Dra. Mathilde Pavis, Directora Jurídica de OpenOrigins – Serie de Entrevistas

Dra. Mathilde Pavis, Directora Jurídica de OpenOrigins, es una experta líder en regulación de inteligencia artificial y gobernanza de medios digitales, especializada en deepfakes, medios sintéticos y procedencia de contenido. Asesora a empresas, gobiernos y sindicatos sobre cumplimiento, licencias y riesgos en inteligencia artificial generativa, y ha trabajado con Microsoft y ElevenLabs en política y estrategia de inteligencia artificial. También ha asesorado a la UNESCO sobre inteligencia artificial y propiedad intelectual, y contribuye regularmente con pruebas de expertos a los formuladores de políticas del Reino Unido.

OpenOrigins desarrolla tecnología para combatir la desinformación y los deepfakes creando registros verificables y a prueba de manipulaciones de contenido digital. Su plataforma se centra en establecer una procedencia clara, lo que permite a los medios, creadores y plataformas demostrar cuándo y cómo se creó, editó y distribuyó el contenido —una capacidad cada vez más crítica a medida que los medios sintéticos se vuelven más avanzados y difíciles de detectar.

Ha asesorado a gobiernos, instituciones globales como la UNESCO y empresas como Microsoft y ElevenLabs sobre regulación de inteligencia artificial. ¿Qué la llevó a centrarse específicamente en deepfakes, réplicas digitales y medios sintéticos, y cómo ese viaje dio forma a su decisión de fundar Replique?

Mi trabajo en deepfakes no comenzó con la tecnología —comenzó con un rompecabezas jurídico mucho más antiguo. Cuando comencé a investigar propiedad intelectual para mi doctorado en 2013, me sorprendió lo mucho menos protegida que está la protección de los intérpretes en comparación con autores, compositores o cineastas. En la práctica, significa que tus palabras o tu música terminan mejor protegidas en la ley que tu voz, tu rostro y tu cuerpo. Esa falta de equilibrio me pareció extraña, y me llevó a hacer una pregunta más profunda: ¿cómo valoramos cultural y legalmente el trabajo de alguien cuya contribución es su rostro, voz y cuerpo en pantalla?

Esa pregunta me llevó a los derechos de los intérpretes y los datos. En ese momento, se consideraba un área de nicho con poca relevancia comercial. Me aconsejaron activamente que me mudara a campos más “rentables” como patentes o derechos de autor tradicionales. El supuesto era que los problemas relacionados con la semejanza de una persona o su voz se gestionaban en gran medida de forma informal —a través de normas de la industria o “acuerdos de caballeros en Hollywood”. Pero para mí, esa falta de protección formal señaló una brecha, no un callejón sin salida para mi investigación, así que seguí con ella.

Lo que ha cambiado es que hoy en día, casi todos son intérpretes. Nuestras vidas están mediadas por cámaras —en teléfonos, portátiles, videollamadas y plataformas sociales. Ya sea para trabajar o para uso personal, las personas están grabando y compartiendo versiones de sí mismas constantemente. Las cuestiones jurídicas que antes se aplicaban principalmente a actores o músicos ahora se aplican a cualquiera con un teléfono inteligente.

Los deepfakes no crearon estos problemas —los expusieron y los aceleraron. La investigación que estaba haciendo desde 2013 en adelante se volvió urgente. Alrededor de 2017 y 2018, los desarrollos en redes neuronales —particularmente en lugares como MIT y UC Berkeley— comenzaron a demostrar cómo se podía manipular digitalmente de manera convincente el rostro, la voz y el cuerpo de una persona. Dentro de un año, esa capacidad se conoció ampliamente como “deepfakes”, y primero ganó tracción en formas profundamente dañinas, especialmente a través de contenido sexual no consensuado que apuntaba a mujeres y niños.

Más tarde surgieron las implicaciones comerciales, a medida que las industrias creativas comenzaron a adoptar medios sintéticos. Eso es cuando las cuestiones contractuales y económicas en las que había estado trabajando pasaron a ser el centro de atención. Casi de la noche a la mañana, lo que había sido visto como un área de derecho en gran medida teórica o doctrinal se convirtió en un campo práctico, comercialmente significativo y socialmente urgente.

