Miercoles, 28 de Septiembre de 2022

Bienvenido

a tu portal web

Deep Fake y la protección de los datos personales

Por Por Fabricio Marvilla Fraga de Mesquita, 5 de abril de 2021

1.      Introducción

El mundo y las relaciones interpersonales cada vez más sufren cambios significativos debido a la actualización tecnológica. Muchas veces el Derecho contiene una regla general que es prevista en un contexto y acaba pasando por adaptaciones cada vez que se necesita debido a la modernidad. Actualmente dos tecnologías vienen ganando cierta notoriedad: el Deep learning y el Deep fake.

Específicamente, el Deep fake causa cierta preocupación por su capacidad lesiva. Esto ocurre porque esta tecnología simula características de una persona y las “emula”. Muchas veces las aplicaciones de esta tecnología fueron en forma de aviso, por lo menos al final, de que se trataba del uso de un falso ser, un ser emulado, como es el caso de los vídeos conocidos de personalidades como Barack Obama y la Reina de Inglaterra diciendo y realizando acciones que no harían normalmente. Sin embargo, la tecnología ya fue aplicada en casos de política internacional y hasta en aplicaciones de mensajería, como es el caso de telegram, en que se permitía hacer “desnudos falsos por encomienda”. La obtención de estos datos a veces puede involucrar a dos personas, una que solicita el servicio y otra que brinda las fotos o vídeos de una determinada persona. Otras veces alguien mal intencionado puede hacer uso de aplicaciones de web crawlings que guardan todas las informaciones de páginas web, así como sus bancos de datos.

Todo ello hace que el Derecho evolucione para poder acompañar las demandas provenientes del uso de las tecnologías. A veces, la protección exigida puede ultrapasar el ámbito de un Estado, como es el caso de reglamentos como el de la Unión Europea. Para poder comprender mejor las implicancias de estas tecnologías y como el derecho puede estar relacionado a ellas, a continuación, serán explicadas las bases legales para la protección de los derechos que puedan ser afectados.

2.      ¿Qué es Deep Learning y Deep Fake?

El concepto de Deep Learning, de manera simplificada, es de una clase de algoritmos de aprendizaje automatizado con base en múltiples capas que son utilizadas para extraer características, o features, de los datos, sin la necesidad de predefinir cuáles son esas características. Si pensamos en una imagen, se suele utilizar una variación de las redes neuronales que poseen varias capas, llamados en general Redes Neuronales Convolucionales (CNN en su sigla en inglés).

Cuando se desea detectar un animal que esté en una imagen, por ejemplo, es necesario definir la entrada. Esta entrada puede ser una imagen en JPG, de un animal, por ejemplo, una imagen en blanco y negro solo de los contornos pre procesados​, una versión que busca resaltar las expresiones de los animales y/o un ser humano. Se puede incluso dejar que esta decisión si es un animal u otro el que está en la imagen, tome el propio algoritmo. Por otro lado, el Deep Fake es la aplicación de las técnicas de Deep Learning para modificar imágenes, videos o incluso textos, dándoles naturalidad. Entonces así, uno puede hacer que la máquina utilice datos previos para manipular otros datos, muchas veces personales, y hacer un “fake”, una persona falsa o simular una situación que realmente no existió, sustituir el rostro de una persona en una situación que no ocurrió realmente con esta persona. Es en este punto que el derecho a la protección de datos personales recobra valor.

3.      Derecho a la protección de datos personales y el Deep Fake

El primer punto necesario de aclarar en este momento es el relacionado a qué se entiende por dato y qué es una información. Según Davenport y Prusak (1999):

“Un dato es un conjunto discreto, de factores objetivos sobre un hecho real.”(…) Como han hecho muchos investigadores que han estudiado el concepto de información, lo describiremos como un mensaje, normalmente bajo la forma de un documento o algún tipo de comunicación audible o visible.”

Ahora bien, actualmente es importante entender que si bien es cierto existe la competencia territorial sobre varios aspectos, en relación con la protección de datos, hay una posible aplicación de otra legislación que no es la peruana. Por ello, vamos a hacer correlaciones con por lo menos dos legislaciones: la peruana y la europea.

