Es indiscutible el rol que la tecnología cumple hoy día en nuestra vida y como, a partir del avance tecnológico, el cambio de paradigmas nos desafía permanentemente. Cuando nos acostumbrábamos a integrar a nuestra cotidianidad la inteligencia artificial (IA), en instrumentos como el internet de las cosas o el machine learning, surge a través de Open IA el ya famoso Chat GPT o IA generativa y con ella un nuevo comienzo.

Ahora existen redes neuronales que además de pensar como humanos generan contenido, siendo asombrosa la rapidez con la que mejoran los sistemas que replican el trabajo humano. Tan impactante es la IA generativa que algunos de los nombres más importantes de la tecnología solicitaron a los laboratorios de inteligencia artificial que detengan el entrenamiento de los sistemas de IA más poderosos durante al menos seis meses, citando "riesgos profundos para la sociedad y la humanidad".

Frente a esta revolución tecnológica, como operadores del derecho ¿cómo deberíamos abordar esta situación? ¿existen guías para el uso de la IA? ¿Cuál es la política que Uruguay asumirá? ¿Y la ciberseguridad?

Con estos desafíos e interrogantes, Uruguay está avanzando en la adopción de normas que regulen la gran casuística que el uso de la inteligencia artificial, y la digitalización traen consigo. En el presente, desarrollaremos sucintamente las novedades regulatorias en materia de inteligencia artificial y ciberseguridad en Uruguay.

a) Uruguay adhirió a la Recomendación de ética de la UNESCO promoviendo un uso de la IA “responsable”:

Uruguay fue uno de los primeros países en ratificar su intención de implementar la Recomendación sobre la ética de la Inteligencia Artificial de la UNESCO, adhiriendo a dicha recomendación el pasado 8 de junio de 2023, con el ánimo de promover un enfoque integral del uso responsable de la inteligencia artificial.

La adhesión a esta Recomendación viene de la mano con la “Estrategia Nacional de IA” que está llevando adelante la Agencia de Gobierno Electrónico y Sociedad de la Información de Uruguay (AGESIC), desarrollada con el fin de promover el uso responsable de la Inteligencia Artificial en el sector público, definiendo principios generales que guíen el uso de esta tecnología.

Dentro del elenco de principios, se destacan los de (i) finalidad; (ii) interés general; (iii) respeto de los Derechos Humanos; (iv) transparencia; (v) responsabilidad; (vi) ética; (vii) valor agregado; (viii) privacidad por diseño; y (ix) seguridad. Esta estrategia, lanzada en el año 2021, se encuentra actualmente en proceso de revisión por parte de la AGESIC, con el fin de proponer acciones efectivas tras el avance de esta tecnología, incorporando así una visión ética a la nueva Estrategia de IA en línea con la Recomendación de UNESCO.

Cabe destacar, asimismo, que el pasado 11 de agosto se publicó el primer Índice Latinoamericano de Inteligencia Artificial (el “Índice”), elaborado por el Centro Nacional de Inteligencia Artificial de Chile, con el apoyo del BID, la CAF, la OEA y con la asistencia técnica UNESCO y el HAI de Stanford; que mide los ecosistemas de desarrollo e innovación basados en IA, la gobernanza de esta tecnología, las brechas existentes entre países y las mejores prácticas adoptadas por distintos estados y organizaciones.

En dicho Índice, Uruguay fue ubicado en el tercer puesto, obteniendo un puntaje muy alto en las dimensiones de investigación, desarrollo y adopción.

b) La Ley de Rendición de Cuentas propone hacer foco en la Inteligencia Artificial, Ciberseguridad y Sandbox Regulatorio:

En línea con lo detallado y con la conciencia política que existe en Uruguay relacionada a este tema, el Proyecto de Ley de Rendición de Cuentas que se encuentra actualmente en análisis del Parlamento uruguayo trae noticias para el ecosistema tecnológico.

