INTRODUCCIÓN
El rápido avance de la Inteligencia Artificial (IA) plantea desafíos significativos para la protección de datos personales. La IA, al requerir grandes volúmenes de datos para aprender y tomar decisiones, se ha convertido en una herramienta fundamental en diversos escenarios. La IA presenta dos aspectos críticos para la privacidad: la adopción de decisiones automatizadas y el aprendizaje continuo del sistema. A medida que la IA se integra en la toma de decisiones, surge la interrogante sobre la compatibilidad entre el desarrollo de la IA y el tratamiento adecuado de los datos personales ya que el procesamiento masivo de datos ha superado la capacidad de las regulaciones actuales, generando riesgos para la privacidad.
Teniendo esto en cuenta, en el presente artículo se pretende ahondar más en esta cuestión y se procede a analizar los diferentes tipos de datos que se pueden procesar, los tipos de tratamientos y la regulación actual en esta materia, haciendo mención a los principios más importantes al respecto.
TIPOS DE DATOS PROCESADOS
En lo que respecta a los sistemas de IA, se pueden diferenciar tres categorías: generales, fuertes y débiles. Las primeras se refieren a aquellos sistemas que resuelven las tareas intelectuales en las mismas condiciones de un ser humano. Las segundas, trascienden las capacidades humanas. Finalmente, las terceras, se focalizan en la búsqueda de soluciones para problemas específicos y definidos.
Por su parte, en cuanto al tipo de datos procesados por los sistemas de Inteligencia Artificial, éstos pueden ser tanto datos íntimos de personas físicas (por ejemplo, datos de preferencia de búsqueda), como datos que de por sí no son personales (como pueden ser los modelos de pronóstico meteorológico). Igualmente, es destacable que en el tratamiento de categorías especiales de datos personales, tal y como indica el artículo 9.2 del Reglamento General de Protección de Datos (RGPD), es necesario un consentimiento expreso de los interesados.
La información que se recopila y procesa, ya sea individual o no, se emplea a la hora de tomar decisiones por los sistemas de IA de dos maneras: o bien asistiendo en la toma de decisiones sin decidir el resultado final (reservada para el ser humano), o bien tomando y ejecutando de manera autónoma la elección.
De esta manera, el procesamiento de datos personales en los sistemas de Inteligencia Artificial se da en dos fases concretas: en la de entrenamiento del algoritmo y en la de uso. En la primera etapa, los datos se utilizan para entrenar al algoritmo, dando lugar a la creación de un modelo como consecuencia de la identificación de patrones y conexiones. En la segunda etapa, el modelo se implementa en el uso específico para el cual se diseñó el sistema con el propósito de ofrecer una predicción y asistir en la toma de decisiones humanas o autónomas.
TIPOS DE TRATAMIENTOS
En cuanto a los tipos de tratamientos de datos personales, según la AEPD, se pueden encontrar los siguientes:
- Entrenamiento:
En el caso de un sistema de IA basado en aprendizaje automático, la utilización de datos personales puede ser parte integral de su desarrollo. Este proceso implica una serie de actividades que incluyen:
En cuanto a los tipos de tratamientos de datos personales, según la AEPD, se pueden encontrar los siguientes:
- Definición, búsqueda y obtención del conjunto de datos de interés.
- Procesamiento de la información.
- División del conjunto de datos para fines de verificación.
- Registro y auditoría de la información para rastreabilidad.
- Validación:
El tratamiento de datos personales puede tener lugar cuando se emplean datos personales reales con el propósito de validar experimentalmente el modelo.
- Despliegue:
En el caso de que la solución proporcionada por el sistema IA se distribuya como un componente para el uso de terceros, existe la posibilidad de que se divulguen los datos personales utilizados en el entrenamiento del modelo o que se obtengan de alguna manera.
- Explotación:
Los tratamientos de datos personales pueden surgir en diversas actividades durante la explotación de una solución de Inteligencia Artificial:
- Inferencia: Uso de datos para obtener resultados, almacenando tanto datos del interesado como inferencias. Excepción doméstica si la IA es propiedad del interesado.
- Decisión: Cualquier decisión tomada por la IA basada en datos personales constituye un tratamiento de dichos datos.
- Evolución: Mejora del sistema de IA mediante datos y resultados de interesados, con posibles comunicaciones de datos a terceros.
- Retirada:
Al finalizar el uso de una solución de IA que ha empleado datos personales, se pueden llevar a cabo procesos para eliminar esos datos de forma local, centralizada o distribuida, además de explorar la posibilidad de transferir el servicio. En todo caso, al interrumpir el uso de la solución de Inteligencia Artificial, es esencial realizar una evaluación del riesgo de reidentificación de los individuos cuyos datos personales se utilizaron.
