Por: Carlos A. Ferreyros Soto
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
El impacto general de los sistemas de inteligencia artificial (IA) en las empresas, los gobiernos y la economía global es un tema de actualidad. Esto no es sorprendente, considerando que se cree que la IA tiene el potencial de generar cambios radicales y sin precedentes en la forma en que las personas viven y trabajan. El potencial transformador de la IA se origina en gran medida de su capacidad para analizar datos a gran escala y para detectar e internalizar patrones y correlaciones en esos datos que los humanos (o algoritmos totalmente deterministas) tendrían dificultades para identificar. En términos más simples: las IA modernas prosperan especialmente si se las puede entrenar con grandes volúmenes de datos y cuando se las usa en relación con grandes volúmenes de datos.
El presente documento ha sido publicado por la Oficina de Publicaciones de la Unión Europea, Graux, H., Gryffroy, P., Gad-Nowak, M. y Boghaert, L., cuyo título original en inglés es:The role of artificial intelligence in processing and generating new data : an exploration of legal and policy challenges in open data ecosystems, Oficina de Publicaciones de la Unión Europea, 2024. El enlace al texto original se encuentra en: https://data.europa.eu/doi/10.2830/412108
Se incluye la traducción del inglés al castellano (págs. 5 a 24, del total de 62 que contiene el estudio) realizada por el suscrito con la ayuda del aplicativo Google Translator.
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@hotmail.com
____________________________________________________________
Una introducción al impacto potencial de los sistemas de inteligencia artificial en los ecosistemas de datos abiertos
- Inteligencia artificial y ecosistemas de datos abiertos
El impacto general de los sistemas de inteligencia artificial (IA) en las empresas, los gobiernos y la economía mundial es un tema de actualidad. Esto no sorprende, considerando que se cree que la IA tiene el potencial de generar cambios radicales y sin precedentes en la forma en que las personas viven y trabajan.
El potencial transformador de la IA se origina en gran medida en su capacidad de analizar datos a gran escala y de detectar e internalizar patrones y correlaciones en esos datos que los humanos (o algoritmos totalmente deterministas) tendrían dificultades para identificar. En términos más simples: las IA modernas prosperan especialmente si se las puede entrenar con grandes volúmenes de datos y cuando se las utiliza en relación con grandes volúmenes de datos.
Un ejemplo muy visible de este proceso es la popularidad actual de los sistemas de inteligencia artificial «generativos» (AIS), que son capaces de generar textos, imágenes, vídeos u otros datos aparentemente nuevos a petición del usuario. Lo hacen analizando patrones en grandes volúmenes de datos de entrada (textos, imágenes y vídeos preexistentes), a partir de los cuales deducen patrones comunes. A partir de entonces, basándose en las indicaciones de los usuarios, pueden generar nuevos resultados que reproducen las características de los datos de entrada. Los sistemas de chat de inteligencia artificial generativa han sido ampliamente adoptados por el mercado y permiten generar respuestas de texto rápidas que pueden confundirse fácilmente con respuestas humanas cualificadas. Existen sistemas comparables para salidas de imágenes y vídeos.
Debido a estas características, existe una estrecha relación inherente entre la IA y los datos abiertos. En comparación con otras técnicas informáticas, las IA tienen una capacidad notable para extraer información de grandes conjuntos de datos y producir nuevos resultados útiles; pero para que funcionen de manera eficaz, son esenciales conjuntos sustanciales de datos accesibles, que se puedan utilizar como material de capacitación. La accesibilidad y el uso gratuito de grandes volúmenes de datos son dos de las principales características de los datos abiertos. En otras palabras: los ecosistemas de datos abiertos pueden convertirse -y tal vez ya lo sean- en el material de origen que necesitan las IA de alto rendimiento.
Para que los sistemas de IA (AIS) funcionen correctamente, son necesarios los siguientes tres factores críticos, conocidos como las tres V.
- Volumen de datos: la IA requiere cantidades significativas de datos para su entrenamiento.
- Variedad de datos: las diversas fuentes de datos mejoran las capacidades de la IA y reducen el riesgo de sesgos.