Se incluye dentro del articulado varios artículos atinentes a la inteligencia artificial, la ciberseguridad, así como también la creación de los llamados “sandbox regulatorios”.

I. Inteligencia Artificial

El artículo 65 del Proyecto establece que se dará a la AGESIC el cometido de diseñar y desarrollar una estrategia nacional de datos e inteligencia artificial fundada en una gestión responsable de los datos y rendición de cuentas en los ámbitos público y privado, así como promover las iniciativas de regulación correspondientes.

Sumado a ello, y en tanto en el uso de sistemas de inteligencia artificial se utilizan datos personales, se establece que será preceptiva la actuación conjunta con la Unidad Reguladora y de Control de Datos Personales (URCDP).

La inclusión de este artículo se encuentra motivada en que, si bien la AGESIC posee amplias competencias en procesos de transformación digital, no cuentan a la fecha con una competencia específica para el desarrollo de la estrategia prevista. En tal sentido, se plantea como necesidad la definición de estrategias comunes tanto para el sector público como privado, con énfasis en el uso responsable de los datos.

Gran novedad regulatoria, ya que el manejo de los datos en los sistemas de inteligencia artificial resulta un punto ampliamente relevante, y es necesario velar por un uso responsable de la información personal en el desarrollo de estas tecnologías.  

II. Ciberseguridad

En el ámbito de la ciberseguridad, se prevé (i) la imposición de nuevas obligaciones a las entidades públicas y privadas vinculadas a servicios críticos del país (ii) dotar de mayores potestades a la AGESIC en la materia, otorgando poderes de fiscalización y sancionatorios; (iii) la creación del Registro Nacional de Incidentes de Ciberseguridad, que será administrado por la AGESIC; (iv) la atribución a la AGESIC del cometido de desarrollar, promover la implantación y monitorear una Estrategia Nacional de Ciberseguridad.

En lo que refiere a las nuevas obligaciones para las entidades públicas y privadas, se destacan:

• La obligación de adoptar medidas de seguridad eficaces para proteger sus activos de información críticos de conformidad con los lineamientos indicados por la AGESIC.
• Designar un responsable de Seguridad de la Información y comunicarlo a AGESIC.
• Planificar la adopción de las medidas necesarias para mitigar y mejorar los controles existentes en la materia, y adoptar las medidas de prevención.
• Informar de forma completa e inmediata la existencia de un potencial incidente de ciberseguridad, de conformidad con los criterios establecidos por el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy), y poner a disposición toda la información que le sea requerida por éste.
• Incorporar, en función de su nivel de madurez, el Marco de Ciberseguridad desarrollado por AGESIC.

Por su parte, en lo atinente a las potestades que se conferirían a la AGESIC en esta área, se destaca que se la faculta a adoptar las siguientes medidas con respecto a las entidades que incumplan con las obligaciones antes referidas:

• requerir el ajuste de los procedimientos a la normativa vigente en materia de ciberseguridad en los plazos que se definan por AGESIC;
• requerir el cumplimiento de medidas específicas para la prevención de riesgos vinculados al sector de la entidad;
• requerir informaciones complementarias vinculadas a la ocurrencia de incidentes de seguridad, las medidas adoptadas y a la aplicación de la normativa en materia de ciberseguridad en general;
• apercibir, considerando la gravedad o reiteración del incumplimiento por parte de la entidad.

Finalmente, y en relación al Registro Nacional de Ciberseguridad, allí se ingresarán los datos técnicos y antecedentes vinculados a los incidentes de ciberseguridad denunciados, además de los informes elaborados por el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy).

Ante la creación de dicho registro, se prevé que las entidades públicas y las entidades privadas vinculadas a servicios o sectores críticos del país deberán comunicar la ocurrencia de incidentes de ciberseguridad a la AGESIC en un plazo de veinticuatro horas de conocido y complementar la información necesaria para el registro efectivo a la brevedad.

