10. febrero 2023 por Christian Hammer y Lilian Do Khac
¿Qué iniciativas legislativas cambiarán y cuáles serán los efectos esperados en nuestros proyectos de IA y datos?
Los datos son la base de todos los procesos empresariales, así como de la cadena de valor de una empresa. Esta comprensión se ha establecido cada vez más firmemente en nuestra conciencia en los últimos años, por lo que reaccionamos instintivamente con aprobación a la oración anterior. Creemos que el uso de datos de manera designada y enfocada debe hacerse, de hecho, debe hacerse, de acuerdo con reglas claras y en busca de objetivos estratégicos.
Una empresa debe convertirse en impulsada por datos para lograr esto. Para que esto suceda, las tecnologías que se utilizarán, así como las arquitecturas que se usarán, se derivan de la estrategia de datos designada y se introducen numerosos roles adicionales como parte de una amplia iniciativa de gobierno de datos. Este enfoque viene con la promesa de poder usar los datos sabiamente y según lo solicitado. Desde el tomador de decisiones hasta el trabajador de datos, la información está disponible con un alto grado de flexibilidad, transparencia y trazabilidad y en una forma adaptada a las necesidades del grupo objetivo. El enfoque en los últimos años ha sido particularmente en el uso impulsado por la aplicación y el refinamiento dentro de los límites departamentales de los individuos y mucho menos a menudo en los límites de la empresa o del grupo.
En este contexto, manejar (cuidadosamente) los datos no es un fin en sí mismo, ya que hacerlo promete a la empresa ingresos crecientes. Sin embargo, en este momento, solo unas pocas empresas han descubierto la monetización de datos para sí mismas. Estar bien familiarizado con el mercado y los clientes a través de la observación y el análisis de datos indudablemente crea una ventaja competitiva directa en el mercado competitivo. La desventaja competitiva, sin embargo, puede ser mucho más grave si este conocimiento específico no se recopila a partir de datos.
Pero, a través del contacto diario con las redes sociales o los motores de búsqueda (o incluso modelos de lenguaje cada vez más populares como GPT o ChatGPT), también entendemos lo importante que se ha vuelto nuestros propios datos en el interín. ¿Quién no se ha sorprendido al descubrir que Google Maps, por poner un ejemplo bastante mundano, 'sabe', sin ninguna entrada de nuestra parte, dónde vivimos, trabajamos y cuáles son nuestras rutinas regulares cuando nos movemos? Lo que inquieta a las personas está lleno de potencial para las empresas. Especialmente con el ejemplo de las redes sociales, vemos que el responsable del conjunto de datos tiene cosas interesantes que ofrecer a sus anunciantes: desde datos detallados del cliente, incluida información geográfica importante, hasta preferencias de todo tipo. No importa si se trata de la música favorita de alguien, color o tipo de vino, todo está almacenado y se puede llamar a pedido. La compra de registros de datos de clientes ahora hace posible colocar ofertas de productos altamente personalizadas y dirigidas, lo que aumenta las tasas de conversión y posteriormente las ventas, especialmente porque dirigirse al grupo objetivo promete tasas de finalización más altas.
Aquí es exactamente donde entra en juego la regulación digital. Es necesario proteger a los consumidores contra el almacenamiento arbitrario de sus datos y su posterior uso, así como contra decisiones tomadas en base a conjuntos de datos agregados o individuales. Dicho esto, no se trata principalmente de una prohibición general, sino más bien de exigir requisitos de alta calidad. En la regulación digital, o en la regulación en general, se define un marco regulador que actúa simultáneamente como una guía para los participantes del mercado y elimina las incertidumbres. Además, la regulación europea tiene como objetivo lograr una armonización general para evitar la fragmentación dentro del Área Económica Europea.
Reconocemos los tipos de regulación en diversas formas. Para categorizarlos mejor, la jerarquía se retrata de manera concisa en lo que se conoce como la pirámide de normas.
Breve introducción a la pirámide de normas
Una pirámide de normas facilita la comprensión, reduce la complejidad de las regulaciones y esboza sus relaciones entre sí (Figura 1). Mientras que la legislación se muestra en la cima de una pirámide de normas, el mundo de la estandarización se representa a medida que la pirámide desciende. El marco definido por una ley es significativamente más estricto, mientras que las regulaciones y normas son más abiertas a la interpretación y definen un marco más abierto.
