la investigación, programación, planificación y transacciones (agenda, viajes, compras), en campos como el comercio agéntico (comparar opciones, comprar y coordinar entregas, atención al cliente automatizada, campañas hiperpersonalizadas); entornos laborales (flujos de trabajo, IT support, reclutamiento de personas, seguros; incluso “gemelos digitales” de funciones); servicios públicos (automatizar cambios de domicilio o gestiones sanitarias); ciberseguridad (tanto para ataque como para defensa automatizada); asistentes personales integrados, o el sector salud (apoyo a diagnóstico y planes de tratamiento).
Todo ello, como es fácil adivinar, tiene enormes implicaciones para los derechos de las personas y en especial para la protección de datos. El ICO se centra en temas concretos pero de enorme trascendencia, partiendo para ello del análisis de la normativa británica de protección de datos (el GDPR británico), que es muy semejante al Reglamento General de Protección de Datos de la Unión Europea, lo que permite trasladar sus reflexiones, casi en su totalidad, a nuestro marco normativo. Analiza cuestiones como la dificultad de asignar responsabilidades (a responsables y encargados del tratamiento) a lo largo de la cadena de suministro; el aumento de decisiones automatizadas y automatización de tareas complejas; finalidades definidas de forma demasiado amplia (agentes de propósito general); riesgo de tratar datos más allá de lo necesario (principio de minimización); inferencias no previstas y posible tratamiento accidental de categorías especiales de datos; mayor opacidad y complejidad, que complica la transparencia y el ejercicio de derechos por parte de los interesados; nuevas amenazas de ciberseguridad derivadas de agentes con capacidad de actuar, o concentración de datos (p. ej., asistentes personales que agregan grandes volúmenes de información).
En este escenario es imprescindible tener muy presentes los principios de responsabilidad proactiva y de protección de datos desde el diseño y por defecto, y adquiere un rol de enorme importancia el Delegado de Protección de Datos, cuyo papel, sin duda, va a ser cada vez más complejo dada la rápida evolución de la tecnología. Sin perder de vista que el propio ICO indica que la IA agéntica podría dar lugar a “DPO agents”, sistemas integrados en los equipos de privacidad, para ampliar y aumentar la función del personal humano, que las organizaciones podrían utilizar, por ejemplo, para supervisión de alto nivel de los datos y su tratamiento en una organización, detectar de forma proactiva y señalar las actividades de tratamiento nuevas o de alto riesgo en toda la organización, ayudar en tareas específicas del delegado de protección de datos (por ejemplo, revisar, identificar y evaluar a los proveedores de alto riesgo basándose en criterios de gobernanza interna) o detectar infracciones mediante el análisis de la normativa aplicable (nacional e internacional).
El propio ICO es consciente de que no es posible predecir cuál será el ritmo y la evolución real de la IA agéntica, pero sin duda es imprescindible tener presentes los retos que están por llegar, por lo que el documento que ahora comentamos prevé varios posibles escenarios futuros en función del grado real de adopción de sistemas de IA agéntica y las capacidades que pueda desarrollar. Pero entretanto, nos aporta ya unas líneas de enorme interés para enfrentarnos a los retos de esta nueva evolución de la IA.