- Veracidad de los datos: unos datos de entrenamiento incorrectos darán como resultado un mal rendimiento, por lo que la veracidad de los datos es crucial.
Las fuentes confiables juegan un papel en la determinación de la calidad de los datos.
Los datos abiertos pueden ayudar a satisfacer estas condiciones previas. Si se considera a la comunidad de datos abiertos, la fiabilidad de las fuentes de datos ayudará a satisfacer el requisito de veracidad. En resumen, los ecosistemas de datos abiertos tienen el potencial de ayudar a construir IA confiables al proporcionar un repositorio de datos de entrenamiento utilizables; e inversamente, la comunidad de datos abiertos puede beneficiarse de las IA al usarlas como una herramienta para rastrear grandes conjuntos de datos y obtener información que de otro modo no sería fácilmente evidente. De esta manera, la combinación de IA y datos abiertos tiene el potencial de revolucionar los ecosistemas de datos, permitiendo la innovación y facilitando la toma de decisiones informada.
Inteligencia artificial y derechos fundamentales
- Introducción
Sin lugar a dudas, las IA han inaugurado una nueva era, transformando el tejido de nuestra sociedad con sus capacidades transformadoras. Desde la mejora de la eficiencia económica mediante procesos simplificados y costos reducidos hasta la habilitación de avances en la investigación, la facilitación del transporte autónomo y el suministro de energía a electrodomésticos inteligentes, la amplitud de oportunidades que presentan las tecnologías basadas en IA es ilimitada. De hecho, estas innovaciones son un faro de esperanza y ofrecen una ayuda inestimable para abordar algunos de los desafíos más urgentes de nuestro tiempo. Sin embargo, en medio de su promesa hay una advertencia crucial: el potencial de impactos significativos, y a veces catastróficos, tanto en los derechos individuales como en el bienestar social, si se implementan sin la debida consideración de los derechos humanos fundamentales. Con su capacidad para acumular grandes cantidades de datos personales, las IA pueden tener un impacto significativo en los derechos individuales. Estos impactos abarcan varias áreas de preocupación, incluida la autonomía personal, la libertad de expresión y la prevención de la discriminación. Entre los innumerables impactos de la IA, la privacidad y la protección de datos surgen como los pilares gemelos más propensos a verse afectados por los avances tecnológicos de la IA.
A medida que profundizamos en las complejidades del procesamiento de datos personales por parte de los SIA, se hace cada vez más imperativo establecer una comprensión integral del marco legal más amplio que rige la protección de datos dentro de la Unión Europea. Esta base es crucial para comprender las complejidades detalladas y los riesgos potenciales que implica la intersección de la IA con los derechos fundamentales.
- Marco de derechos fundamentales
Los derechos fundamentales representan un conjunto de derechos humanos inherentes y legalmente protegidos que son esenciales para mantener la dignidad, la igualdad y la libertad. En el contexto europeo, los derechos fundamentales abarcan un amplio espectro de dimensiones civiles, políticas, económicas y sociales. Estos derechos garantizan diversos aspectos de la existencia humana, incluidos el derecho a la vida y la integridad, la libertad y la seguridad, la privacidad, la libertad de expresión y de religión, la educación, la no discriminación y la igualdad ante la ley. Son la piedra angular de las sociedades democráticas, ya que garantizan que las personas puedan vivir con autonomía y con respeto a su dignidad humana. El marco de los derechos fundamentales en Europa se sustenta en varios elementos clave. En su núcleo se encuentra la Carta de los Derechos Fundamentales de la Unión Europea (la Carta), que codifica la amplia gama de derechos y libertades garantizados a todas las personas en la Unión Europea. La Carta, junto con el Convenio Europeo de Derechos Humanos, tiene un peso jurídico significativo y sirve como fuente principal de la legislación y la política de derechos fundamentales en la UE. Este marco se fortalece además con los instrumentos internacionales de derechos humanos, como la Declaración Universal de Derechos Humanos (1948) y las principales convenciones de derechos humanos de las Naciones Unidas, que ofrecen orientación y normas adicionales.