La ley de la UE, la Constitución alemana y otras leyes tienen carácter legalmente vinculante, lo que significa que violar estas leyes resulta en castigo. Las medidas exactas que deben tomarse para cumplir con estas leyes no se prescriben legislativamente, sino que evolucionan en respuesta a cosas como el desarrollo de normas y estándares cuando se implementa una nueva ley. Las normas y estándares son desarrollados por organizaciones privadas y establecen estándares en cuanto a calidad. A diferencia de las leyes, no son necesariamente legalmente vinculantes, sino que representan el estado del arte y, por lo tanto, constituyen métricas para medidas de calidad. Tales medidas de calidad pueden, a su vez, resultar en retroalimentación sobre la legislación y refinar los textos legislativos. Para proporcionar un ejemplo conciso, nos gustaría destacar el desarrollo de las bombillas. La estandarización y derivación de medidas de eficiencia hicieron posible medir las diferencias de calidad. Esto no solo ha llevado a un aumento en la calidad entre los fabricantes, sino también a la exclusión legal específica de fuentes de luz no eficientes y perjudiciales para el medio ambiente.
Creamos un ejemplo para esta publicación específica en el siguiente gráfico. En una futura publicación, trataremos exclusivamente el desarrollo de las normas legalmente vinculantes.
La pirámide de normas utilizando el ejemplo del derecho europeo
Echemos la vista atrás y detengámonos a considerar una ley muy particular que la mayoría de nosotros debería haber escuchado ya: el Reglamento General de Protección de Datos, o GDPR abreviado.
¿Qué se puede aprender de diez años del GDPR?
La Regulación General de Protección de Datos (GDPR, por sus siglas en inglés) fue presentada por la Comisión Europea hace más de diez años, el 25 de enero de 2012. Aún quedaban cuatro años hasta que la regulación entrara en vigor en mayo de 2016: cuatro años en los que la mayoría de las empresas tuvieron que revisar su identidad corporativa en cuanto al tratamiento de datos personales e implementar los requisitos legales; cuatro años en los que a menudo se habló de obstáculos a la innovación, sobre-regulación y una falta de competitividad en comparación con otros países. Ante la posibilidad de sanciones elevadas y sin experiencia interpretando la GDPR (especialmente desde una perspectiva judicial), muchas empresas de diferentes sectores fueron sorprendentemente reacias a cumplir con la regulación. En aquel entonces, ciertamente había carencias en cuanto a experiencia, software (ya sea herramientas o rutinas), redacciones legales conformes a la ley (ya sea en contratos o en avisos legales), roles, procesos o instancias de control.
Ahora, a principios de 2023, hemos cerrado desde hace tiempo estas brechas y obtenido seguridad, así como el conocimiento de que la GDPR se está regulando efectivamente. Sabemos exactamente cómo, como empresa, debemos hacer que nuestra página web sea conforme a la GDPR y qué formularios (preparados) debemos enviar como consumidores a una empresa para averiguar si y con qué propósito nos han almacenado datos. Si se mira desde esta perspectiva, el cambio ha empoderado enormemente al consumidor, aunque en el mismo período de tiempo han surgido empresas cuya pasión es recolectar datos y luego refinar conjuntos de datos personales que han sido minuciosamente analizados y segmentados. Pero, ¿está el conocimiento sobre cómo tratar los datos personales ya firmemente arraigado en nosotros y en las empresas? Es dudoso, al menos hasta que el siguiente proyecto importante se enfrente a la pregunta de si toda la solución CRM debe ser alojada por uno de los tres hiperescaladores (Amazon Web Services - AWS, Google Cloud Platform - GCP o Microsoft Azure) debido al inexorable avance de la digitalización y los factores económicos asociados, o hasta que se plantee la pregunta en este contexto sobre qué leyes se aplican a los datos almacenados en EE. UU. o China, por ejemplo.
Teniendo en cuenta el conocimiento actual que tienen –y de hecho, deben tener– los parlamentos europeos y regionales sobre la protección de sus ciudadanos, las regulaciones descritas a continuación y que entrarán en vigor en los próximos años no deben tomarse a la ligera y deben ser integradas en la arquitectura de la aplicación y en los procesos empresariales en una etapa temprana. Es por eso que miramos hacia el futuro y nos dedicamos al desarrollo futuro que nos espera en cuanto a la legislación digital.
¿Qué nos depara en los próximos diez años?
