El mismo marco básico sustenta prácticamente todas las nuevas regulaciones emergentes sobre cómo la IA procesa los datos, lo que significa que, si bien ciertamente existe un mosaico de leyes, los empleadores que utilizan la IA pueden seguir una lista de verificación relativamente sencilla para asegurarse de que no infringen la protección de datos. requisitos. Un grupo de expertos de Littler Mendelson comparte una guía completa sobre cómo los empleadores pueden garantizar la protección de datos al implementar la inteligencia artificial.
Zoe Argento, Kwabena Appenteng, Alyssa Daniels, Philip Gordon, Rajko Herrmann, Soowon Hong, Amy Kabaria, Renata Neeser, Naomi Seddon, Christina Stogov y Grace Yang de Littler fueron coautores de este artículo.
A medida que proliferan las herramientas de inteligencia artificial (IA) relacionadas con el empleo , los empleadores multinacionales sienten una presión cada vez mayor para implementar IA en sus oficinas globales. Estas herramientas pueden proporcionar un gran valor y eficiencia a lo largo del ciclo de vida laboral. Por ejemplo, los reclutadores solicitan servicios de detección de IA que pueden ahorrarles días al revisar rápidamente miles de solicitudes. Los socios comerciales quieren herramientas de seguimiento del desempeño que puedan ahorrar tiempo de supervisión. Es posible que los empleados quieran utilizar herramientas de IA generativa para ayudarles a crear informes, presentaciones y capacitaciones . El departamento de recursos humanos podría solicitar un chatbot que pueda responder preguntas comunes de la fuerza laboral. La lista sigue y sigue.
Al mismo tiempo, el desafío de cumplimiento que supone implementar herramientas de IA en oficinas globales puede parecer abrumador. Las herramientas de IA implican innumerables preocupaciones legales en el lugar de trabajo, incluidas las laborales, la discriminación, la propiedad intelectual y la protección de datos.
No sólo cada país tiene sus propias leyes en estas áreas, sino que las legislaturas están desarrollando rápidamente leyes específicas para la IA. La buena noticia para los empleadores multinacionales es que las leyes con las restricciones más completas sobre la IA (las leyes de protección de datos) siguen un marco similar en todo el mundo. Como resultado, los empleadores multinacionales pueden seguir una lista de verificación relativamente sencilla para resolver los principales problemas de protección de datos. Esta lista de verificación puede ayudar a los empleadores a crear un marco global de protección de datos para sus programas de IA, que luego pueden variar según sea necesario según la jurisdicción.
Descripción general del marco legal que regula las herramientas de IA
La mayoría de los países tienen leyes de protección de datos que regulan de manera integral el uso de datos personales, y estas leyes se aplican al uso de datos personales por parte de herramientas de inteligencia artificial y al uso de herramientas automatizadas para la toma de decisiones. Una de las leyes más destacadas es el Reglamento General de Protección de Datos de la Unión Europea (GDPR) , pero prácticamente todos los socios comerciales importantes de los Estados Unidos tienen una ley de protección de datos.
Estos países incluyen a nuestros vecinos, Canadá y México; potencias mundiales como Brasil, China, India, Japón y el Reino Unido; así como muchas economías más pequeñas. Cada vez más, las leyes de protección de datos incluyen disposiciones que rigen la IA o la toma de decisiones automatizada. Además, las nuevas leyes específicas para la IA se basan en el marco de las leyes de protección de datos existentes.
Si bien Estados Unidos carece de una ley integral de protección de datos a nivel federal, un complejo mosaico de leyes de privacidad y seguridad de datos en todo Estados Unidos suman colectivamente protecciones similares a una ley integral de protección de datos. Además, más de una cuarta parte de todos los estados han adoptado leyes integrales de protección de datos que se superponen a las leyes existentes. Al menos por ahora, la Ley de Privacidad del Consumidor de California (CCPA) es la única ley que se aplica a los datos de solicitantes, empleados, contratistas independientes y otras personas en una relación de recursos humanos con una empresa. Además, un creciente cuerpo de legislación regula específicamente la IA.
A pesar de esta complejidad, prácticamente todas las leyes de protección de datos siguen el mismo marco básico. Esto proporciona a los empleadores una lista de verificación de cuestiones a considerar. Aunque existen otros elementos de estas leyes, los elementos clave que los empleadores deben evaluar son los siguientes:
Antes de considerar cómo implementar una herramienta de IA en particular, los empleadores deberían considerar primero si existe una base legal para recopilar y procesar la información . La mayoría de las leyes de protección de datos en todo el mundo permiten la recopilación y el procesamiento de datos personales solo por motivos limitados, como el consentimiento del individuo o según lo exija la ley. En esos países, un empleador sólo puede procesar datos si existe una base legal para hacerlo. En otras palabras, a diferencia de Estados Unidos, donde un empleador puede usar datos personales para cualquier propósito siempre que no esté explícitamente prohibido, en la mayoría de los países un empleador no puede usar datos personales a menos que se aplique una base legal explícitamente permitida. Las bases legales típicas para el procesamiento de datos personales en el contexto laboral son el consentimiento, la ejecución de un contrato, el interés legítimo de la empresa y el cumplimiento de un requisito legal.