Si bien la IA puede afectar a varios derechos fundamentales (como la autonomía personal individual o el derecho a no ser discriminado), la importancia de sus amenazas a la privacidad y los datos personales surge en particular debido a la gran dependencia de la IA de los datos. En la Sección 3, proporcionamos una descripción general del marco legal para la protección de datos en la Unión Europea. Una comprensión básica de este marco es crucial para entender la interacción entre la aplicación de la IA y el derecho fundamental a la privacidad y la protección de los datos personales.
- La privacidad y la protección de datos como derecho fundamental en Europa
A lo largo de la historia, diversas civilizaciones han reconocido la importancia de la privacidad personal y la protección de datos. A lo largo de los siglos, las sociedades han desarrollado conceptos cada vez más sofisticados sobre la privacidad y la protección de datos, que reflejan la evolución de las normas culturales y los avances tecnológicos. Las civilizaciones antiguas, como el Imperio Romano, tenían leyes que protegían la confidencialidad de la correspondencia y enfatizaban el valor de la comunicación privada. De manera similar, la Carta Magna, firmada en 1215, estableció principios de derechos y libertades individuales, sentando las bases para los conceptos modernos de privacidad y protección de datos. Durante el período de la Ilustración, pensadores como John Locke y Jean-Jacques Rousseau enfatizaron la importancia de la autonomía individual y el derecho a la privacidad en sus escritos filosóficos. Estas ideas influyeron en la redacción de los marcos legales modernos, incluida la Cuarta Enmienda de la Constitución de los Estados Unidos, que protege contra registros e incautaciones irrazonables. En el siglo XX, los horrores de los regímenes totalitarios pusieron de relieve la necesidad crítica de contar con salvaguardas contra la intrusión del gobierno en la vida privada, lo que llevó a la inclusión de protecciones de la privacidad en instrumentos internacionales de derechos humanos como la Declaración Universal de Derechos Humanos. Estos precedentes históricos demuestran la importancia perdurable de la privacidad como derecho humano fundamental en diferentes culturas y épocas. En la era digital, con la proliferación de tecnologías basadas en datos, las preocupaciones sobre la privacidad y la protección de datos se han vuelto más pronunciadas, lo que ha impulsado esfuerzos legislativos en todo el mundo para salvaguardar los derechos de las personas en un mundo cada vez más interconectado y centrado en los datos.
A lo largo de la historia europea, los datos personales y la privacidad se han considerado derechos inherentes, profundamente arraigados en el tejido social. Estos principios encuentran expresión en dos sistemas complementarios de protección de los derechos fundamentales: el Convenio Europeo de Derechos Humanos del Consejo de Europa y la Carta de los Derechos Fundamentales de la Unión Europea y los tratados de la UE.
Marco jurídico del Consejo de Europa
Aunque el derecho a la privacidad no está explícitamente definido como un derecho independiente en el Convenio Europeo de Derechos Humanos (CEDH), su protección está consagrada en el artículo 8(1). Esta disposición salvaguarda el derecho de todos al respeto de su vida privada y familiar, su domicilio y su correspondencia. Cualquier interferencia gubernamental con estos derechos debe estar justificada y ser proporcionada. Dado el amplio alcance del procesamiento de datos personales en la actualidad, a menudo se cruza con el derecho a la privacidad de una persona, tal como se articula en el artículo 8(1) del CEDH.
Además, el Consejo de Europa dio un paso histórico en 1981 al ratificar el Convenio para la protección de las personas con respecto al tratamiento automático de datos de carácter personal, conocido como el «Convenio 108′. Este acuerdo fundamental, actualizado en 2018, es una piedra angular de la protección de datos en Europa.
El Convenio 108 tiene por objeto defender los derechos y las libertades fundamentales de las personas, con especial énfasis en el derecho a la privacidad, en el contexto del tratamiento automatizado de datos personales. Al abordar los desafíos que plantean los avances tecnológicos, el Convenio 108 refuerza el compromiso del Consejo de Europa de salvaguardar los derechos a la privacidad en un mundo cada vez más digitalizado.
Marco jurídico de la Unión Europea
Dentro del marco jurídico de la Unión Europea, un amplio conjunto de normas primarias y secundarias desempeñan un papel fundamental en la protección de la información personal.