Desde una perspectiva europea, los cinco años entre 2020 y 2025 constituyen un período formativo en el que se redactarán y adoptarán a nivel de la UE una amplia gama de leyes que regulan los datos y las aplicaciones relacionadas con los datos. Estas leyes están diseñadas inicialmente de forma horizontal y constituyen la base para la legislación sectorial, como la bancaria, de seguros o la industria médica.
- Ley de Gobierno de Datos (DGA): La Ley de Gobierno de Datos proporciona un marco que fomenta el intercambio de datos. La Ley de Gobierno de Datos entró en vigor el 23 de junio de 2022 y será pertinente como ley en septiembre de 2023 después de un período de gracia de 15 meses.
- Ley de Servicios Digitales (DSA): La Ley de Servicios Digitales aborda las actividades de comercio electrónico y tiene como objetivo prohibir el mal uso y la tergiversación de la información. La Ley de Servicios Digitales entró en vigor el 4 de octubre de 2022 y será pertinente como ley el 1 de enero de 2024.
- Ley de Mercados Digitales (DMA): La Ley de Mercados Digitales establece estándares para las plataformas en línea para que los monopolios de la información (como Facebook) no puedan explotar su poder y se pueda garantizar la equidad en las plataformas en línea. La Ley de Mercados Digitales entró en vigor el 1 de noviembre de 2022 y será pertinente como ley el 2 de mayo de 2023.
- Ley de Datos (DA): La Ley de Datos establece principios y pautas para utilizar y acceder a los datos para que estén más disponibles. La propuesta de la Ley de Datos se publicó el 23 de febrero de 2022.
- Ley de IA de la UE: La Ley de IA de la UE es la primera propuesta legislativa sobre la regulación de las aplicaciones de IA que se ha presentado al mundo. La última ronda de revisiones para la Ley de IA de la UE tuvo lugar el 6 de diciembre de 2022. Desde entonces, ha estado en preparación para el diálogo a tres bandas entre las tres instituciones legislativas europeas. Se espera que la Ley de IA de la UE entre en vigor en 2024/2025. El período de gracia finaliza en 2024/2025.
Resumen de las próximas leyes digitales, fuente: DIN/DKE 2022 Hoja de ruta de estandarización alemana, Edición 2 de IA.
¿Cuáles son las implicaciones esperadas para las empresas impulsadas por IAy otros datos ahora?
Al igual que con el GDPR, hay una afirmación constantemente resonante tras las nuevas leyes y regulaciones de que se está creando un clima hostil a la innovación que es abrumadoramente inconveniente para cualquier empresa en competencia globalizada. Esta declaración resuena especialmente con la incertidumbre. Los conjuntos de reglas basados en estándares garantizan (además de diferentes cargadores de diferentes fabricantes de teléfonos móviles) la existencia de una competencia razonablemente justa, especialmente en comparación internacional, independientemente de si se trata del mercado financiero o de la industria manufacturera. Es más que deseable que, al mirar específicamente la inteligencia artificial, esta decisión éticamente cuestionable no se tome o al menos estén involucrados los órganos de supervisión apropiados. Y los datos en los que se basan estas decisiones también deben ser confiables. Esto es aún más cierto en tiempos del Internet de las cosas (IoT / XIoT) porque no todos los datos disponibles en Internet están necesariamente destinados a basarse en ellos para tomar decisiones, especialmente ante el trasfondo de los mercados de datos digitales.
Tengo una pregunta para aquellos que, sin embargo, insisten en crear un clima hostil a la innovación: ¿sería entonces la "emigración" una mejor opción para evitar esto? En la ley transnacional, se habla de lo que se denomina el "Efecto de Bruselas". Esto establece que el alcance de la legislación europea se extiende más allá de las fronteras de la UE y tiene un efecto significativo en otros países. Esto demuestra que la economía global está orientada a cumplir con los estándares más altos, como las estrictas regulaciones de protección de la UE (para los consumidores, sus datos o el medio ambiente). Ya hemos podido observar las implementaciones iniciales inspiradas en la versión actual de la Ley de IA de la UE en grandes empresas no europeas.
El deseo que muchas empresas tienen de simplificar los procesos de toma de decisiones y reducir al mínimo el tiempo necesario para obtener información basada en datos no se satisface en el corto plazo con las nuevas y esperadas condiciones. Se está creando un entorno más equitativo para lograr esto, en el que se puede establecer la confianza en las decisiones basadas en datos.
¿Te gustaría aprender más sobre temas emocionantes del mundo de adesso? Entonces revisa nuestras últimas publicaciones en el blog.
