Incidentes Asociados
El 18 de septiembre, el Fiscal General de Texas anunció un acuerdo con Pieces Technologies, Inc. ("Pieces"), una empresa de investigación y desarrollo de inteligencia artificial (IA) para el sector sanitario con sede en Dallas. Este acuerdo resuelve las acusaciones de que la compañía realizó afirmaciones falsas, engañosas o fraudulentas sobre la precisión de sus productos de IA para el sector sanitario. Según la Fiscalía General de Texas, la compañía promocionó incorrectamente sus productos de IA, lo que podría perjudicar a los pacientes. El acuerdo con Pieces incluye requisitos relacionados con la divulgación de información en relación con la comercialización y publicidad de sus productos o servicios, prohibiciones contra tergiversaciones (incluida la independencia de un avalista o revisor de un producto o servicio comercial) y obligaciones de documentación sobre usos potencialmente perjudiciales de sus productos o servicios.
Este acuerdo es notable por varias razones. En primer lugar, refuerza la posición de la Fiscalía General de Texas como organismo regulador al que las empresas de IA deben prestar atención en lo que respecta a cuestiones relacionadas con los datos. Esta es la última de una serie de acciones relacionadas con la privacidad por parte de dicha fiscalía, y parece probable que Texas se vuelva aún más activo en el futuro. En segundo lugar, añade a los fiscales generales estatales a la lista de reguladores que las empresas de IA deben tener en cuenta al desarrollar e implementar sus productos (además de la Comisión Federal de Comercio (FTC), que ha sido bastante activa en estos temas) (https://www.ftc.gov/news-events/news/press-releases/2024/09/ftc-announces-crackdown-deceptive-ai-claims-schemes). Finalmente, destaca que el riesgo de cumplimiento normativo relevante en el ámbito de la IA (al igual que ocurre con las acciones de cumplimiento de la privacidad en general) será mayor para las empresas cuyos productos están diseñados para capturar información sensible como parte de su desarrollo.
En este artículo, resumimos el acuerdo alcanzado por Pieces e identificamos las conclusiones clave del mismo. Para mantenerse al día sobre las novedades más importantes en la legislación estatal sobre privacidad, suscríbase al Blog sobre Derecho de Privacidad y Ciberseguridad de WilmerHale (https://www.wilmerhale.com/en/insights/blogs/wilmerhale-privacy-and-cybersecurity-law).
I. Resumen de la demanda
La demanda alega que Pieces realizó declaraciones falsas, engañosas o confusas sobre una serie de métricas y puntos de referencia que pretendían demostrar la alta precisión de los resultados de sus productos de IA generativa. El Fiscal General de Texas sostuvo que las declaraciones de Pieces violaban la Ley de Prácticas Comerciales Engañosas (DTPA), Código de Comercio de Texas, §§ 17.41-.63. Pieces desarrolla productos de IA para el cuidado de la salud destinados a centros de atención médica hospitalaria. Su oferta de productos incluye documentación clínica autónoma generada por IA. Según el acuerdo, los productos de Pieces están diseñados para que los médicos y el resto del personal médico confíen en ellos para ayudarles a tratar a sus pacientes. Al promocionar sus productos, Pieces afirmó que presentaba un nivel mínimo de alucinaciones, un término utilizado para describir productos de IA generativa que generan resultados incorrectos o engañosos. Otras declaraciones realizadas a posibles consumidores afirmaban que sus productos eran altamente precisos, con una tasa de alucinaciones graves de <0,001 % y <1 por 100.000. Estas afirmaciones llevaron a cuatro importantes hospitales de Texas a proporcionar los datos de salud de sus pacientes a Pieces para obtener resultados de IA que consistían en resúmenes de las afecciones y planes de tratamiento de los pacientes.
El Fiscal General de Texas sostiene que los anuncios de Pieces eran inexactos y podrían haber engañado a los equipos de atención médica sobre la precisión y seguridad de sus servicios para incentivar su negocio. Además, el Fiscal General de Texas explicó que, al realizar declaraciones supuestamente inexactas sobre sus productos al utilizar datos de salud en tiempo real de los pacientes, Pieces puso en riesgo el interés público.