Muchos países dependen en gran medida del consentimiento de un individuo como base legal. En un extremo, en Corea del Sur , los empleadores deben obtener consentimientos separados para utilizar datos personales, utilizar ciertas categorías de datos personales sensibles, revelar datos personales a un tercero y transferir datos personales a otro país. En el otro extremo, un número creciente de países permiten el procesamiento de datos basándose en el concepto más amplio de los intereses legítimos del empleador. Algunas jurisdicciones, como la UE, desaprueban firmemente la dependencia del consentimiento como base legal para el procesamiento en el contexto laboral.
Datos disponibles públicamente
La cuestión de la base legal plantea un obstáculo particular cuando se extraen de Internet datos personales disponibles públicamente. Por ejemplo, un subconjunto popular de herramientas de inteligencia artificial recopila información sobre personas en Internet (perfiles de LinkedIn, páginas web de biografías profesionales y similares) para identificar candidatos potenciales para que los reclutadores o cazatalentos los contacten para puestos de trabajo difíciles de cubrir. En principio, una herramienta como ésta podría recopilar información sobre miles de personas.
En países que generalmente dependen del consentimiento como base legal para el procesamiento, recopilar información sobre cientos de candidatos a partir de información disponible públicamente en línea puede resultar poco práctico debido a la dificultad de obtener el consentimiento de cada individuo. Otros países, como Brasil , el Reino Unido y los miembros del Espacio Económico Europeo, permiten el procesamiento de datos basado en los "intereses legítimos" de la empresa en la medida en que los derechos y libertades del individuo no superen los intereses legítimos de la empresa.
El hecho de que una empresa pueda confiar en sus intereses “legítimos” puede depender bastante del contexto. Para los perfiles públicos en redes sociales profesionales, el equilibrio de intereses generalmente debería favorecer al empleador, particularmente cuando el perfil demuestra el interés del individuo en encontrar un trabajo. Sin embargo, cuando el individuo claramente no publicó el perfil para empleadores potenciales, cuando los términos de uso prohíben el scraping y otros factores indican que el individuo no tenía la intención de que el perfil se utilizara para evaluarlo para el empleo, entonces el equilibrio de intereses lo más probable es que pese en contra del empleador. En consecuencia, antes de implementar herramientas de inteligencia artificial que dependen en gran medida de información extraída de Internet, los empleadores globales deben realizar la debida diligencia para evaluar el riesgo de que los datos no se hayan recopilado de conformidad con las leyes de protección de datos aplicables.
Datos disponibles de forma privada
La cuestión del fundamento jurídico también plantea desafíos a la hora de recopilar datos personales en otros contextos. Por ejemplo, un empleador puede tener un interés legítimo en recopilar datos personales sobre la actividad de los empleados en el sistema informático de la empresa para que una herramienta de inteligencia artificial pueda analizar su productividad. Sin embargo, como se señaló anteriormente, el interés legítimo generalmente debe sopesarse con los derechos de privacidad del individuo. Esto incluye considerar no sólo la información que se recopilará, sino también el método de recopilación de datos. Por ejemplo, un tribunal alemán sostuvo que el interés legítimo de un empleador en monitorear a los empleados mediante el uso de un software de registro de pulsaciones de teclas era superado por los derechos de privacidad de los empleados. El tribunal determinó que el uso de software de registro de teclas, que registra todas las pulsaciones de teclas en una computadora de trabajo para monitorear y controlar de manera encubierta a los empleados, requiere una sospecha de un delito penal u otro incumplimiento grave del deber basado en hechos concretos.
En principio, el consentimiento del empleado podría ser una alternativa al interés legítimo como base legal para recopilar datos de vigilancia sobre los empleados. La mayoría de las leyes de protección de datos permiten el procesamiento de datos personales basándose en el consentimiento. Sin embargo, al menos en el EEE, Brasil y el Reino Unido, el consentimiento generalmente no será una alternativa viable en el contexto laboral. En esos países, las autoridades adoptan la posición de que los empleados, y en algunos casos incluso los solicitantes, generalmente no pueden dar libremente su consentimiento para el procesamiento de datos debido al desequilibrio de poder entre empleados y empleadores.
