Belén Arribas, presidenta de ENATIC: “La IA nos obliga a los abogados expertos en derecho TIC a especializarnos aún más”

La aprobación de la AI Act, con el acuerdo final del Parlamento Europeo del pasado mes de marzo, conduce a la Inteligencia Artificial (IA) a una regulación necesaria que busca el equilibrio entre la innovación y la protección de los derechos fundamentales. Para Belén Arribas, nueva presidenta de ENATIC, “ahora falta la aprobación por parte de los Estados en el Consejo Europeo, aunque no se esperan muchos cambios”.

A juicio de esta jurista, una de las primeras abogadas formadas en derecho tecnológico en nuestro país, también presidenta de la International Federation of Computer Law Associations (IFCLA) y listed Pool of Experts del EDPB, “la entrada de muchas de sus obligaciones será progresiva”.

Arribas comenta que “llama la atención, además de los niveles que se plantean en cuanto al riesgo de los distintos sistemas de IA en función de sus finalidades previstas, el enfoque restrictivo que se hace a los datos biométricos. En nuestro país, la Agencia Española de Protección de Datos con su Guía sobre Tratamientos con datos biométricos ha seguido esos criterios restrictivos, siguiendo los criterios del Comité Europeo de Protección de Datos”.

Sin embargo, según la experta, “no podemos olvidar que con dicha Guía, la AEPD ha cambiado de criterio en base a la aclaración que hizo el propio Comité Europeo de Protección de Datos (EDPB). Antes de dicha aclaración la postura de la Agencia era más laxa porque entendía que los datos de autenticación (comparación de datos uno contra uno, a diferencia de los de identificación) no eran datos biométricos en términos del RGPD. Pero cambió el criterio siguiendo el del EDPB y señalado que ambas modalidades estaban sometidas a las limitaciones del Reglamento”.

Belén Arribas ha vivido los cambios claves desde la irrupción de Internet: “A nivel de gran cambio la llegada de la IA hay que entenderlo como otro gran cambio tecnológico similar en su impacto al de la aparición de Internet. La llegada de Internet generó un gran impacto porque podías consultar toda la información a través de un ordenador. Ahora este cambio, comparable en cuanto al impacto, es más disruptivo porque va a alcanzar y penetrar en toda la sociedad. Todos los sectores de la actividad económica se verán afectados por la IA que ya conocíamos en los años cincuenta”.

La nueva presidenta de ENATIC advierte de la exigencia de la IA para empresas y abogados. (Imagen: ENATIC)

Sin embargo, para esta jurista que cursó el primer máster en Derecho de las Tecnologías en ESADE en Barcelona en 2001, “la gran novedad llegó hace año y medio cuando se puso a disposición de todos CHATGPT. El ritmo de adopción de esta tecnología es infinitamente más rápido. Su permeabilidad es más transversal. Ni nos imaginamos en estos próximos años el impacto que va a tener, de ahí que hiciera falta una regulación como la que se ha aprobado en los últimos meses”.

Para la presidenta de ENATIC “según las negociaciones que han tenido lugar para la aprobación del Reglamento de IA, por lo que sabemos, la tendencia es restringir el uso de datos biométricos. De hecho lo más controvertido fue el añadir más excepciones a la prohibición a la hora de negociar los últimos flecos de aquella negociación de acuerdo político que se cerró en el puente de primeros de diciembre. Ahora conocemos el texto definitivo del Reglamento IA y, también muy importante, su traducción oficial al castellano, lo cual va a ayudar a muchos abogados TIC a estudiar mejor sus obligaciones e impacto”.

Una norma pionera

Desde su punto de vista, esta AI Act es muy positiva: “Tenemos una norma, la primera de este calado que se aprueba en el mundo (aunque hay otras iniciativas en otros entornos como Estados Unidos, Reino Unido, China y otros). En nuestro país ya contábamos con el regulador específico, la AESIA, antes de que se crease la Oficina Europea de IA hace unos días”.

