Danadata 004 - Inteligencia Artificial y el DMA

Las nuevas restricciones del DMA buscan frenar el uso cruzado de datos personales entre servicios, desafiando el modelo de negocio de las grandes plataformas

dic 03, 2024

A horizontal cartoon-style illustration depicting a large balance scale colliding dramatically with towering legendary monsters. The scale symbolizes justice, with one side holding glowing laws or scrolls and the other side hitting the monsters. The monsters resemble mythical creatures like dragons, hydras, and giants, with fierce expressions and exaggerated features. The background is a mix of stormy skies and flashes of light, emphasizing the clash between justice and power. The scene is colorful and dynamic, evoking a sense of epic struggle.

Identificamos la regulación de los datos personales con el Reglamento General de Protección de Datos. Sin embargo, el legislador europeo ha introducido muchos instrumentos regulatorios distintos que complican un poco más la tarea, en contraposición a solo observar si uno cumple (a grandes rasgos) con los requisitos y principios establecidos en los artículos 5 y 6 del RGPD. Uno de estos instrumentos regulatorios es el Reglamento de Mercados Digitales (o DMA).

Tras recibir la invitación de Jorge a participar en Dadata, sabía que tenía que decir mi opinión sobre el Reglamento de Mercados Digitales y, en concreto, comentar qué implicaciones ha traído (y traerá) el artículo 5.2 a todo aquello relacionado con el procesamiento, combinación y uso cruzado de datos personales. Como jurista, no me puedo resistir a hacer una introducción más bien teórica. La introducción del artículo 5.2 en el Reglamento de Mercados Digitales se corresponde con uno de los casos más sonados en los que interaccionaban la regulación de datos personales y la normativa de competencia: el caso de la autoridad de competencia alemana contra las actividades de procesamiento de datos personales de Meta. Para aquellos más despistados, la autoridad alemana de competencia declaró la existencia de una conducta anticompetitiva como consecuencia del incumplimiento del RGPD por parte de Meta. Aquello se tramitó bajo un procedimiento sancionador. No obstante, el Reglamento de Mercados Digitales se aplica de manera distinta: los llamados ‘guardianes de acceso’ (Alphabet, Apple, Amazon, Booking.com, ByteDance, Meta y Microsoft) deben demostrar que cumplen con las obligaciones que se establecen en esta regulación.

Las 4 prohibiciones

Para el caso del artículo 5.2 -que solamente es una de las 23 obligaciones que establece el Reglamento de Mercados Digitales-, se prohíben cuatro tipos de conductas. Primero, tratar, con el fin de prestar servicios de publicidad en línea, los datos personales de los usuarios finales que utilicen servicios de terceros. Segundo, combinar datos personales procedentes de sus propios servicios con aquellos procedentes de cualquier otro servicio, ya sea del propio guardián o de servicios de terceros. Tercero, cruzar datos personales procedentes de sus servicios con otros servicios que el guardián proporcione por separado. Cuarto, iniciar la sesión de usuarios finales en otros servicios del guardián con el fin de combinar datos personales. La obligación de facto, por tanto, prohíbe que las grandes empresas tecnológicas puedan procesar o combinar datos personales de un servicio a otro. ¿Por qué? Porque el legislador europeo entiende que este tipo de uso cruzado de datos personales solamente contribuye a engrandar el poder de estas plataformas digitales. Por ejemplo, el motor de búsqueda de Google no puede, en principio, combinar datos personales de sus usuarios con sus servicios de publicidad en línea. Asimismo, Meta tampoco puede combinar los datos personales que obtiene en sus dos redes sociales, Facebook e Instagram. La consecuencia natural es que sus flujos de datos establecieran dicha prohibición. Es decir, que se pararán en seco como consecuencia de la aplicación del artículo 5.2.

