Bruselas, 18 de diciembre – El Comité Europeo de Protección de Datos (CEPD) ha aprobado un dictamen* sobre el uso de datos personales para el desarrollo y la implantación de modelos de IA. El presente dictamen examina 1) cuándo y cómo pueden considerarse anónimos los modelos de IA, 2) si y cómo puede utilizarse el interés legítimo como base jurídica para desarrollar o utilizar modelos de IA, y 3) qué sucede si se desarrolla un modelo de IA utilizando datos personales tratados ilegalmente. También considera el uso de datos de primera y tercera parte.
El dictamen fue solicitado por la Autoridad Irlandesa de Protección de Datos (DPA) con el fin de lograr una armonización normativa a escala europea. A fin de recabar aportaciones para este dictamen, que trata de las tecnologías en rápida evolución que tienen un impacto importante en la sociedad, el CEPD organizó un acto con las partes interesadas y mantuvo un intercambio con la Oficina de IA de la UE.
El presidente del CEPD, Talus, ha declarado: «Las tecnologías de IA pueden aportar muchas oportunidades y beneficios a diferentes industrias y ámbitos de la vida. Necesitamos asegurarnos de que estas innovaciones se realicen de manera ética, segura y de una manera que beneficie a todos. El CEPD quiere apoyar la innovación responsable en materia de IA garantizando la protección de los datos personales y respetando plenamente el Reglamento General de Protección de Datos (RGPD).»
En cuanto al anonimato, el dictamen dice que las APD deben evaluar caso por caso si un modelo de IA es anónimo. Para que un modelo sea anónimo, debe ser muy poco probable (1) identificar directa o indirectamente a las personas cuyos datos se utilizaron para crear el modelo, y (2) extraer dichos datos personales del modelo a través de consultas. El dictamen proporciona una lista no preceptiva y no exhaustiva de métodos para demostrar el anonimato.
Con respecto al interés legítimo, el dictamen ofrece consideraciones generales que las APD deben tener en cuenta cuando evalúen si el interés legítimo es una base jurídica adecuada para el tratamiento de datos personales para el desarrollo y la implantación de modelos de IA.
Una prueba de tres pasos ayuda a evaluar el uso del interés legítimo como base jurídica. El CEPD ofrece ejemplos de un agente de conversación para ayudar a los usuarios y el uso de la IA para mejorar la ciberseguridad. Estos servicios pueden ser beneficiosos para las personas y pueden basarse en el interés legítimo como base jurídica, pero solo si se demuestra que el tratamiento es estrictamente necesario y se respeta el equilibrio de derechos.
El dictamen también incluye una serie de criterios para ayudar a las APD a evaluar si las personas pueden esperar razonablemente ciertos usos de sus datos personales. Estos criterios incluyen: si los datos personales estaban o no a disposición del público, la naturaleza de la relación entre la persona y el responsable del tratamiento, la naturaleza del servicio, el contexto en el que se recopilaron los datos personales, la fuente de la que se recopilaron los datos, los posibles usos posteriores del modelo y si las personas son realmente conscientes de que sus datos personales están en línea.
Si la prueba de sopesamiento muestra que el tratamiento no debe tener lugar debido al impacto negativo en las personas, las medidas de mitigación pueden limitar este impacto negativo. El dictamen incluye una lista no exhaustiva de ejemplos de tales medidas atenuantes, que pueden ser de carácter técnico, o facilitar a las personas el ejercicio de sus derechos o aumentar la transparencia.
Por último, cuando se desarrolla un modelo de IA con datos personales tratados ilegalmente, esto podría tener un impacto en la legalidad de su despliegue, a menos que el modelo haya sido debidamente anonimizado.
Teniendo en cuenta el alcance de la solicitud de la APD irlandesa, la gran diversidad de modelos de IA y su rápida evolución, el dictamen pretende ofrecer orientaciones sobre diversos elementos que pueden utilizarse para llevar a cabo un análisis caso por caso.
Además, el CEPD está elaborando actualmente directrices que abarcan cuestiones más específicas, como el raspado de páginas web.
Nota para los editores:
*Un dictamen con arreglo al artículo 64, apartado 2, aborda una cuestión de aplicación general o produce efectos en más de un Estado miembro.