III. Sandbox regulatorio

Finalmente, y con el objetivo de potenciar el incremento de proyectos innovadores en nuestro país, se plantea proveer un entorno de pruebas con condiciones específicas, y donde las reglas del juego se encuentren específicamente determinadas previo al inicio del proyecto.

De esta manera, el Proyecto establece en su artículo 66 que la AGESIC podrá promover la creación de entornos controlados de pruebas con el objetivo de poner en práctica proyectos tecnológicos de innovación en ámbitos definidos con entidades interesadas.

En este sentido, se prevé que previo a la ejecución de dichos proyectos, deberá contarse con el asesoramiento de un Comité Técnico Intersectorial específico, y determinar la responsabilidad de entidades administradoras, protocolos de actuación preceptivos, y mecanismos de fiscalización y rendición de cuentas, con la participación del sector público, el sector privado y la sociedad civil organizada.

c) La Ciberseguridad en el Sistema Financiero y de Pagos:

El Banco Central del Uruguay (BCU) no se ha quedado atrás en lo que a ciberseguridad respecta, estando dentro de su Hoja de Ruta del Sistema de Pagos para los años 2023-2025, la creación de un marco rector de ciberseguridad en el país, alineado al Sistema Nacional de Pagos.

Para la creación del mismo, el BCU se encuentra trabajando intensamente junto con la AGESIC, llevando adelante el proyecto para desarrollar una nueva versión del marco de ciberseguridad creado por la AGESIC y su guía de implementación con enfoque en el Sistema Nacional de Pagos.

Sobre la base de las características del mercado local, el BCU ha optado por enfocar el trabajo, en una primera instancia, en las Instituciones Emisoras de Dinero Electrónico, habiendo convocado a integrantes de las entidades reguladas.

En este sentido, actualmente se encuentra el BCU trabajando junto con las entidades convocadas, habiéndose planteado compromisos a asumir por las partes se focalizan en los siguientes pilares fundamentales:

• Fortalecimiento de la Educación Financiera, en tanto se considera al cliente como parte del proceso de prevención de fraude. Por tanto, a mayor educación se logra una mayor prevención.    
• Mejora continua en materia de detección y monitoreo de fraudes. Dado el entorno dinámico, y en particular de los fraudes cibernéticos se propone continuar con la mejora continua en materia de detección y monitoreo de fraudes. El tema se aborda desde dos ópticas, la prevención y la acción.
• Establecimiento de canales de comunicación e intercambio de información entre entidades, mediante una Red Colaborativa. A tales efectos, se plantea formalizar, a través de la redacción de un acuerdo marco de colaboración, los términos y condiciones del intercambio de información entre entidades del sistema que contenga: (i) capacidad de contactar de manera oportuna con otras entidades, (ii) capacidad de compartir experiencias de diferentes incidentes de seguridad; (iii) prever la retroalimentación de: mejores prácticas, tecnologías emergentes, políticas de seguridad. Asimismo, se plantea la posibilidad de realizar comunicaciones entre las entidades intervinientes en tiempo real.
• Desarrollo de un marco legal y/o fortalecimiento del marco normativo aplicable. En tal sentido, se realizan propuestas normativas en torno a dos ejes centrales, el análisis del bloqueo de cuentas y el relevamiento del secreto bancario en casos de fraude, a los efectos de brindar mayor agilidad en la respuesta así como para brindar garantías a las entidades para su uso.

Estas novedades nos impulsan a continuar reflexionando respecto a los desafíos que la tecnología y su uso en nuestro día a día traen consigo. Consideramos que los avances regulatorios planteados sembrarán un terreno fértil para el desarrollo de nuevos proyectos que impulsen el ecosistema tecnológico en nuestro país, no perdiendo de vista la protección de los derechos fundamentales de los ciudadanos y el uso transparente y responsable que la IA nos trae como desafío.