Entre las normas primarias, las consagradas en la Carta revisten especial importancia. Este documento fundacional dedica una atención considerable a la materia, con dos artículos dedicados a ella. El artículo 7 de la Carta subraya la importancia de respetar la vida privada y familiar, así como la santidad de las comunicaciones y el entorno doméstico. Como complemento, el artículo 8 sirve como sólida salvaguardia, ofreciendo protección explícita de los datos personales, una notable distinción con respecto al CEDH, que carece de un artículo dedicado a la protección de datos. Cabe destacar que el artículo 52(3) de la Carta tiene por objeto establecer la coherencia entre el CEDH y la propia Carta, especificando que cuando los derechos de la Carta se alinean con los protegidos por el CEDH, su interpretación y alcance reflejan los de este último.
Además de la legislación primaria, la Unión Europea refuerza la protección de los datos personales mediante legislación secundaria. El camino hacia la legislación de datos de la UE comenzó en 1995 con la adopción de la Directiva 95/46/CE, conocida como la Directiva de protección de datos. Esta directiva sentó las bases para la legislación posterior, incluida la Directiva 2002/58/CE, comúnmente conocida como la Directiva de privacidad electrónica , que aborda el procesamiento de datos personales y la protección de la privacidad en el sector de las comunicaciones electrónicas. Cabe destacar que en 2016, la UE implementó el conocido Reglamento general de protección de datos (RGPD), un avance histórico en la legislación de protección de datos, que entró en plena aplicación a partir de mayo de 2018. Las leyes nacionales de los Estados miembros de la UE complementan aún más este marco, garantizando que se defiendan y respeten los derechos fundamentales tanto a nivel europeo como nacional. Juntos, estos elementos forman un marco integral diseñado para proteger los derechos y la dignidad de las personas dentro de la Unión Europea y fuera de ella.
Reglamento general de protección de datos
El RGPD representa un hito importante en la regulación de la protección de datos, ya que establece un nuevo estándar para
los derechos de privacidad y la rendición de cuentas en la era digital. Se trata del marco más completo y detallado hasta la fecha que rige la recopilación, el almacenamiento y el procesamiento de datos personales. En esencia, el RGPD establece obligaciones estrictas para las entidades que determinan los fines y los medios del procesamiento de datos (responsables del tratamiento de datos) y para las entidades que prestan servicios (encargados del tratamiento de datos), al tiempo que otorga derechos específicos a las personas, conocidas como titulares de los datos. Al establecer reglas claras y salvaguardas sólidas, tiene como objetivo fomentar la confianza en el manejo de datos personales, mejorando en última instancia la privacidad y la protección de datos de las personas dentro de la Unión Europea.
Antes del RGPD, las leyes de protección de datos en la Unión Europea estaban fragmentadas y variaban según los Estados miembros, lo que generaba incoherencias y lagunas en la protección. El RGPD pretendía armonizar estas leyes y mejorar los derechos de privacidad de las personas en toda la UE. Su objetivo general era empoderar a las personas para que tuvieran un mayor control sobre sus datos personales y garantizar que las organizaciones que manejaban dichos datos lo hicieran de manera responsable y transparente. Una de las características definitorias del RGPD es su alcance extraterritorial, lo que significa que se aplica no solo a las organizaciones que operan dentro de la UE, sino también a las que están fuera de la UE y procesan datos de residentes de la UE. Este alcance ampliado garantiza que la protección de los datos personales no esté limitada por fronteras geográficas, lo que refleja la naturaleza global de los flujos de datos en la era digital.
