El Comité Europeo de Protección de Datos dictamina sobre el tratamiento de datos en la inteligencia artificial
23-12-2024 — AR/2024/109
En este dictamen, el Comité detalla cómo debe considerarse el tratamiento de los datos personales en el desarrollo y en el despliegue de los sistemas de inteligencia artificial que traten esos datos.
- Compartir
- Correo electrónico
El Comité Europeo de Protección de Datos (CEPD o EDPB, por sus siglas en inglés) ha publicado, el 17-12-2024, el Dictamen 28/2024 sobre aspectos de la protección de datos personales relacionados con los tratamientos de los modelos de inteligencia artificial (IA).
Resumimos a continuación los aspectos esenciales del dictamen.
Planteamiento al CEPD
La autoridad irlandesa de protección de datos, Data Protection Commission, solicitó al Comité que emitiera un dictamen sobre el tratamiento de datos personales en las fases de desarrollo y despliegue de modelos de inteligencia artificial, para lograr una homogeneidad en la Unión Europea.
El CEPD responde con este dictamen y aclara que el ámbito de aplicación solo abarca el subconjunto de modelos de IA que se entrenan con datos personales.
Contenido del dictamen
El dictamen examina tres cuestiones que son como una «prueba en tres pasos». Esas cuestiones son:
A) Cuándo y cómo un modelo de IA puede considerarse anónimo
En esta cuestión, el Comité se centra en la situación de los modelos de IA que no están diseñados para proporcionar datos personales relacionados con los datos de entrenamiento.
Las autoridades de supervisión competentes deben:
- evaluar las declaraciones de anonimato de un modelo de IA caso por caso, pues los modelos de IA entrenados con datos personales no pueden considerarse anónimos en todos los casos, y
- considerar que es probable que los modelos de IA requieran una evaluación exhaustiva de la probabilidad de identificación para concluir si pueden considerarse como anónimos.
El dictamen relaciona, como ejemplos, métodos con los que los responsables del tratamiento pueden demostrar el anonimato:
- enfoques de los responsables durante la fase de desarrollo del modelo:
- la selección de fuentes usadas para entrenar al modelo,
- la preparación de los datos y la minimización,
- los métodos para reducir la identificabilidad, y
- los riesgos de extracción de datos;
- auditorías;
- alcance, frecuencia, cantidad y calidad de las pruebas que el controlador ha realizado sobre el modelo, y
- documentación sobre evaluaciones de impacto, medidas técnicas y organizativas.
B) Cómo pueden demostrar los responsables del tratamiento la idoneidad del interés legítimo en las fases de desarrollo y despliegue
Para este paso, el Comité detalla las actuaciones que deben seguir los responsables del tratamiento para justificar el uso del interés legítimo:
- Persecución de un interés legítimo:
- Debe ser lícito, preciso y real.
- Prueba de necesidad:
- Evaluar si el tratamiento es necesario para perseguir ese interés legítimo y si existen alternativas menos intrusivas, siguiendo el principio de minimización.
- Los medios menos intrusivos para los derechos y libertades fundamentales de los interesados pueden variar si el responsable del tratamiento tiene relación directa con los interesados (datos de origen) o no (datos de otras personas).
- Prueba de equilibrio:
- No pueden prevalecer los intereses del responsable sobre los derechos y libertades fundamentales de los interesados, considerando:
- el contexto del tratamiento,
- la naturaleza de los datos tratados (si se tratan datos de categorías especiales, infracciones penales o datos financieros, entre otros), y
- las expectativas razonables de los interesados, teniendo en cuenta si los datos usados son públicos, se han obtenido directamente del interesado o no.
- No pueden prevalecer los intereses del responsable sobre los derechos y libertades fundamentales de los interesados, considerando:
El dictamen también resalta la importancia de medidas mitigadoras de los efectos negativos sobre los derechos fundamentales de los interesados, como las medidas de seudonimización y de transparencia, y para enmascarar datos y facilitar que los interesados ejerzan sus derechos.
C) Cuáles son las consecuencias del tratamiento ilícito de datos personales
El Comité evaluó tres escenarios:
- Supuesto 1: un responsable del tratamiento trata ilegalmente datos personales para desarrollar el modelo, los datos personales se conservan en el modelo y los trata el mismo responsable en el despliegue.
- La licitud del tratamiento posterior depende de si las fases de desarrollo y despliegue tienen fines distintos y hay que evaluarla caso a caso.
- Supuesto 2: un responsable del tratamiento trata ilegalmente datos personales para desarrollar el modelo, los datos personales se conservan en el modelo y los despliega otro responsable.
- El responsable del tratamiento que despliega el modelo debió evaluar que el modelo no se desarrolló con el tratamiento ilícito de datos personales, como obligación propia para demostrar que cumplió con el artículo 5, apartado 1, letra a), y con el artículo 6 del reglamento general de protección de datos2 (RGPD).
- El reglamento de la inteligencia artificial3 exige a los proveedores de sistemas de IA de alto riesgo elaborar una declaración en la que confirmen que ese sistema cumple con la legislación de la UE sobre protección de datos. Aunque esta declaración puede no ser concluyente, puede tenerse en cuenta en la investigación.
- Supuesto 3: un responsable del tratamiento trata ilícitamente datos personales para desarrollar el modelo, pero se asegura de que el modelo sea anonimizado, antes de que el mismo responsable u otro lo despliegue.
- El Comité indica que, si los datos personales se anonimizan, no es aplicable el RGPD al funcionamiento posterior del modelo. Sin embargo, si se tratan nuevamente datos personales durante el despliegue, este tratamiento sí está sujeto al RGPD.
Iniciativas relacionadas
Alertas Relacionadas
-
El Parlamento Europeo aprueba el reglamento de inteligencia artificial
13-03-2024—AR/2024/019