Más de 400 profesionales de la ciberseguridad, entre abogados, auditores, CISOS y DPOS, han acudido a la segunda edición del AI & Ciber Security Forum, organizado por ISMS Forum y su Grupo de Inteligencia Artificial (GIA) -del que Escudo Digital ha sido media partner-, celebrado en Madrid, donde la intervención de Lorenzo Cotino, presidente de la AEPD, entrevistado por Carlos Saiz, vicepresidente del ISMS Forum, director del Data Privacy Institute y Partner and Head of Privacy, Risk & Compliance, Ecix Group., ha servido para conocer sus primeras impresiones como cabeza visible del regulador de protección de datos.
Desde su punto de vista, el papel del Delegado de Protección de Datos (DPO), al igual que el del resto de responsables de privacidad, tiene ahora un papel más notable con la irrupción de la IA. “En las organizaciones, son como hombres orquesta que saben manejar todos los asuntos relacionados con la privacidad y protección de datos. Ahora, con la llegada de la IA a las organizaciones, su rol seguirá siendo destacado. Creo que nosotros, como regulador, debemos mejorar nuestra relación con este colectivo, que desempeña un papel importante en las organizaciones tanto públicas como privadas”.
Para Cotino, catedrático en Derecho Constitucional, experto en nuevas tecnologías y en el estudio de la IA en los últimos años, es evidente el momento que se vive en la actualidad con la confluencia de distinta normativa, lo que obliga tanto a las empresas, como a sus responsables de privacidad y a nosotros como regulador a hacer un esfuerzo de estudio y análisis importante. Ya el entorno normativo era complejo con el RGPD, y ahora la llegada del Reglamento de Inteligencia Artificial (RIA) y su implementación generan más exigencias para todos.
En cuanto al Plan Estratégico, comentó que tanto él como su adjunto, Francisco Pérez Bes, ya están trabajando en un borrador que se abrirá a audiencia pública después de Pascua, “donde estamos abiertos a recoger todas las opiniones fundamentadas de la sociedad civil sobre todo lo concerniente a nuestro trabajo como regulador y a la protección de datos. Por nuestro anclaje legislativo, un país como el nuestro triplica al segundo en número de sanciones, pero no son las más gravosas. Sobre una uniformidad en cuanto a sanciones a nivel europeo, estos temas los marca el Comité Europeo de Protección de Datos y habrá que ver qué es lo que decide”.
Otra cuestión que comentó es que en la AEPD están estudiando fórmulas para ver cómo gestionar mejor las cerca de 19.000 reclamaciones que han recibido este último año. Al mismo tiempo, preguntado por Saiz sobre cómo pueden influir las políticas de Trump en este contexto digital, Cotino subrayó que, desde fuera, parece más el choque que él vaya a tener con la DSA y su cumplimiento, porque defiende a toda costa a las empresas digitales en EE. UU. En su opinión, cree que no debería influir en exceso tanto en el cumplimiento del RIA como en la consolidación del RGPD europeo.
Cláusulas contractuales IA
Como es habitual en este tipo de eventos, ISMS Forum ha presentado dos nuevas publicaciones profesionales de sus diferentes grupos de trabajo. La primera, una guía de gran utilidad sobre Cláusulas Contractuales de IA, fue presentada por Javier Carbayo, socio del despacho Deloyers Abogados; Ana García, Global Privacy Leader de Ikea; y Elena Mora, directora de Privacidad y Protección Dato en Mapfre.
La publicación ya puede consultarse en la web de ISMS Forum para todos aquellos profesionales que quieran conocer las propuestas de cláusulas tipo elaboradas por estos expertos. A lo largo de esta mesa redonda, los especialistas comenzaron con un análisis detallado de la motivación detrás de la necesidad de estas cláusulas y siguieron identificando las principales tipologías de sistemas y servicios de IA que deben ser regulados, así como los requisitos esenciales que deben contemplarse contractualmente.
Los ponentes explicaron el porqué de este trabajo, que comprende un inventario de tipologías de sistemas o servicios de IA que deben regularse contractualmente. Al mismo tiempo, definieron cláusulas tipo para incluir en cualquier contrato con proveedores con el fin de regular el uso de la IA en sus actividades. También presentaron una cláusula tipo genérica para utilizar en cualquier contratación de servicios y/o sistemas de IA y una amplia descripción de los mecanismos de implementación de este tipo de cláusulas.
