Adquisición de bases de datos para proyectos de IA: riesgos legales en Bolivia y la región

Escrito por Madeleem Vargas

INTRODUCCIÓN

La compra de bases de datos para proyectos de inteligencia artificial se ha convertido en una operación estratégica del mercado digital, pero también en una fuente importante de riesgos legales. Las empresas adquieren bases de datos históricas para entrenar, ajustar y validar modelos, sin advertir que junto con los datos pueden adquirir información que vulnera la protección de datos, propiedad intelectual, contratación y cumplimiento regulatorio.

Este problema se agrava si lo contextualizamos en Bolivia y en Latinoamérica, donde la normativa suele ser menos uniforme que la de la Unión Europea. Por ese motivo, una base de datos no debe analizarse como un activo tecnológico, sino como un paquete de derechos y obligaciones. La pregunta jurídica relevante no es si la base existe, sino si el vendedor tenía título suficiente para transferirla, si los titulares fueron informados y si la licencia autoriza su uso para entrenamiento de IA

¿POR QUÉ LOS BANCOS DE DATOS SON TAN VALIOSOS?

Antes de entender por qué la adquisición de las bases de datos representa un riesgo jurídico, debemos comprender por qué son tan valiosas y cómo funcionan. La Unión Europea define bases de datos como recopilaciones de obras, sean literarias, artísticas, musicales o de otro tipo, o de materias tales como textos, sonidos, imágenes, cifras, hechos y datos; que debe tratarse de recopilaciones de obras, de datos o de otros elementos independientes, dispuestos de forma sistemática o metódica y accesibles individualmente. [1]

En palabras más simples es un conjunto organizado de información que puede almacenarse, consultarse y reutilizarse. Una base de datos vale porque permite identificar patrones, reducir incertidumbre y alimentar modelos predictivos con información histórica que ya fue observada en el mercado o en la operación del negocio.

Si hablamos de la Inteligencia Artificial las bases más relevantes suelen ser los historiales de clientes, registros transaccionales, comportamiento digital, textos, imágenes, audios y datos biométricos. La razón por la cual estos bancos son tan valiosos es simple cuando mejor documentados y los datos tengan más contextualización será más útil para que los modelos predictivos o generativos de IA hagan su trabajo.

El ciclo de vida de uso de datos en IA se divide normalmente en: entrenamiento, ajuste fino, validación e inferencia (aprendizaje inicial, especialización, prueba y uso en producción). El entrenamiento sirve para construir el modelo o reforzar su comportamiento a través del fine tuning.

La relevancia de los bancos de datos ingresa en la fase del ajuste fino o fine tuning, el cual se refiere al perfeccionamiento de un modelo de Inteligencia Artifical ya entrenado o de una red neuronal mediante datos adicionales y especializados. Mientras que el modelo original posee un conocimiento general, el ajuste fino permite afinarlo en un ámbito temático especifico[2] .En lugar de crear un modelo desde cero, se aprovecha su base de conocimientos general y se entrena para que domine una tarea, estilo o sector particular

Los datos históricos que se encuentran en los bancos de datos tienen valor porque reflejan patrones reales de conducta, mercado o interacción humana, y por eso suelen ser más útiles que los datos simulados. Además, en muchos casos el costo de generar datos es alto, lento y poco rentable, de esa manera comprar un banco de datos existente se percibe como una vía rápida para acelerar el desarrollo de la IA. El problema es que esa vía rápida representa un riesgo jurídico para las empresas y para los usuarios.

 

¿SI SON TAN BUENOS DONDE ESTÁ EL PROBLEMA?

3.1 Riesgos para la protección de datos

Antes de continuar es necesario explicar brevemente que se entiende por anonimizaciòn y seudonimización. Por un lado la anonimización transforma los datos de modo que no puedan atribuirse a una persona física identificada o identificable; por ello, los datos anonimizados dejan de considerarse datos personales[3]. En cambio, la seudonimización definida en el articulo 4, del GDPR como el tratamiento de datos personales de tal manera que los datos personales ya no puedan atribuirse a un interesado específico sin el uso de información adicional, siempre que dicha información adicional se conserve por separado y esté sujeta a medidas técnicas y organizativas para garantizar que los datos personales no se atribuyan a una persona física identificada o identificable[4]

Con eso en mente se reconoce que el riesgo más evidente es la posible infracción a las normas de protección de datos, bajo la legislación europea, los datos seudonimizados siguen siendo datos personales. Las empresas que utilizan IA generativa deben garantizar que los datos anonimizados sean efectivamente irreversibles y que la reutilización de información para entrenar modelos no comprometa la privacidad de los usuarios.