“Otra cuestión que hay que poner en valor es que nuestro país ha puesto en marcha un sandbox regulatorio sobre IA, también adelantándose a otros países. El sandbox va a ayudar mucho en cuanto a la aplicación de la norma desde este entorno controlado de pruebas” comenta.

La aprobación de esta AI Act ha coincidido con el cambio de liderazgo en ENATIC. Tras la convocatoria de elecciones, fue proclamada la nueva Junta Directiva que preside Arribas tras la presidencia de Carlos Saiz durante tres años intensos de trabajo para situar a la asociación de nuevo en el ecosistema global económico.

Para Arribas “la entrada en vigor de esta AI Act (previsiblemente también en mayo) recuerda al RGPD, en el que hubo un período de adaptación oa vacatio legis hasta que devino exigible. Hay quizás más necesidad de prepararse ahora que antes, en comparación con la entrada en vigor del RGPD”.

“En este caso hemos ido conociendo versiones desde hace tres años, las primeras en inglés, y el nuevo Reglamento IA entrará en vigor a los veinte días de su publicación en el Diario Oficial de la UE, pero su exigibilidad es escalonada, según nivel de riesgo y obligaciones, hasta el 2026”.

En esta adaptación al AI Act “uno de los temas más nuevos y que requiere una mayor dedicación es la adaptación de los órganos de gobernanza de las empresas –y de las administraciones- a estas nuevas obligaciones. Así lo estamos constatando desde mi despacho, asesorando en estos aspectos a empresas de distintos tamaños y sectores. Se trata de crear los Comités y órganos de gobernanza oportunos para cumplir con la norma”.

De izquierda a derecha: Rodolfo Tesone, presidente emérito; Carme Artigas, copresidenta del nuevo organismo de la ONU en IA; Belén Arribas, nueva presidenta de ENATIC; y Carlos Saiz, presidente saliente. (Imagen: ENATIC)

Mayor exigencia para los abogados

Arribas no oculta que ésta es una norma de gran exigencia “que tiene que cumplirse como otras, pero que nos exige a los abogados expertos en derecho tecnológico conocer bien el texto de la norma, todos sus detalles y las propias herramientas de IA que utilizan las empresas y que deben adaptarse a este marco normativo. En muchos casos a los abogados se nos pide consejo a la hora de adquirir, desplegar e implementar esta tecnología que está generando cambios importantes en la gobernanza de las empresas en estos momentos”.

En su opinión, el uso de la IA será imprescindible ya que “supone automatizar procesos y eliminar tareas que son de poco valor añadido; eso hace que los abogados podamos liberar tiempo para pensar en aquello que es relevante en cuanto a la implementación de la tecnología y a nivel estratégico, tanto para nuestros despachos como para las empresa que asesoremos. Se logra ser más eficiente, no cabe duda. El papel de ENATIC debe ser, a este respecto, ayudar a entender el impacto y dimensión de este AI Act y a reforzar el papel de los abogados expertos en derecho tecnológico, ahora más necesarios si cabe”.

Para este cometido, ENATIC, ha renovado su Junta Directiva con las incorporaciones de juristas como Esther García, de la asesoría jurídica de Caixabank; Gerard Espuga, con despacho propio; Carlota Sáenz, counsel de Glovo; José Manuel Muñoz, con despacho propio; Margarita Mínguez, legal counsel de Privee; Antonio Serrano, con bufete propio; Sara Molina, de Deloitte Legal; Carlos Fernández, responsable de contenidos del diario La Ley; y Pilar Garrido, de la asesoría jurídica de Banco de Santander.