Dada la gran dependencia de la IA de los datos, muchos de los cuales pueden ser de naturaleza personal, resulta imperativo que los desarrolladores e implementadores de sistemas de información sobre inteligencia artificial (IA) cumplan estrictamente las normas y obligaciones estipuladas por el RGPD. Los datos personales son útiles en varias etapas del desarrollo de los sistemas de información sobre inteligencia artificial, incluidos el entrenamiento, la prueba y la validación de los modelos de IA. Durante la implementación, los datos personales pueden servir como información para realizar predicciones sobre las personas. Además, los resultados producidos por los sistemas de información sobre inteligencia artificial pueden considerarse en sí mismos datos personales, como se observa en escenarios como la derivación de la puntuación de riesgo de una persona de desarrollar una enfermedad particular en función de su historial médico, patrones de estilo de vida y predisposiciones genéticas. Además, ciertos modelos de IA pueden consistir inherentemente en datos personales, lo que hace que dichos datos sean indispensables para su funcionamiento eficaz (por ejemplo, en los sistemas de reconocimiento facial, el modelo de IA se basa en grandes conjuntos de datos que contienen imágenes de rostros de personas; sin acceso a dichos datos personales, el modelo de IA carece de la base necesaria para realizar su función prevista de manera eficaz). Por lo tanto, garantizar el cumplimiento del RGPD se vuelve primordial no solo en el manejo de datos personales utilizados como entrada o generados como salida, sino también en el diseño y la estructura fundamentales de los SIA donde los datos personales forman una parte intrínseca de los mismos.
El RGPD se aplica de manera uniforme a todos los métodos de procesamiento de datos personales. Sin embargo, las complejas operaciones inherentes a los SIA introducen complejidades únicas. Si bien el RGPD proporciona un marco integral para la protección de los datos personales, la naturaleza dinámica y evolutiva del desarrollo de la IA presenta desafíos específicos para la defensa de sus principios. Por lo tanto, un examen exhaustivo de estos principios es esencial para comprender las complejidades y los obstáculos que enfrentan los desarrolladores de IA para garantizar el cumplimiento en este panorama en rápida evolución.
Esta sección profundiza en los principios fundamentales del RGPD y explica las dificultades de cumplirlos dentro del ámbito dinámico y desafiante de la IA.
Principios del RGPD
Los principios relativos al tratamiento de datos personales se enumeran y explican en el artículo 5 del RGPD, y se explican a continuación.
Legalidad,
El principio en general
Este principio, consagrado en el artículo 5(1), punto (a), del RGPD, estipula que el tratamiento de datos debe ser lícito , justo y transparente para el interesado. En primer lugar, las organizaciones deben tener una base legítima para tratar datos personales. El tratamiento es lícito solo cuando se lleva a cabo en virtud de uno o más de los motivos legítimos enumerados en el artículo 6(1) del RGPD:
- el consentimiento del interesado;
- la necesidad de celebrar o ejecutar un contrato;
- la necesidad de cumplir con una obligación legal;
- la protección de los intereses vitales del interesado;
- el cumplimiento de una misión realizada en interés público o en el ejercicio de la autoridad oficial;
- el interés legítimo del responsable del tratamiento o de un tercero.
Aunque los seis elementos enumerados proporcionan una base legal válida para el procesamiento de datos, los dos en los que se confía con más frecuencia son el primero y el último (es decir, el consentimiento y el interés legítimo).
El segundo aspecto fundamental del principio en cuestión se refiere a la obligación de los responsables del tratamiento de comunicar de forma transparente a las personas la forma en que se utilizan sus datos, lo que se conoce comúnmente como tratamiento de datos. Los responsables del tratamiento tienen el mandato de mantener la transparencia y la integridad en sus relaciones con los interesados, absteniéndose de cualquier forma de desinformación o engaño. Tienen la responsabilidad de proporcionar a los interesados información detallada de conformidad con los artículos 12 y 13 del RGPD. Esto implica revelar la finalidad del tratamiento de los datos, la duración del almacenamiento, los derechos concedidos a los interesados, las categorías de datos personales implicados, el origen de los datos recopilados si proceden de fuentes externas, la presencia de procesos automatizados de toma de decisiones, incluida la elaboración de perfiles, además de proporcionar información sustancial sobre la lógica subyacente, la importancia y las implicaciones previstas para las personas afectadas. Esta transparencia no solo fomenta la confianza entre los responsables del tratamiento y los interesados, sino que también garantiza el cumplimiento de los marcos regulatorios, salvaguardando así los derechos de privacidad individuales y promoviendo prácticas éticas de tratamiento de datos.