En su núcleo, el desafío jurídico no ha cambiado: las personas quieren compartir aspectos de sí mismas, pero aún retener un control significativo. Los marcos existentes luchan con esa sutileza. Tienen tendencia a tratar a los individuos como si fueran completamente privados o completamente públicos —ya sea protegidos o de dominio público. Pero la mayoría de las personas existen en algún lugar intermedio. Esa tensión ahora es central no solo para los intérpretes profesionales, sino para cualquier persona que participe en la vida digital.

Me convertí en alguien que investigaba y trabajaba en este espacio, lo que me llevó a trabajar con gobiernos interesados en proteger a las personas contra los deepfakes, y con empresas que querían hacer que los productos de clonación digital sean seguros para usar, como ElevenLabs. En Replique, llevo todo lo que he aprendido a las personas y empresas que desean usar tecnología de clonación digital o réplica digital de manera responsable y segura. Básicamente, convertí mi investigación “de cielo azul” en un negocio asesor que brinda asesoramiento legal especializado a las industrias creativas.

Como Directora Jurídica de OpenOrigins, una empresa centrada en establecer un registro inmutable de la procedencia del contenido para combatir los deepfakes, ¿cómo ve la competencia o el reemplazo de los enfoques tradicionales de detección de deepfakes por sistemas basados en procedencia?

Comparar herramientas de detección de deepfakes puede convertirse rápidamente en un ejercicio de comparar manzanas y naranjas, porque su efectividad depende del contexto y el propósito. Desde una perspectiva de política, lo que necesitamos es una serie de herramientas complementarias —no hay una sola “mejor” solución, y OpenOrigins es solo una parte de ese ecosistema más amplio. Donde la tecnología de OpenOrigins se destaca como una solución de detección de deepfakes es en situaciones en las que un creador de contenido o una organización de información necesita demostrar la autenticidad del contenido que comparte con socios, audiencias o el público.

Al proporcionar procedencia verificable y “recibos” en el momento de la creación, ofrece una forma sólida de prevención al demostrar que el contenido no es un deepfake. Sin embargo, este enfoque es menos útil para los usuarios de Internet cotidianos que desean evaluar rápidamente el contenido que encuentran en línea. En esos casos, la detección depende más de métodos probabilísticos y de análisis de contenido que de verificación basada en procedencia. Necesitamos diferentes herramientas para diferentes necesidades, y debemos aceptar que no hay una bala de plata contra los deepfakes.

Desde un punto de vista jurídico, ¿cuál es actualmente la brecha más grande en la forma en que las jurisdicciones están manejando el consentimiento y la propiedad en contenido generado o replicado por inteligencia artificial?

Oof, ¿cuánto tiempo tiene? Las respuestas dependen de lo que entendemos por contenido generado o replicado por inteligencia artificial. Los problemas varían si nos estamos refiriendo a una imagen generada por inteligencia artificial de una casa o un gato. O a una recreación digital de la cara o la voz de una persona. Centrémonos en el tema de los deepfakes y las réplicas digitales, y respondamos a su pregunta en el contexto de la “clonación digital”.

En cuanto al consentimiento, el problema principal es que la mayoría de los contratos —ya sean acuerdos de empleo o términos de plataforma— contienen cláusulas amplias y vagas que otorgan derechos extensivos sobre el contenido del usuario. Estas pueden interpretarse como una forma de “consentimiento de puerta trasera” donde acceder a los términos puede considerarse como consentir usos como la clonación, aunque la mayoría de las personas disputarían enérgicamente esa interpretación. Esto crea una brecha significativa entre la interpretación jurídica y la expectativa del usuario, una brecha que actualmente beneficia a las empresas mientras la regulación se queda atrás.

En cuanto a la propiedad, no hay una respuesta jurídica clara sobre quién posee una réplica digital, porque los marcos existentes como la protección de datos, los derechos de autor y los derechos de personalidad no fueron diseñados para esta tecnología. Hoy en día, la mayoría de las personas son escaneadas y clonadas en el trabajo, a petición y con la financiación de un empleador o un cliente. Y esas entidades suelen esperar un alto grado de control sobre ese activo, lo cual es comprensible pero a menudo problemático porque ese activo es una imitación digital de su rostro o su voz, y puede hacer que diga cosas que nunca ha dicho, o haga cosas que nunca ha hecho.