Restricciones de recopilación de datos en EE. UU. y otros lugares
Como se señaló anteriormente, la ley de protección de datos de EE. UU. en general no ha adoptado el concepto de base legal para el procesamiento de datos personales. En cambio, el derecho consuetudinario de muchos estados protege la información personal en la que los individuos tienen una expectativa razonable de privacidad. Recopilar información que invada esta expectativa razonable, como grabaciones de video subrepticias en oficinas privadas, puede constituir un agravio según el derecho consuetudinario.
Además, varias leyes estadounidenses exigen el consentimiento para recopilar información confidencial, como grabaciones de audio, datos biométricos y datos de ubicación. Otras leyes estadounidenses prohíben la recopilación de cierta información sobre solicitantes y empleados, excepto en situaciones limitadas, por ejemplo, datos genéticos y de salud.
De manera similar, otros países tienen leyes separadas de sus leyes nacionales de protección de datos que limitan la recopilación de información. Por ejemplo, muchos estados de Australia tienen leyes de vigilancia específicas del lugar de trabajo que limitan los tipos de información que se pueden recopilar.
Factores clave a considerar en la recopilación de datos
La cuestión de si un empleador tiene una base legal para recopilar datos personales y procesarlos con IA dependerá generalmente de cuatro factores:
Considerar si el empleador tiene una base legal para la recopilación y el uso de datos personales debería ser el primer paso para evaluar cómo utilizar una herramienta de IA porque el análisis puede mostrar que el empleador simplemente no puede recopilar y/o procesar los datos personales necesarios en algunas jurisdicciones. .
Aviso
Una vez que una empresa ha determinado que puede recopilar y utilizar información personal legalmente, debe considerar cómo notificará a las personas sobre estas prácticas. Prácticamente todas las leyes de protección de datos exigen que una empresa proporcione un aviso sobre cómo procesa los datos personales. La mayoría de los estatutos exigen que los avisos incluyan qué datos se procesan, los propósitos de uso de los datos personales, las partes a las que se divulgan los datos e información sobre cómo ejercer los derechos sobre los datos. Otras divulgaciones requeridas pueden incluir la base legal para el uso de datos personales, detalles sobre transferencias de datos a otros países e información de contacto del responsable de protección de datos de la empresa.
Aviso en las leyes de protección de datos existentes
Cada vez más, las leyes de protección de datos exigen divulgaciones adicionales en determinadas circunstancias sobre cómo la inteligencia artificial procesará los datos personales. Desde que entró en vigor a mediados de 2018, el RGPD exige notificación si el responsable del tratamiento toma decisiones basadas únicamente en un tratamiento automatizado que “produzca efectos jurídicos” o “afecte de manera similar y significativa” al individuo. Es probable que esto incluya la mayoría de las decisiones laborales basadas únicamente en el procesamiento automatizado. En ese caso, la notificación debe describir la lógica involucrada, así como el significado y las consecuencias previstas de dicho procesamiento para el individuo.
Requisitos de notificación adicionales en las nuevas leyes de IA
La Ley de IA de la UE complementa el requisito de notificación del RGPD para las herramientas de IA que funcionan como sistemas de categorización biométrica y sistemas de reconocimiento emocional. Aunque el significado de este último término aún no está del todo claro, potencialmente podría abarcar algunas de las nuevas herramientas de inteligencia artificial que intentan medir el estado emocional de los empleados, por ejemplo, el estado emocional de un empleado de un centro de llamadas basándose en el análisis de su comportamiento durante llamadas.
Las agencias reguladoras estadounidenses y las nuevas leyes estadounidenses han avanzado en una línea similar. Por ejemplo, la Comisión para la Igualdad de Oportunidades en el Empleo ha recomendado que los empleadores que utilizan herramientas de inteligencia artificial informen al menos sobre qué rasgos o características está diseñada para medir la herramienta, los métodos mediante los cuales esos rasgos o características deben medirse y las discapacidades, si las hubiera, que potencialmente podrían reducir los resultados de la evaluación o hacer que el individuo sea excluido.
La innovadora ley de la ciudad de Nueva York sobre el uso de inteligencia artificial para evaluar a empleados y candidatos requiere que las empresas sujetas a la ley proporcionen avisos que expliquen que la empresa utilizará herramientas automatizadas de decisión laboral en relación con la evaluación de dicho empleado o candidato y las calificaciones laborales y características utilizadas en la evaluación.
La UE y Estados Unidos están a la vanguardia en la aprobación de leyes específicas para la IA. Sin embargo, muchos países han propuesto dicha legislación. Por ejemplo, según la LGPD de Brasil, la notificación a las personas debe incluir el derecho del interesado a solicitar la revisión de decisiones totalmente automatizadas. La ley de IA propuesta por Brasil va más allá y exige que la notificación a las personas incluya una declaración de que se utilizará la IA y una explicación de los derechos de las personas. Estos derechos incluirían el derecho a una explicación de la decisión de la IA, el derecho a impugnar la decisión, el derecho a información sobre la participación de un ser humano en la decisión y el derecho a solicitar la corrección de sesgos discriminatorios.