El principio en el contexto de la inteligencia artificial
En el contexto del desarrollo de la IA, respetar los principios de legalidad, equidad y transparencia plantea importantes desafíos. En primer lugar, la complejidad de los algoritmos de IA y su dependencia de grandes conjuntos de datos dificultan la garantía de la legalidad y equidad de las actividades de procesamiento de datos.
Los sistemas de información automatizados pueden generar inadvertidamente resultados sesgados o tomar decisiones basadas en datos incompletos o sesgados, lo que conduce a un trato injusto de las personas. Además, la opacidad de los algoritmos de IA plantea desafíos a la transparencia, ya que comprender cómo funcionan los sistemas de información automatizados puede ser difícil (el «fenómeno de la caja negra»). En muchos casos, las personas pueden verse sujetas a decisiones tomadas por sistemas de información automatizados sin una comprensión clara de cómo o por qué se tomaron esas decisiones. Esta falta de transparencia no solo socava la rendición de cuentas, sino que también limita la capacidad de las personas para impugnar o cuestionar esas decisiones. El derecho a impugnar las decisiones tomadas por los sistemas de información automatizados es fundamental para salvaguardar los derechos fundamentales, pero se vuelve cada vez más difícil de alcanzar en ausencia de prácticas transparentes de procesamiento de datos.
Además, la falta de transparencia en el procesamiento de datos también puede impedir que un desarrollador de IA pueda basarse en determinados fundamentos jurídicos para el procesamiento. Por ejemplo, puede resultar complicado obtener el consentimiento informado de los interesados cuando las actividades de procesamiento en un SIA determinado son complejas y la lógica subyacente es difícil de explicar. En tales situaciones, los desarrolladores de IA pueden verse obligados a recurrir a fundamentos jurídicos alternativos, aunque menos seguros, para el procesamiento, como el interés legítimo. Esto subraya la complejidad que rodea al procesamiento de datos en los SIA y la importancia de la transparencia para permitir que las personas tomen decisiones informadas sobre sus datos. Esta falta de transparencia no solo socava la confianza, sino que también obstruye la capacidad de las personas para ejercer sus derechos en virtud del RGPD, incluido el derecho a acceder y rectificar sus datos personales (que se analiza más adelante).
Además, el rápido avance y la adopción generalizada de tecnologías de IA a menudo superan el desarrollo de marcos regulatorios, lo que crea un desafío formidable para que las organizaciones mantengan el cumplimiento de los estándares legales en evolución y defiendan el principio fundamental de legalidad. Conciliar los imperativos que impulsan la innovación de la IA con el imperativo de salvaguardar la protección de datos.
El respeto de los principios exige una vigilancia constante y la adopción de medidas proactivas. Lograr un delicado equilibrio entre el progreso tecnológico y el cumplimiento normativo exige esfuerzos concertados y sostenidos para afrontar y resolver estos desafíos inherentes.
Limitación de la finalidad
El principio en general
Uno de los principios clave del RGPD, el principio de limitación de la finalidad consagrado en el artículo 5(1), punto (b), del reglamento, estipula que los datos personales solo deben recopilarse para fines específicos, explícitos y legítimos, y prohíbe el procesamiento posterior de datos personales para fines que sean incompatibles con los fines que llevaron a la recopilación inicial de datos.
Del mismo modo, los responsables del tratamiento se abstendrán de recopilar datos personales que sean innecesarios, inadecuados o irrelevantes para los fines especificados. Si bien el tratamiento posterior para fines diferentes no está prohibido de forma inherente, la reutilización de los datos recopilados solo está permitida si el tratamiento posterior se alinea con el propósito original para el que se recopilaron inicialmente los datos (en cuyo caso no se requiere una base jurídica distinta de la que permitió la recopilación inicial de los datos personales).
Por ejemplo, el artículo 5(1), punto (b), del RGPD permite el procesamiento posterior de datos personales para fines de archivo, investigación histórica o estadísticos, siempre que sea compatible con el propósito original.