La amenaza de los Deepfakes
El otro estudio que se presentó en esta segunda edición del AI & Ciber Security Forum tuvo que ver con el informe presentado por el Observatorio de Deepfake, donde tomaron la palabra Diana Molero, Head of Cybersecurity Presales Engineering de Fujitsu, y Miguel Ángel Pérez, Gerente de Ingeniería y Consultoría en Ciberseguridad de Telefónica y miembro del Board de ISMS Forum. Los expertos señalaron que en los dos últimos años el problema de la desinformación ha sido clave en los informes de incidencias publicados por el World Economic Forum.
En este informe, también ya publicado, se recogen casos tan impactantes como los que nos contó Diana Molero: un deepfake de Elon Musk prometiendo criptomonedas; una videollamada falsa que robó 25 millones de dólares a una empresa; la suplantación de Joe Biden para desmotivar el voto en EE. UU., junto a otros ejemplos de contenido generado por IA que sexualiza imágenes de celebridades e incluso estafas en redes sociales usando la imagen de la princesa Leonor.
Por su parte, Miguel Ángel Pérez recordó que detectar estos fraudes es cada vez más difícil. Desde su punto de vista, en esta era digital, "ver ya no es creer". La educación digital y la regulación son clave para enfrentar estos desafíos. De hecho, para abordar los retos que plantean los deepfakes, además de algunas políticas, la concienciación y
educación pública siguen siendo las claves para reducir el riesgo de manipulación y desinformación, y, a su vez, las bases para que la tecnología deepfake se utilice de manera ética y beneficiosa.
Primeros pasos ante la IA
La intervención de Carlos Saiz, vicepresidente de ISMS Forum, sirvió para constatar cuáles son los primeros pasos que están dando las empresas en su adaptación al nuevo marco normativo. Desde su punto de vista, la llegada de la IA y su normativa ha modificado las tres líneas de defensa que hay en las empresas. “Hay que revisarlo todo. En este sentido, es fundamental contar con un modelo de gobernanza propio, bien estructurado, donde quede claro el papel de todos los profesionales de la empresa para adecuarse al RIA”.
Uno de los primeros pasos críticos será la elaboración del inventario de IAs. Identificar y clasificar los sistemas de IA en uso permitirá a las empresas evaluar riesgos, definir medidas de control y garantizar el cumplimiento del nuevo marco regulatorio. A partir de ahí, con la entrada en vigor de la propia RIA, hay que verificar diversas actividades que realiza la empresa de forma habitual. “Un tema clave es la relación con los proveedores o cadena de suministro para comprobar que tienen los mismos valores que nuestra entidad”.
A su juicio, “el RIA es una norma de obligado cumplimiento y está teniendo un impacto muy grande. Afecta a muchas cuestiones, como la compra de herramientas y la relación con proveedores; el entrenamiento de los modelos; la integración de la IA en procesos que ya existen; la formación y concienciación de los profesionales; la captación de talento y los riesgos jurídicos. Lo está afectando todo; es muy transversal. Hay mucha tarea que hacer para gestionar esos riesgos, por eso hay que contar con los medios adecuados para afrontarlos”.
Grupo GIA, una realidad emergente
Este II AI & Cyber Security Forum, que se desarrolló en dos itinerarios paralelos, contó con una ponencia simultánea impartida por Francisco Lázaro, CISO y DPO de Renfe, y Ángel Pérez, CISO de Autopistas, ambos Co-Directores del Grupo de Inteligencia Artificial de ISMS Forum, sobre la evolución y trabajos del Grupo GIA de la entidad. Se trata de un grupo que pretende abordar el fenómeno de la IA de manera transversal. Esta comunidad, más de 1.000 expertos, tiene un grupo en Telegram donde se comparte conocimiento y se resuelven cuestiones sobre IA entre todos los integrantes.