La pregunta de “¿quién posee su clon?” es muy importante, pero no tiene respuesta en la ley hoy en día.

Ha trabajado estrechamente en tecnologías de clonación de voz. ¿Cuáles son los riesgos legales más malentendidos cuando se trata de voces sintéticas, tanto para las empresas como para los individuos?

El problema más malentendido en la cumplimiento legal es el equilibrio entre el interés comercial de una empresa en financiar y explotar una réplica digital, y el derecho de un individuo a la privacidad y la dignidad digital. Esta tensión se encuentra en varios regímenes jurídicos (primariamente propiedad intelectual, protección de datos y privacidad) que nunca fueron diseñados para operar juntos e interpretan la clonación de maneras fundamentalmente diferentes. Como resultado, traducir esto en prácticas laborables y amigables para los negocios es complejo y a menudo poco claro. Las empresas, por lo tanto, pasan por alto los riesgos clave o incurren en costos significativos para navegarlos adecuadamente. Eso crea un resultado perverso donde el cumplimiento responsable se convierte en el camino más difícil y costoso, en lugar del camino predeterminado.

¿Cómo deberían pensar las empresas sobre la arquitectura del consentimiento en los sistemas de inteligencia artificial, especialmente cuando se trata de semejanza, identidad y datos de entrenamiento?

Las empresas deben diseñar sus sistemas alrededor de tres capacidades básicas. Primero, necesitan asegurar el consentimiento informado y contextual en el proceso de incorporación. Segundo, deben hacer que sea fácil para los usuarios retirar ese consentimiento y eliminar algunos o todos sus datos, algo que es técnicamente desafiante y a menudo pasado por alto, pero esencial para el cumplimiento de leyes como el Reglamento General de Protección de Datos del Reino Unido y la Unión Europea y regímenes similares en los Estados Unidos. Mantener el consentimiento a lo largo del tiempo significa construir sistemas donde la retirada sea operativamente suave y esté alineada con el modelo de negocio.

El consentimiento debe ser granular. Y tercero, los usuarios deben poder gestionar permisos al nivel de archivos individuales, actualizar sus datos de semejanza y comprender cómo se están utilizando. Eso requiere transparencia y control —herramientas que permitan a los usuarios monitorear, revisar y moderar cómo se despliegan sus réplicas digitales. Este nivel de flexibilidad es aún raro, pero es donde se encuentra la ventaja competitiva.

En su experiencia asesorando tanto a startups como a gobiernos, ¿dónde está la desconexión más grande entre cómo se está construyendo la inteligencia artificial y cómo se está regulando?

La desconexión entre cómo se construye la inteligencia artificial y cómo se regula se reduce a misiones fundamentalmente diferentes. Los gobiernos regulan en el interés público, mientras que las empresas de inteligencia artificial (a menudo respaldadas por capital de riesgo) están impulsadas principalmente por el crecimiento, los ingresos y las ganancias. Esas prioridades no siempre entran en conflicto, pero frecuentemente tiran en direcciones diferentes, con la regulación vista como una restricción en lugar de un apoyo.

Esto crea una tensión estructural: los reguladores y los innovadores operan con diferentes incentivos, valores y incluso lenguajes. Eso hace que el alineamiento sea difícil en la práctica, incluso si no es imposible. Estamos empezando a ver una nueva ola de empresas de tecnología que se alinean más estrechamente con los objetivos del interés público, pero siguen siendo la excepción en lugar de la regla —especialmente entre aquellas que escalan con éxito.

OpenOrigins se centra en verificar el contenido en el momento de la creación utilizando la procedencia criptográfica. ¿Cuán crítico es este enfoque de origen en comparación con las salvaguardias posteriores a la distribución?

Esto se remonta a mi respuesta anterior. Autenticar el contenido en la creación, “río arriba” es mucho más efectivo que tratar de verificarlo en el punto de distribución o incluso consumo, es decir, “río abajo”. Autenticar el contenido en la creación es como rastrear los alimentos desde el momento en que se cultivan en la granja, en lugar de tratar de averiguarlo por lo que está en su plato. Si sabes dónde se crió el pollo, cómo se manejó y cómo se movió a través de la cadena de suministro, puedes confiar en lo que comes. Si, en cambio, estás tratando de inferir todo eso solo mirando el plato terminado, estás confiando en conjeturas. Es lo mismo con discernir entre contenido creado por humanos y contenido generado por inteligencia artificial en línea: la procedencia en la fuente te da una garantía verificable, mientras que la detección aguas abajo es inherentemente más incierta y reactiva.