Esto significa que al momento de realizar la compra de una base de datos, el comprador no puede asumir que una base anonimizada o seudónimo está fuera del alcance regulatorio sin verificar el método empleado. Una anonimización verdadera exige irreversibilidad razonable, si existe una llave, tabla o una posibilidad realista de cruce con otros datos, sigue habiendo tratamiento de datos personales.

Existe la posibilidad de vulnerar los derechos de finalidad, minimización de datos, legalidad, conservación limitada, licitud, consentimiento válido. En caso de que esa información se use para entrenar la IA, aparece un problema adicional, si el dato se recolectó lícitamente para otro propósito, su uso posterior para el entrenamiento puede requerir una nueva evaluación de compatibilidad del consentimiento.

3.2 Datos sensibles y biométricos

Los datos sensibles elevan el riesgo de forma notable, sobre todo si la base incluye biometría, salud, ideología o información que permita inferencias especialmente invasivas. Los casos vinculados a reconocimiento facial muestran que la recopilación masiva de imágenes con fines de identificación puede desencadenar sanciones importantes.

Como lo fue el caso de Clearview donde la autoridad francesa Commission Nationale de l’Informatique et des Libertés (CNIL) ha impuesto una sanción administrativa de 20 millones de euros contra la empresa Clearview AI.[5]

El problema radicó en que mediante la recopilación de imágenes procedentes de sitios web, las redes sociales y vídeos, la empresa Clearview AI ha confeccionado un banco de imágenes que comercializa como un motor de búsqueda de imágenes. A través del reconocimiento facial, este motor de búsqueda permite encontrar a una persona a partir de las fotografías

3.3 Propiedad intelectual

Una base de datos puede estar protegida por derecho de autor si existe originalidad en su selección o estructura, y según la Unión Europea puede también existir protección sui generis si hubo inversión sustancial para su obtención, verificación o presentación.[6]

Esto importa porque comprar acceso material a una base no equivale necesariamente a adquirir el derecho a utilizarla libremente en IA. Si el contrato no autoriza extracción, transformación, combinación, sublicencia o entrenamiento de modelos, el comprador puede estar usando el dataset fuera del alcance pactado

LEGISLACIÓN APLICABLE

4.1 Bolivia

Considerando que “las diferencias de protección jurídica de las bases de datos en las legislaciones de los Estados miembros inciden de forma directa y negativa en (…..)lo que se refiere a las bases de datos y, en particular, en la libertad de las personas físicas y jurídicas”[7]. En Bolivia, la protección de datos se apoya en un marco normativo disperso que comprende la Constitución Política del Estado, la Ley N° 164 de 2011 sobre Telecomunicaciones y Tecnologías de Información y Comunicación, su reglamento mediante el Decreto Supremo N° 1793, y la Ley N° 1080 de 2018 sobre Ciudadanía Digital. En conjunto, estas normas reconocen la privacidad, regulan el tratamiento de datos personales y abordan aspectos vinculados con la identidad digital y los datos biométricos, aunque todavía no configuran una ley integral de protección de datos comparable al GDPR.

4.2       Contexto Latinoamericano y Europeo

Mientras que en Bolivia tenemos una ausencia de normativa, países vecinos como Brasil, Argentina, Uruguay, Chile, Colombia, Perú y México han desarrollado regímenes más estructurados en materia de datos personales, aunque con grados distintos de madurez y sanción. La tendencia latinoamericana es de convergencia hacia estándares inspirados en el modelo europeo, sobre todo en transferencias, derechos de los titulares y exigencias de seguridad.

La Unión Europea proporciona el marco más exigente y más útil como referencia de buenas prácticas en la protección de datos. El Reglamento General de Protección de Datos, GDPR por sus siglas en inglés, impone principios de licitud, minimización, limitación de finalidad, conservación limitada, transparencia e integridad; el AI Act de la Unión Europea constituyen el marco más exigente y el más útil como referencia de buenas prácticas

MITIGACIÓN DE RIESGOS

La mitigación técnica más reconocida en estos contextos es la distinción entre anonimización y seudonimización.  La seudonimización reduce riesgo, pero no elimina la condición de dato personal cuando la reidentificación es posible; la anonimización, si es verdaderamente irreversible, puede sacar el dato del régimen de protección de datos.