También comentaron cómo se ha organizado este grupo de trabajo, donde están representados los grupos de ciberseguridad, privacidad, cloud y resiliencia, este último recién formado. Junto a ellos, hay profesionales expertos en la materia que han querido colaborar con nosotros. Un ejemplo claro es Fernando Rubio, de Microsoft. “Nosotros arrancamos la iniciativa antes de diciembre con la idea inicial de hacer un informe sobre IA y ciberseguridad”, indicaron.
A lo largo de estos meses, estos expertos indicaron en sus ponencias que esta iniciativa se ha vuelto más compleja. “Al final, hemos apostado por organizarlo en distintos trabajos complementarios entre sí. Así, se desarrollaron documentos sobre la introducción a la IA para profesionales de seguridad, IA y ciberseguridad, el modelo de gobierno de la IA, compliance y ética antes del RIA, políticas de IA y, finalmente, recomendaciones sobre el uso de la IA en las organizaciones”.
Retos regulatorios
Por su parte, Miguel Valle, Consejero de Transformación Digital de la Representación Permanente de España en la Unión Europea, abordó en su ponencia algunos de los retos regulatorios que se avecinan en un entorno de inflación normativa, donde se espera que la Comisión Europea adopte nuevas propuestas que reduzcan la burocracia y simplifiquen las normas de la UE para la ciudadanía y las empresas. Al parecer, se trata de seguir las recomendaciones del informe Draghi como base. Para recuperar la competitividad e impulsar el crecimiento, la UE debe fomentar un entorno empresarial favorable y garantizar que las empresas puedan prosperar.
Desde su punto de vista, el marco normativo en la actualidad es complejo, ya que confluye el RIA recién aprobado con la DSA, que genera ciertas obligaciones digitales a plataformas tecnológicas y empresas, junto con el RGPD. Además, recordó que la situación geopolítica es complicada por la guerra de Ucrania y las decisiones de Trump, y que al mismo tiempo parece que se avecinan multas a empresas como Apple y Meta por prácticas anticompetitivas. También indicó que los gobiernos nacionales se quejan del poco tiempo para adaptar la normativa que se avecina.
Sobre el RIA, recordó que su aplicación es progresiva a lo largo de los próximos dos años y que esta normativa solo regula sistemas y modelos. De hecho, reconoce que las empresas han manifestado su preocupación por el ritmo de implementación de la normativa, que es rápido. Para este ponente, la clave en la adaptación de la IA y de su normativa es contar con un sistema de gobernanza que ayude al despliegue de esas herramientas y a la adaptación del marco normativo. Otra cuestión importante para este experto es la falta de financiación que se ha detectado en Europa para distintos proyectos, una situación que debe solucionarse para implementar proyectos de IA.
El Gobierno del Dato
En otra mesa redonda, Sergio Padilla, CDO del Banco de España y miembro del board de ISMS Forum, junto a Rafael Fernández, Director de Estrategia Informacional y Reporting Regulatorio en Caixabank y Presidente del Club de CDOs Spain & Latam, abordaron cuestiones como los retos del Gobierno del Dato y la gestión de la calidad, seguridad y privacidad de los datos en un entorno regulatorio en constante evolución, especialmente el que marca la propia IA.
Los ponentes coincidieron en el papel del dato como activo estratégico para la toma de decisiones y la innovación, así como en los retos y oportunidades derivados de la IA. A nivel de reto, se trata de trabajar en cuestiones como el impacto de los sesgos, la trazabilidad y la regulación en el desarrollo de modelos de IA confiables. Respecto a las oportunidades, ambos expertos coincidieron en cómo la IA puede ayudar a mejorar la eficiencia de las empresas y generar nuevas ventajas competitivas para las organizaciones.
Otra cuestión que comentaron Sergio Padilla y Miguel Ángel Fernández es que el papel de profesionales como ellos en las organizaciones debe ser proactivo y no funcionar como obstáculo, sino como facilitadores del negocio. En un entorno como el actual, el valor de la innovación es importante, y las organizaciones deben aprovechar la gestión del dato en sus desarrollos de IA. Eso significa que las organizaciones deben ser proactivas y poder anticiparse a cambios disruptivos y escenarios inciertos en un entorno cada vez más impulsado por datos e IA.