‘Ley de Inteligencia Artificial y marketing digital: dónde estamos y qué esperar’, por Paula Ortiz
En septiembre retomamos la columna legal, el espacio mensual para que puedas tener una visión clara y directa sobre las novedades legales que afectan a la publicidad digital en todas sus disciplinas.
El verano no ha dado tregua al sector y ha habido movimientos significativos. Aunque el tema ya ha dado mucho que hablar, no podemos empezar esta columna sin mencionar el anuncio explosivo de Google de mantener las cookies de terceros en Chrome. La decisión de Google deja en el aire las implicaciones en cuanto a cumplimiento normativo, especialmente en un contexto donde nuevas legislaciones, como la Ley de Servicios Digitales, se suman al RGPD para imponer obligaciones más estrictas. Además, las recientes opiniones de las autoridades refuerzan aún más estas restricciones, mientras que alternativas como el addressability y el first party data han ganado terreno en respuesta a estos cambios.
Es precisamente una de esas opiniones de las autoridades que afectan al uso de las cookies, la que también ha protagonizado la atención de la industria publicitaria digital en bloque. Hablamos de la Opinión de las Autoridades Europeas de Protección de Datos (EDPB) sobre la validez del consentimiento en los sistemas de “Consiente o Paga” de las grandes plataformas en la que, recordemos, diseccionaba las diferentes posibilidades para utilizar los muros de cookies, limitaba su uso para las grandes plataformas y de forma indirecta afectaba a todo el ecosistema de medios.
Este mes de julio, varias asociaciones, capitaneadas por IAB Europe, publicaron un Documento de Posición en el que trasladan que esta Opinión no equilibra adecuadamente el derecho a la protección de datos con la libertad de empresa, impone restricciones que podrían afectar la viabilidad comercial de los servicios digitales, y malinterpreta la legalidad de la publicidad personalizada, considerándola ilegal en términos generales. Además, la Opinión ofrece una interpretación sesgada del modelo de ‘Consiente o Paga’, al insinuar que los derechos de protección de datos dependen de un pago. Esta visión no solo choca con la jurisprudencia y las directrices nacionales actuales (entre otras, la AEPD, que permite los muros de cookies siempre que se cumplan ciertas garantías), sino que también desvirtúa la intención de los legisladores de la UE, quienes han optado por mantener la publicidad personalizada dentro del marco legal europeo. La estela expansiva de esta Opinión ha llevado a Meta a demandar al EDPB. Por la importancia y trascendencia de este tema para el sector, trataremos el tema en siguientes artículos.
Pero el gran protagonista de esta temporada es, sin lugar a dudas, el recientemente aprobado Reglamento Europeo de Inteligencia Artificial. Una legislación que ha sido objeto de intensas y ágiles negociaciones y cuya repercusión aún empezamos a comprender.
Y es con este tema crucial con el que arrancamos la temporada, en el que analizaremos cómo podría transformar el panorama de la publicidad digital.
El objetivo principal del Reglamento es establecer un marco que garantice que la IA se desarrolla y utiliza de manera segura, ética y respetuosa con los derechos fundamentales. Esto tiene implicaciones directas para la publicidad digital, un sector que ha adoptado la inteligencia artificial con entusiasmo para múltiples finalidades, pero que deberá revisar si las nuevas exigencias le son de aplicación.
La publicación del Reglamento de IA en el Diario Oficial de la Unión Europea el 12 de julio de 2024 y su entrada en vigor el 2 de agosto marcan el comienzo de los plazos para su aplicación que culminarán el 2 de agosto de 2026, cuando la Ley será completamente aplicable. Sin embargo, algunas de sus disposiciones se aplican de forma más inmediata. Por ejemplo, 6 meses para las prácticas prohibidas o 12 para ciertas normas de gobernanza. Esto nos da una idea de la urgencia con la que la Unión Europea quiere poner orden en el uso de la IA.
Las Unión Europea busca con este Reglamento equilibrar la promoción de la tecnología de IA con la protección de la sociedad, y aplica obligaciones específicas a todos los actores involucrados en su cadena de valor, desde el que desarrolla la tecnología hasta que la despliega o utiliza para sus propios fines. Establece un sistema basado en riesgos que clasifica las aplicaciones de IA en cuatro niveles: riesgo inaceptable, riesgo alto, riesgo limitado y riesgo mínimo. Por ejemplo, un sistema de IA que manipula el comportamiento de las personas sería de riesgo inaceptable y estaría directamente prohibido. Los sistemas de alto riesgo son aquellos que plantean un riesgo significativo de daño para la salud la seguridad o los derechos fundamentales y requieren estrictos controles. Los sistemas de riesgo limitado se imponen requisitos específicos de transparencia. Finalmente, los de riesgo mínimo, como un filtro de spam, que no tendría requisitos adicionales.
El Reglamento incluye una serie de obligaciones para cada uno de estos escenarios y es de especial importancia el relativo a las obligaciones de transparencia para ciertos sistemas de IA, independientemente de su nivel de riesgo. Estas obligaciones se aplican principalmente a sistemas que interactúan directamente con las personas o que pueden influir en su comportamiento. El Reglamento exige que los usuarios sean informados claramente cuando están interactuando con un sistema de IA, especialmente en casos como chatbots o cuando el contenido haya sido generado por IA y con especial relevancia en los casos de contenido deepfake o manipulación de imágenes y videos.
Además, la normativa introduce penalizaciones significativas para quienes no cumplan con estas nuevas reglas y que superan ampliamente las del Reglamento General de Protección de Datos, ya que pueden llegar a 35 millones de euros o el 7 % del volumen de negocio mundial (respecto al 4% o 20 millones del RGPD).
El Reglamento Europeo de IA no menciona explícitamente el marketing digital. No obstante, como nos podemos imaginar, el uso de la misma en el entorno Mar Tech tiene implicaciones en diferentes vertientes (protección de datos, propiedad intelectual, fraude…). En lo que se refiere al uso de datos, el Reglamento de IA se remite al Reglamento General de Protección de Datos en muchos casos, ya que esta legislación ya cubre y regula la mayoría de los riesgos asociados. El Reglamento de IA se refiere a la creación de perfiles como actividades de alto riesgo. Esto podría incluir herramientas de perfilado avanzado, algoritmos de toma de decisiones automatizadas y sistemas de predicción de comportamientos futuros. Estos sistemas no estarán prohibidos, pero, dependiendo de las funcionalidades y de los usos sí pueden estar bajo un escrutinio más estricto y deberán cumplir con requisitos adicionales antes de poder ser utilizados como requisitos de transparencia y supervisión humana.
Otra cuestión pendiente de resolver es el impacto del uso de la IA generativa para la creación de contenido en el entorno publicitario, en términos de transparencia con el usuario y en los debates actualmente abiertos sobre si el contenido generado puede registrarse, puede infringir derechos de terceros, o si puede perpetuar sesgos.
Por estas y otras cuestiones, que iremos tratando en más profundad, la aplicación de herramientas de IA para fines de marketing y publicidad requerirá de ajustes en el cumplimiento por parte de los profesionales legales del marketing. Pero hoy más que nunca, estar al tanto de las normativas no es solo tarea del equipo legal, si no una obligación para cualquier CEO y directivo. Comprender el entorno regulatorio es clave para tomar decisiones estratégicas que no solo cumplan con la ley, sino que impulsen la innovación y el crecimiento. El conocimiento de la normativa por parte de la alta dirección, es lo que separará a las empresas líderes de las que solo reaccionan.