Belén Arribas, presidenta de ENATIC, junto a Albert Ferré, vicepresidente del Global LegalTech Hub. ENATIC y el Global LegalTech Hub son aliados estratégicos desde hace años. (Imagen: ENATIC)

Los primeros pasos de esta nueva Junta Directiva se encaminan a cumplir los objetivos que se marcaron en el programa de su candidatura: profesionalizar la figura de los abogados digitales y ciberabogados; colaborar en su capacitación, formación y networking; fomentar el desarrollo de las ciencias jurídicas relacionadas con el derecho de las tecnologías, los derechos digitales, la personalidad digital, la transformación digital de las organizaciones, la Ciberseguridad y el Ciberderecho.

Al mismo tiempo también pretende ganar mayor presencia y representatividad en los procesos de transformación digital de nuestro país, velando por un correcto enfoque de los asuntos jurídicos que conllevan los fenómenos como el blockchain, la inteligencia artificial, la robótica, el Cloud, el Big Data, Fintech, Legaltech, entre otros. Para ello organizarán webinars y llevarán a cabo una total renovación de la web, que será punto de encuentro de los abogados expertos en derecho tecnológico.

“Es fundamental la apuesta formativa para analizar todas estas cuestiones derivadas de la IA y que afectan a las políticas de seguridad de la información y protección de datos de las compañías, los profesionales y la ciudadanía en su conjunto. Próximamente se anunciará el siguiente congreso que estamos preparando”, comenta Arribas.

En este escenario, “junto a las PIAS (evaluaciones de impacto en protección de datos) ahora llegan las FRIAS, que son la evaluaciones de impacto en derechos fundamentales que ahora con la AI Act tendrán que hacer de forma previa en aquellas empresas que implementen determinadas herramientas de IA que supongan un elevado riesgo”.

La experta también aclara que “este nuevo Reglamento no hace reserva de actividad en los juristas, al igual que el RGPD, lo que posibilita que el asesoramiento y supervisión de estos sistemas de IA pueda caer en los DPOs, en los CISOs y otras figuras. Nosotros recomendamos que sea una función colegiada pues se necesitan conocimientos expertos que son transversales a varias materias y multidisciplinares”.

Gobernanza colegiada

Para esta jurista “la implementación de la AI Act va a generar que aparezcan estos órganos colegiados de carácter transversal. Además del papel del jurista es necesario contar con tecnólogos, e impacta cuestiones éticas y de derechos fundamentales. También es fundamental que estos Comités que se creen estén muy cercanos a la dirección de cada empresa. En la implementación de esos sistemas de IA hay que empezar por las evaluaciones de impacto, que son complejas pero imprescindibles. Es posible que de ahí resulte necesaria una consulta a la AEPD si la IA que implantamos impacta en datos personales”.

En un momento de disrupción como el actual, la presidenta de ENATIC cree que este puede ser un buen momento “para que otras mujeres juristas se incorporen a este campo del derecho digital y desarrollen su carrera profesional en él. Aun podemos crecer más en este campo jurídico profesional y ahora que se produce este “cambio de era” es el momento de coger ese tren. Un derecho tecnológico que cada vez tiene más impacto en otras disciplinas jurídicas clásicas y que ahora con la IA se abre un panorama importante a nivel de cambios disruptivos”.

Para esta jurista, al igual que señalan otros expertos en la misma dirección, “no es de extrañar que al igual que hay abogados especializados ya en blockchain y activos digitales, ciberseguridad o protección de datos, existan otros que se especialicen a corto y medio plazo en la IA, donde hay que conocer bien el entorno normativo recién aprobado así como las tecnologías subyacentes”.

Desde ENATIC se observa que “el fenómeno de la IA es imparable y hay que conocerlo en ambas vertientes, tanto normativa como tecnológica. Las sanciones que las empresas pueden sufrir por incumplimiento de la normativa aprobada son aún mayores que en el RGPD, pero con el mismo o más alto impacto se sitúa el riesgo reputacional, que puede afectar significativamente al devenir de la entidad”.

Los tres presidentes de ENATIC son figuras claves para implementar la Carta de Derechos Digitales. Posado de su segundo aniversario. (Imagen: ENATIC)