La obligación de facto, por tanto, prohíbe que las grandes empresas tecnológicas puedan procesar o combinar datos personales de un servicio a otro

Esto no ha sido así, precisamente porque se establece una excepción en la propia disposición por la que estos guardianes pueden seguir realizando tales actividades si consiguen recabar el consentimiento efectivo del usuario en el sentido del RGPD. De ahí derivan todos los prompts que los guardianes de acceso muestran en sus servicios con el fin de poder vincular los datos que obtienen en sus servicios.

De hecho, la prohibición afecta particularmente a aquellos servicios que la plataforma llama servicios básicos de plataformas. Estos son diez servicios distintos que el Reglamento de Mercados Digitales considera relevantes para asegurar el correcto funcionamiento del mercado, entre los que se encuentran los servicios de intermediación en línea, motores de búsqueda, navegadores web o los sistemas operativos. Si el servicio no está recogido en esta lista del Reglamento, entonces las disposiciones de la normativa no aplican a ese servicio en particular. Y este es precisamente el caso de los sistemas de Inteligencia Artificial generativa (IA generativa).

Como el Reglamento de Mercados Digitales entró en vigor antes del lanzamiento de herramientas como OpenAI, el legislador europeo no tuvo tiempo para incluir la IA generativa dentro de esa lista de servicios básicos de plataforma. De hecho, el Parlamento Europeo y la propia Comisión Europea ya se están planteando reformar el Reglamento para atender la laguna que se ha generado. Pero ¿qué efectos provocaría su inclusión si tuviéramos que considerar disposiciones como las del artículo 5.2?

LA IA y la privacidad

Incluir las herramientas de IA generativa no tiene mucho sentido si nos fijamos en su funcionamiento cuando se entrenan (pre-training); combinando datos personales de distintas fuentes y servicios, generando incluso problemas en materia de protección de datos personales y de propiedad intelectual. La prohibición supondría que la empresa desarrollando ese sistema de IA simplemente podría combinar datos para desarrollar las capacidades de emular el lenguaje respecto de servicios que se den en la propia empresa. Por el contrario, la prohibición aplicaría igualmente al segundo de los procesos en el desarrollo de estos sistemas de IA (fine-tuning), en el que la empresa desarrolladora especifica el rol del sistema partiendo de las capacidades para el lenguaje que ya ha adquirido. Estos datos, en caso de ser datos personales, también estarían sujetos a la prohibición, sin perjuicio de la posibilidad de poder obtener consentimiento del usuario, que algunas autoridades de protección de datos ya han declarado como incompatible con el RGPD.

Desde mi punto de vista, ni siquiera sería necesario añadir estos servicios como servicios básicos de plataforma. De hecho, muchos servicios que ya caen dentro del ámbito de aplicación del Reglamento de Mercados Digitales han integrado funcionalidades que dependen de sistemas de IA generativa, comportando los mismos riesgos que generan directamente su aplicación en el mercado. Por ejemplo, Google ahora está integrando funcionalidades en su motor de búsqueda para ofrecer resultados generados a través de estos sistemas. Apple ha incorporado el modelo fundacional de ChatGPT en sus nuevas herramientas proporcionadas en sus dispositivos a través de Apple Intelligence. Aunque el proceso de pre-training no se vería afectado por la prohibición del artículo 5.2, Google no puede, en principio, utilizar los datos personales de sus servicios básicos de plataforma para entrenar a través del fine tuning a su modelo fundacional subyacente Gemini.

En caso de que la Comisión Europea -que es la que se encarga de aplicar el Reglamento de Mercados Digitales- fuera a aplicar este criterio interpretativo, el Reglamento tiene el potencial suficiente como para no permitir los métodos de extracción y combinación de datos personales necesarios para alimentar a los sistemas de IA del presente y del futuro.

Una publicación invitada por

Dra. Alba Ribera Martínez

Profesora en Derecho de la Competencia en la Universidad Villanueva. Doctora en Derecho. Investigación centrada en la regulación de plataformas digitales y su impacto en derechos fundamentales.

Dadadata

Discusión sobre este post