La guía del European Data Protection Board de 2025 enfatiza que la seudonimización es útil para la minimización, la protección desde el diseño y la seguridad, pero no sustituye las demás obligaciones del RGPD[8].

CONCLUSIONES

Comprar datos para IA no equivale a adquirir un archivo neutro, equivale a incorporar un conjunto de obligaciones, restricciones y riesgos regulatorios. Los hallazgos centrales de este análisis son cuatro:

Primero, los datos seudonimizados siguen siendo datos personales si pueden reidentificarse; la técnica no sustituye la licitud del tratamiento. Segundo, la reutilización masiva de imágenes o biometría son especialmente sensibles y pueden derivar en sanciones de decenas de millones de euros, como ilustra el caso Clearview AI. Tercero, el preentrenamiento también consume datos con implicaciones regulatorias equivalentes. Cuarto, Bolivia, por carecer de una ley integral de protección de datos, obliga a elevar el estándar de protección al momento de redactar los contratos.

 

La recomendación central para empresas bolivianas y latinoamericanas es adoptar una revisión estructurada en cuatro capas antes de cualquier adquisición iniciando por identificar origen del dato, protección de datos personales, propiedad intelectual y seguridad. Esa revisión debe ir acompañada de contratos que definan expresamente el uso para IA, garantías robustas del vendedor, mecanismos de auditoría, obligaciones de eliminación y reglas sobre transferencias internacionales.

BIBLIOGRAFÍA

[1] Directiva 96/9/CE Protección jurídica de las bases de datos

Organización Mundial de la Propiedad Intelectual. (s. f.). Directiva 96/9/CE del Parlamento Europeo y del Consejo, de 11 de marzo de 1996, sobre la protección jurídica de las bases de datos. WIPO Lex. https://www.wipo.int/wipolex/es/legislation/details/1409

[2] IONOS  Guide digital. Concepto de fine tuning

IONOS. (2025). Fine tuning de IA: así funciona el ajuste fino de los modelos de inteligencia artificial. IONOS Digital Guide. https://www.ionos.com/es-us/digitalguide/servidores/know-how/fine-tuning-de-ia/

[3] European Data Protection Board. (s. f.). Anonymisation/pseudonymisation.

European Data Protection Board. (s. f.). Anonymisation/pseudonymisation. https://www.edpb.europa.eu/topics/ai-and-technology/anonymisationpseudonymisation_en

[4] Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD)

European Parliament & Council of the European Union. (2016). Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD). https://www.boe.es/doue/2016/119/L00001-00088.pdf

[5] Qnister. La autoridad francesa «Commission Nationale de l’Informatique et des Libertés» (CNIL) ha impuesto una sanción administrativa de 20 millones de euros contra la empresa Clearview AI

Qnister. (2023, 8 de octubre). La autoridad francesa Commission Nationale de l’Informatique et des Libertés (CNIL) ha impuesto una sanción administrativa de 20 millones de euros contra la empresa Clearview AI. https://www.qnister.com/es/kunskap/la-autoridad-francesa-commission-nationale-de-l-informatique-et-des-libertes-cnil-ha-impuesto-una-sancion-administrativa-de-20-millones-de-euros-contra-la-empresa-clearview-ai-1

[6] Directiva 96/9/CE del Parlamento Europeo y del Consejo, de 11 de marzo de 1996, sobre la protección jurídica de las bases de datos

Organización Mundial de la Propiedad Intelectual. (s. f.). Directiva 96/9/CE del Parlamento Europeo y del Consejo, de 11 de marzo de 1996, sobre la protección jurídica de las bases de datos. WIPO Lex. https://www.wipo.int/wipolex/es/legislation/details/1409

[7] Directiva 96/9/CE del Parlamento Europeo y del Consejo, de 11 de marzo de 1996, sobre la protección jurídica de las bases de datos

Organización Mundial de la Propiedad Intelectual. (s. f.). Directiva 96/9/CE del Parlamento Europeo y del Consejo, de 11 de marzo de 1996, sobre la protección jurídica de las bases de datos. WIPO Lex. https://www.wipo.int/wipolex/es/legislation/details/1409

[8] European Data Protection Board. (2025). Directrices 01/2025 sobre seudonimización.

European Data Protection Board. (2025). Directrices 01/2025 sobre seudonimización. https://www.edpb.europa.eu/public-consultations/guidelines-012025-on-pseudonymisation_en

European Parliament & Council of the European Union. (2024). Reglamento (UE) 2024/1689, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial. https://www.boe.es/doue/2024/1689/L00001-00144.pdf