¿Qué papel ve para los estándares como C2PA en el futuro de los medios, y son suficientes por sí solos para restaurar la confianza en línea?

C2PA es una iniciativa bienvenida, y en muchos sentidos apoya el mismo movimiento hacia la autenticidad del contenido que OpenOrigins. Son una parte importante del ecosistema de seguridad y autenticidad del contenido. Como con cualquier herramienta de ciberseguridad, no hay bala de plata.

Para los creadores y el talento en industrias como el cine, la música y los juegos, ¿qué pasos prácticos deben tomar hoy para protegerse de la replicación digital no autorizada?

Los artistas hoy enfrentan dos riesgos distintos: la replicación de su trabajo (como la música, las imágenes o la escritura) y la replicación de su semejanza, incluyendo su rostro, voz y cuerpo. Con una entrada mínima, los sistemas de inteligencia artificial ahora pueden reproducir ambos con un alto grado de fidelidad. En términos prácticos, la protección comienza con ser deliberado sobre lo que se comparte en línea, reconociendo que cualquier contenido publicado puede ser extraído y utilizado en conjuntos de datos de entrenamiento, a menudo sin consentimiento claro o visibilidad.

Ese riesgo es ahora una realidad básica de operar en línea. Pero el riesgo más inmediato y controlable a menudo yace en los contratos. Los acuerdos que los artistas hacen con sus colaboradores, distribuidores o plataformas pueden incluir cláusulas que permiten el uso, reuso o reventa de contenido para fines de entrenamiento —frecuentemente sin una participación significativa en los ingresos posteriores.

Para los artistas, esto hace que la revisión del contrato sea crítica. Entender cómo se puede utilizar, licenciar o reproducir su trabajo y semejanza es ahora tan importante como el proceso creativo en sí. Gran parte del debate actual (en sindicatos, organismos industriales y plataformas) se centra en corregir este desequilibrio y asegurar que los creadores retengan tanto el control como una compensación justa.

Así que dos consejos clave: tenga cuidado con lo que comparte en línea, y lea sus contratos y busque cláusulas de inteligencia artificial antes de firmar.

Mirando hacia adelante tres a cinco años, ¿cree que llegaremos a un punto en el que cada pieza de contenido digital debe llevar una procedencia verificable, o la confianza permanecerá fragmentada en plataformas y jurisdicciones?

Me gustaría decir sí, pero realistamente, no —no dentro de cinco años. En tecnología, cinco años se siente como un largo plazo; en términos de cambiar el comportamiento y los hábitos de los usuarios, es muy corto. La mayoría de los consumidores es poco probable que basen sus decisiones en si el contenido viene con procedencia autenticada. Las plataformas tienden a seguir la demanda del usuario, optimizando para la participación en lugar de la procedencia.

Eso podría cambiar si la regulación interviene. Ya estamos viendo los primeros movimientos en lugares como California, donde están surgiendo requisitos de etiquetado y moderación, pero escalar eso a nivel global tomará tiempo —probablemente más cerca de una década que de cinco años.

Otra área de cambio es sectorial: industrias como el periodismo, las finanzas, los seguros y la atención médica pueden comenzar a requerir procedencia y autenticación porque la confianza es fundamental para sus operaciones.

Por último, los consumidores pueden no cuidar la información de procedencia en el corto plazo, pero probablemente se preocuparán por la calidad del contenido y la calidad de la información. Si el contenido generado por inteligencia artificial se vuelve demasiado homogéneo o “insípido”, las audiencias pueden comenzar a valorar más explícitamente el contenido creado por humanos. Eso podría impulsar una segmentación del mercado, con algunas plataformas priorizando la escala y el contenido generado por inteligencia artificial, y otras curando para la autenticidad, la procedencia y el material liderado por humanos de alta confianza —pero ese cambio sigue siendo desconocido.

Gracias por sus grandes respuestas, los lectores que deseen aprender más deben visitar OpenOrigins.