¿Transformación digital + IA > ciberataques?
La entrada en vigor de la Ley que promueve el uso de la inteligencia artificial1, (IA) así como de la implementación de la Política Nacional de Transformación Digital2, son un claro recordatorio sobre el impacto que la innovación tecnológica ha generado en nuestro país que busca además colocar a la ciberseguridad como una prioridad.
Como sabemos, al igual que la disrupción digital, los ciberataques dirigidos a organizaciones y usuarios -que ocasionan brechas de datos de cualquier clase crecen en volumen y complejidad, por lo que es necesario buscar que la inteligencia artificial tenga como propósito: (i) prevenir e identificar amenazas; (ii) detectar ciberataques mediante un sistema que permita la trazabilidad al interior de la organización; y, en consecuencia, (iii) pueda generar procesos de respuesta a estos ciberataques a fin de evitar reincidencias.
Ahora bien, sin perjuicio de lo ya señalado, no se debe perder de vista que la IA podría ser susceptible a fallos (aún como mecanismo de seguridad) o que la calidad de los datos pudiera generar sesgos en los resultados, impactando negativamente en el negocio. En ese sentido, resulta imperativo que se logren diseñar dispositivos legales con mecanismos preventivos que mitiguen los riesgos generados por el uso de dicha tecnología, así como alternativas de solución ante posibles controversias. Todo ello sin limitar el uso de esta importante herramienta, y buscando que la IA se convierta en aliada y no en obstáculo.
En esa línea, conviene mencionar que si bien nuestra regulación en materia de privacidad -Ley de protección de datos personales y su reglamento no establece la obligatoriedad de comunicar a la Autoridad Nacional de Protección de Datos
Personales las filtraciones indebidas y/o brechas de seguridad de datos personales, aun cuando sea probable que constituyan un riesgo para los derechos y libertades de las personas; lo cierto es que las referidas normas sí disponen que los titulares de bancos de datos deban adoptar e implementar de manera efectiva medidas de seguridad de índole técnica, legal y organizativa que garanticen el uso adecuado de los datos.
Así, de encontrarnos ante una eventual amenaza de filtración y/o brecha de datos generada por un ciberataque, será importante (i) verificar con qué clases de medidas de seguridad cuenta la organización, lo cual permitirá a su vez (ii) determinar el tipo de amenaza o, en su defecto, el alcance de la filtración, así como (iii) confirmar los tipos de datos comprometidos en la brecha. Todo ello permitirá finalmente (iii) documentar las medidas adicionales que debe adoptar la organización para mitigar este incidente y futuros eventos de similar naturaleza.
Por Camila Mallqui, asociada del área de Competencia.
Publicado en la revista Columnas del estudio edición n°213.
1 Ley N° 31814 – Ley que promueve el uso de la inteligencia artificial en favor del desarrollo económico y social del país, publicada en el Diario Oficial El Peruano el 05/07/2023.
2 Decreto Supremo N° 085-2023-PCM, que dispuso aprobar la Política Nacional de Transformación Digital al 2030, publicado en el Diario Oficial El Peruano el 28/07/2023.