II. Acuerdo Estipulado
Según el acuerdo estipulado, Pieces se compromete a lo siguiente:
Divulgación Clara y Conspicua en Marketing y Publicidad
Pieces debe proporcionar información clara y conspicua en el marketing y la publicidad de sus productos y servicios durante cinco años. La divulgación es obligatoria cuando Pieces realiza declaraciones directas o indirectas sobre métricas, puntos de referencia o mediciones similares que describan los resultados de sus productos de IA generativa. En tales casos, Pieces debe divulgar tanto el significado como la definición de la métrica, punto de referencia o medición similar, así como el método, procedimiento o cualquier otro proceso para calcular la métrica, punto de referencia o medición similar en el marketing o la publicidad de sus productos y servicios. El acuerdo permite una alternativa a este tipo de divulgación si Pieces contrata a un auditor externo independiente cuyos hallazgos respalden las afirmaciones de marketing o publicidad de Pieces.
Prohibición permanente de declaraciones falsas, engañosas o infundadas sobre productos o servicios
Se prohíbe a Pieces realizar declaraciones falsas sobre un producto o servicio en relación con su precisión, metodologías de prueba, procedimientos de monitoreo, definiciones o significado de las métricas y el uso de datos. El acuerdo también prohíbe engañar a los consumidores o usuarios sobre la precisión, funcionalidad, propósito o cualquier otra característica de sus productos, u omitir acuerdos financieros o similares de las personas que participan en las promociones de productos o servicios.
Requisito de divulgación de cualquier uso potencialmente perjudicial o indebido de productos o servicios
El acuerdo exige que Pieces divulgue a los consumidores cualquier uso o uso indebido perjudicial o potencialmente perjudicial conocido de sus productos o servicios. Pieces deberá documentar el tipo de datos o modelos utilizados para el desarrollo de sus productos y servicios, explicar el propósito previsto de sus productos y servicios y Divulgar cualquier limitación conocida o razonablemente conocible de sus productos o servicios, incluyendo los riesgos para pacientes y profesionales sanitarios derivados del uso del producto o servicio, como el riesgo de lesiones físicas o financieras en relación con la información inexacta de un producto o servicio; divulgar posibles usos indebidos que puedan aumentar el riesgo de información inexacta o de daños; y proporcionar a los usuarios información para prevenir el uso indebido del producto o servicio.
III. Conclusiones clave
1. Las empresas de IA que procesan datos sensibles deben ser especialmente cuidadosas con el escrutinio regulatorio.
No sorprende que esta acción coercitiva se haya aplicado contra una empresa que procesaba datos sanitarios sensibles de consumidores. Los datos sensibles (incluidos los datos sanitarios) han sido un área de interés para los reguladores en lo que respecta a las acciones de cumplimiento relacionadas con la privacidad en los últimos años. Parece probable que las empresas de IA que procesan datos sensibles como parte del desarrollo e implementación de sus productos sean un área de especial interés para los reguladores.
2. Los Fiscales Generales de los Estados también se preocupan por la IA.
La FTC ha estado muy activa en temas de IA en los últimos años, tanto a través de sus acciones de cumplimiento como de sus documentos de orientación. Esta acción de cumplimiento por parte de la Fiscalía General de Texas demuestra que las empresas de IA también tienen que lidiar con los fiscales generales estatales. En cierto modo, los estados pueden ser más complejos para las empresas de IA, dado que varios de ellos cuentan con leyes estatales de privacidad integrales que les imponen obligaciones afirmativas en cuanto a cómo se les permite usar los datos personales (lo que puede afectar a los datos disponibles para el entrenamiento de IA).
3. Los reguladores buscan transparencia, fiabilidad y rendición de cuentas de las herramientas de IA que tienen acceso a datos personales.
Las empresas que anuncian y comercializan la precisión de los productos de IA deberían esperar una mayor supervisión regulatoria. Es probable que los reguladores se centren en las empresas de IA que tienen acceso a datos personales de alto riesgo. En los casos en que los datos sanitarios, incluida la información personal altamente confidencial, estén en riesgo, las empresas de IA que los manejan deben ser veraces, precisas y responsables de cualquier declaración. Al mismo tiempo, las empresas con acceso a datos personales que contratan a proveedores con herramientas de IA deben investigar exhaustivamente a dichos proveedores para asegurarse de que cumplan con los estándares de práctica.