El uso de tecnologías de Inteligencia Artificial por parte de las empresas ofrece un amplio abanico de oportunidades de mejora y agilidad en la gestión de procesos y prestación de servicios.
La normativa europea de protección de datos interviene en el uso de estas tecnologías protegiendo los derechos de las personas, en particular, el derecho fundamental a la protección de datos, pero en ningún caso, obstaculizando el progreso que ofrece el uso de las tecnologías de Inteligencia Artificial.
El 17 de diciembre de 2024 se ha aprobado un dictamen sobre el uso de datos personales para el desarrollo y la implantación de modelos de IA por parte del Comité Europeo de Protección de Datos (CEPD) [edpb_opinion_202428_ai-models_en.pdf]. El objetivo de la aprobación de este dictamen es el de armonizar la normativa a nivel europeo. Para ello, este dictamen se ha centrado en dar respuesta a tres cuestiones principales donde confluyen el Reglamento Europeo de Inteligencia Artificial (RIA) i el Reglamento General de Protección de Datos (RGPD). Estas cuestiones son:
- Modelos de IA anónimos
El dictamen ofrece un listado de métodos para demostrar el anonimato. Asimismo, considera que para definir un modelo de IA como anónimo se debe atender a cada caso en particular. Y tener en cuenta como cuestiones clave el grado de dificultad en identificar directa o indirectamente a las personas interesadas y la probabilidad de extraer datos personales directa o indirectamente.
- Uso de la base legal del interés legítimo en el uso de IA
Es sabido que el uso del interés legítimo como base legal para el tratamiento de datos personales ya requiere, de acuerdo con el RGPD, de ciertas medidas previas de ponderación y evaluación.
En este caso, el dictamen establece que se deben considerar tres pasos para evaluar el uso del interés legítimo como base jurídica aplicable. Estos pasos estarán basados en identificar dicho interés legítimo, analizar la necesidad del tratamiento de los datos y realizar un test de ponderación de los intereses del Responsable y los derechos de las personas interesadas.
- Consecuencias del tratamiento ilegítimo de datos personales en modelos de IA
En este caso se analizan tres escenarios para determinar el impacto que tendría en el despliegue de un modelo de IA el uso ilegítimo de los datos personales. Se debe entender en todo caso que un tratamiento ilegítimo de los datos utilizados conllevaría una afectación a la legalidad del modelo y de su despliegue. A excepción de que los datos utilizados fueran datos anonimizados.
Asimismo, el dictamen también incluye una lista de medidas atenuantes como medidas técnicas y organizativas para reducir la probabilidad de identificación y también medidas para mejorar la transparencia y la defensa de los derechos de las personas interesadas.
La concreción en la regulación de tecnologías de IA y la definición de opiniones unificadas sobre el encaje de esta con normativas, es importante para una implantación y despliegue seguro de estas tecnologías.