De las dos legislaciones se puede percibir que datos personales no son cualquier información, sino la que identifica a una persona entre tantas otras. Si bien es cierto la legislación peruana, por ser anterior, no brinda más especificidades, como hace la legislación europea, esto no quiere decir que ellas no estén presentes. Para lo que interesa en este artículo, lo importante es saber el nivel de protección que tendrán las personas para que sus datos no sean utilizados en una manipulación de Deep Fake. Para ello, tendremos que saber quién es el responsable del banco de datos en que ellos, los datos, están registrados y si existe consentimiento en la utilización de estos datos. El principio del consentimiento está plasmado en ambas legislaciones, así como la responsabilidad de los responsables del tratamiento de los datos en estos bancos de datos.

Sobre este punto en específico, la legislación europea determina en su artículo 22:

1.  Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

Por otro lado, la legislación peruana determina que el tratamiento de los datos personales debe respetar los límites impuestos constitucionalmente por los derechos fundamentales (art. 13.1), que los medios de comunicación informáticos o cualquier instrumento similar, independiente de ser privado o público, solo son abiertos cuando exista autorización judicial que garantice los derechos protegidos por la legislación (art. 13.4). Por último, se determina que los datos personales sensibles, que son los más importantes en el caso del Deep Fake, necesitan de consentimiento por escrito del titular de estos datos personales (art. 13.6). Atención: el artículo menciona titular de los datos personales, no del responsable del tratamiento de los datos personales.

Ahora bien, ¿cómo se puede saber cuál legislación utilizar en casos prácticos desarrollados en ambientes virtuales? La legislación peruana expresa que la competencia territorial se dará siempre que los datos personales sean objeto de tratamiento en el territorio peruano. Por otro lado, la legislación europea, en su artículo 3, determina que esta será utilizada siempre que:

  • Actividades del responsable del tratamiento personal o de alguien encargado en la Unión Europea;
  • El interesado esté en la Unión Europea;
  • Cuando esté el tratamiento previsto en una de las siguientes actividades:
  • Se oferte bienes o servicios a personas interesadas que estén em la Unión Europea;
  • El control de comportamiento sea realizado en la Unión Europea;
  • Incluso si el responsable no esté en la Unión Europea, se dará lugar a la aplicación de su legislación siempre que el Derecho Internacional Público así lo determine.

De esta forma, la legislación europea abarca una cantidad de posibilidades más grande y podría darse el caso de un ciudadano peruano que haya registrado datos personales en una empresa que realice el tratamiento de sus datos personales en Europa, por ejemplo, en Madrid. Si otra empresa, rusa por ejemplo (que no hace parte de la Unión Europea), utiliza los datos personales de este ciudadano peruano en un video creado a través de Deep Fake, la legislación aplicable será la europea y no la peruana. Antes el registro de datos personales en sitios web de compra, por ejemplo, en países distintos al del país del usuario ya era común; actualmente, aplicaciones de smartphones están registradas en varios países y son utilizadas por usuarios de todo el mundo. Con la pandemia esto ha aumentado a niveles no esperados. La situación mencionada anteriormente se puede dar muy fácilmente en los días actuales por medio de registro de datos personales en aplicaciones en los smartphones o sitios de compras online que van a mantener los datos personales de sus clientes registrados.

4.      Conclusiones

De lo expuesto se percibe que el Deep Fake puede generar diversos problemas. Es por ello por lo que el derecho y, por consiguiente, el ordenamiento jurídico debe tratar de manera adecuada este tema que influye de manera directa en la protección de datos personales. La ley peruana sobre este tema tiene algunos alcances importantes, sin embargo, es anterior a muchas innovaciones que han surgido en los últimos años. De esta manera, se necesitaría actualizar la legislación, lo que no excluye que se pueda utilizar la normativa que está vigente, con algunas precisiones importantes que hace necesario el conocimiento de temas tecnológicos/jurídicos por parte de los abogados y administradores de la justicia.

5. Referencias Bibliográficas

  • Comisión Europea. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (2016). Diario Oficial de la Unión Europea.
  • El Peruano. Ley de protección de datos personales Ley Nº 29733 (2013). Lima, Perú.
  • Davenport, T.; Prusak, L. (1998), “Working Knowledge: How Organizations Manage What They Know”, Harvard Business School Press.
  • Rini, R. (2019) Deepfakes and the Epistemic Backstop.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Comentarios

PUBLICA CON NOSOTROS

MÁS INFORMACIÓN