REGULACIÓN DEL TRATAMIENTO DE DATOS PERSONALES
En España, la Ley Orgánica de Protección de Datos Personales (LOPDGDD) es la encargada de establecer las bases en esta materia y tiene como objetivo principal la protección del derecho de las personas titulares de los datos, facultando a las mismas, de un poder de determinación y supervisión de la manera en que terceros tratan su información personal.
Teniendo esto en cuenta, el precepto que sienta las bases de las obligaciones correspondientes a los responsables y encargados de los datos personales de los sistemas de Inteligencia Artificial es el artículo 28 de la LOPDGDD. De este modo, cuando en un proceso se va a trabajar con datos personales o parecidos, como salvaguarda de los mismos, se deberá de acudir a lo establecido en dicha normativa.
Partiendo de ello, los responsables del tratamiento de datos en los sistemas de Inteligencia Artificial están obligados a respetar y hacer cumplir los principios que se recogen en la Ley de Protección de Datos Personales y son los siguientes:
- Legalidad: Según la LOPDGDD “El tratamiento de los datos personales se realizará acorde a lo estipulado por la ley, con pleno respeto de los derechos fundamentales de sus titulares. Dando lugar a la prohibición de la recolección de datos de forma ilícita o fraudulenta”.
- Consentimiento: Se exige la existencia de un consentimiento explícito o autorización de quien sea el titular de los datos que se vayan a procesar.
- Finalidad: La finalidad del tratamiento de datos no se puede modificar en ningún momento. De este modo, será la que se hubiera establecido en un inicio.
- Proporcionalidad: Se recoge que el tratamiento tiene que ser acorde con la finalidad de la recogida de datos, utilizando la información que sea necesaria sin que pueda exceder en ningún caso.
- Calidad: Se indica que los datos recogidos tienen que ser “verídicos, exactos y adecuados”. De esta manera, su conservación se llevará a cabo garantizando su seguridad y confidencialidad.
- Seguridad: Se debe garantizar la seguridad y la confidencialidad en la administración de los datos personales. Para ello, es preciso que se adopten las medidas de seguridad oportunas.
- Nivel de protección adecuado: Garantía de un nivel de protección suficiente o equiparable a los previsto en la Ley o los estándares internacionales para el flujo transfronterizo de datos personales.
Además de todo ello, es necesario que quienes manejen los datos en nombre de los sistemas de Inteligencia Artificial, al ser considerados terceros, proporcionen información clara sobre cómo tienen previsto la gestión de datos. Para garantizar la transparencia, es crucial que la comunicación sea evidente y concisa, proporcionando a los titulares de datos todos los detalles sobre el procesamiento. Así, la transparencia y la claridad contribuyen a que los sistemas de Inteligencia Artificial sean comprensibles y concisos.
Por último, es necesario hacer mención a otro principio recogido en el RGPD: el principio de responsabilidad proactiva. En este caso, el responsable del tratamiento debe tomar medidas técnicas, legales y organizativas adecuadas para garantizar y demostrar la conformidad con las normas de protección de datos. Esto debe considerar la naturaleza, alcance, contexto y fines del tratamiento, así como los riesgos para los derechos y libertades de las personas naturales, quienes son titulares de datos personales.
Es decir, el responsable del tratamiento debe garantizar el cumplimiento de los principios en el procesamiento de datos personales, desde la obtención hasta la eliminación, exigiendo una actitud consciente y proactiva por parte de las organizaciones en todos los tratamientos de datos.
En definitiva, los sistemas de Inteligencia Artificial que tratan datos personales deben adherirse a las normativas de protección de datos, como el RGPD y la LOPDGDD. Estas normas se resumen en la observancia de los principios de licitud, lealtad, transparencia, minimización y exactitud de datos, así como la integridad, confidencialidad y responsabilidad proactiva.
Además, un sistema de Inteligencia Artificial debe integrar la protección de la privacidad desde su diseño y por defecto. Esto implica cumplir con las obligaciones de la normativa de protección de datos desde las fases iniciales del desarrollo del sistema, priorizando la privacidad de los datos desde el inicio.
Si tienes alguna pregunta o necesitas asesoramiento legal en el ámbito de la Inteligencia Artificial, no dudes en comunicarte con nuestros abogados especializados.
Contamos con un equipo de expertos en Derecho con amplia experiencia en este campo, listos para enfrentar los desafíos legales que la Inteligencia Artificial puede presentar.
Tu tranquilidad y seguridad son nuestra máxima prioridad. No dudes en contactarnos para recibir la orientación que requieras.
Imagen diseñada por Freepik