Dadas estas tendencias, esperamos que muchas jurisdicciones aprueben leyes que exijan notificar a las personas que indiquen al menos que el empleador utiliza una herramienta de inteligencia artificial y, muy probablemente, los propósitos de uso, las características evaluadas por la herramienta y alguna explicación de los métodos utilizados. por la herramienta. Por lo tanto, los empleadores globales deberán verificar si hay nuevos requisitos de notificación específicos de IA que complementen los requisitos generales de las leyes de protección de datos aplicables antes de implementar herramientas de IA para fines de administración de recursos humanos.
Evaluaciones de impacto de proporcionalidad y protección de datos
Las leyes de protección de datos generalmente exigen que los controladores de datos procesen datos personales de manera proporcionada, equilibrando los intereses del controlador con los riesgos para el individuo. Para reducir estos riesgos, la mayoría de las leyes de protección de datos exigen una evaluación de impacto de la protección de datos (DPIA) formalizada para las formas de procesamiento de datos de alto riesgo.
Debido al posible impacto en el sustento de un individuo, el uso de IA para evaluar a los solicitantes o empleados probablemente requiera una EIPD según las leyes de protección de datos. Sin embargo, las leyes de protección de datos existentes pueden ser ambiguas en cuanto a si requieren una EIPD porque los criterios para determinar si una EIPD es legalmente requerida depende de una lista de factores. En aparente respuesta a esta ambigüedad, un número creciente de leyes y proyectos de ley sobre IA exigirían explícitamente EIPD para la IA utilizada en el contexto de recursos humanos.
En particular, la próxima ley de IA de la UE se basa en el RGPD al exigir que un empleador lleve a cabo la EIPD del RGPD cuando utilice un sistema de IA para procesar datos personales para reclutar o seleccionar empleados, tomar decisiones sobre contratación, despido y asignación de tareas, o para monitorear y evaluar a los trabajadores. La ley de IA propuesta por Brasil adoptaría un enfoque similar. Al igual que el GDPR, la ley general de protección de datos de Brasil, la LGPD, exige DPIA en ciertos escenarios de alto riesgo. La ley de IA propuesta en Brasil clasifica el uso de IA para la selección de candidatos y el empleo como de alto riesgo. En consecuencia, el proyecto de ley requiere un tipo de EIPD, así como documentación detallada sobre el funcionamiento del sistema y las decisiones involucradas en su construcción, implementación y uso. En Estados Unidos, un primer borrador de reglamento para la Ley de Privacidad del Consumidor de California requeriría una evaluación de riesgos que cubra casi 50 factores si el empleador utiliza “tecnología de toma de decisiones automatizada” para tomar decisiones sobre solicitantes, empleados o contratistas independientes.
China ha adoptado una actitud particularmente protectora. La Ley de Protección de Información Personal de China (PIPL) exige que un manejador de información personal realice una evaluación del impacto de la protección de la información personal antes de usarla para tomar decisiones automatizadas y registrar las actividades de manejo. La PIPL define la “toma de decisiones automatizada” como la actividad de utilizar programas informáticos para analizar o evaluar automáticamente comportamientos, hábitos, intereses o pasatiempos personales, o estados financieros, de salud, crediticios u otros y tomar decisiones al respecto.
El requisito de dicha evaluación también se aplica en otras circunstancias mencionadas en la PIPL, como el manejo de información personal confidencial o la transferencia de información personal al extranjero. La evaluación debe abordar elementos que incluyen: si los propósitos y métodos del manejo son legales, legítimos y necesarios; el impacto sobre los derechos e intereses de los interesados, los riesgos de seguridad; y si las medidas de protección adoptadas son legales, efectivas y apropiadas en función del grado de riesgo.
En consecuencia, antes de implementar una nueva herramienta de IA en el lugar de trabajo, los empleadores multinacionales deberían considerar si deben realizar una EIPD. Cada vez más, la respuesta será sí, y el empleador debería asegurarse de que la EIPD considere los factores prescritos en todas las jurisdicciones pertinentes. Incluso cuando una EIPD no es un requisito legal, los empleadores globales deberían considerar algún tipo de evaluación de los riesgos de implementar la herramienta de IA en el contexto de recursos humanos. Identificar los riesgos antes de la implementación permitirá a la empresa también considerar cómo mitigarlos y si las medidas de mitigación los reducen a un nivel que sea tolerable para el empleador en particular.
Fuente: corporatecomplianceinsight.com