Para evaluar si la finalidad del tratamiento posterior es compatible con la finalidad para la que se recogieron inicialmente los datos personales, el responsable del tratamiento debe llevar a cabo una evaluación formal de compatibilidad de la actividad de tratamiento posterior prevista. Esta prueba de compatibilidad debe tener en cuenta varios factores, como:
- cualquier vínculo entre el propósito original y el propósito del procesamiento posterior previsto;
- el contexto en el que se han recogido los datos personales, en particular las expectativas razonables de los interesados en cuanto al uso posterior de sus datos, basada en su relación con el responsable del tratamiento;
- la naturaleza de los datos personales, en particular si se están procesando categorías especiales de datos personales;
- las consecuencias que el tratamiento posterior previsto tiene para los interesados;
- la existencia de garantías adecuadas tanto en las operaciones de tratamiento originales como en las previstas en las posteriores.
Además, tras un resultado positivo de la evaluación de compatibilidad, el responsable del tratamiento, antes de iniciar el tratamiento posterior previsto, puede estar obligado a informar al interesado sobre la actividad de tratamiento posterior prevista, ya que debe garantizarse la aplicación de los principios establecidos en el RGPD (en particular la información al interesado sobre esos otros fines y sobre sus derechos, incluido el derecho a oponerse).
Existen dos excepciones a esta prohibición general de tratamiento posterior para fines no compatibles, a saber, cuando el tratamiento posterior se basa en el consentimiento del interesado o cuando el tratamiento posterior se basa en una legislación de la UE o de los Estados miembros a la que está sujeto el responsable del tratamiento. En estos dos casos, el tratamiento posterior está permitido en virtud del RGPD, independientemente de la compatibilidad de los fines (en otras palabras, se presume que el responsable del tratamiento está autorizado a seguir tratando los datos personales independientemente de la compatibilidad de los fines).
El principio en el contexto de la inteligencia artificial
En el ámbito de la IA, la adhesión al principio de limitación de la finalidad plantea importantes desafíos para los responsables del tratamiento. Definir de antemano los posibles usos de los datos recopilados suele ser extremadamente difícil, ya que los fines del procesamiento pueden seguir siendo ambiguos durante las etapas iniciales de la recopilación de datos. En consecuencia, se ha vuelto habitual en el desarrollo de la IA reutilizar los datos en etapas posteriores. Los modelos de IA, entrenados inicialmente para fines específicos, a menudo descubren correlaciones imprevistas dentro de los conjuntos de datos, lo que lleva a un cambio completo en su uso previsto. Por lo tanto, exigir a los desarrolladores de IA que predeterminen los fines de la recopilación de datos antes de que comience el procesamiento podría simplemente sofocar la innovación.
Minimización de datos
El principio en general
Este principio, consagrado en el artículo 5(1), letra c), del RGPD, pretende restringir la recogida indiscriminada de datos personales. Establece que solo se debe tratar la cantidad mínima de datos personales necesaria para el fin previsto. Los responsables del tratamiento están obligados a abstenerse de recoger datos que no sean directa y estrictamente pertinentes para el fin especificado o que sean más de los necesarios.
El principio en el contexto de la inteligencia artificial
El cumplimiento del principio de minimización de datos puede resultar complicado para los desarrolladores de IA por varias razones. En primer lugar, este principio entra en conflicto con la naturaleza misma de las tecnologías basadas en IA, que dependen de la acumulación y el análisis de cantidades masivas de datos para funcionar de manera eficaz. El funcionamiento básico de los modelos de IA se basa en su capacidad de aprender de los datos, extraer inferencias y descubrir correlaciones entre varios conjuntos de datos. Por definición, los modelos de IA requieren grandes conjuntos de datos para aprender y generalizar patrones de manera eficaz. Después de todo, cuantos más datos ingiera el SIA, más precisos serán sus cálculos y predicciones. Además, la complejidad e interconexión de los algoritmos de IA pueden dificultar la identificación de los puntos de datos específicos que son verdaderamente esenciales para lograr los resultados deseados. En consecuencia, los desarrolladores de SIA pueden sentirse tentados a recopilar cantidades excesivas de datos (incluidos datos personales) para mejorar la precisión de sus SIA. Además, la falta de directrices o estándares claros para determinar la relevancia y la necesidad de los datos en el desarrollo de IA complica aún más la adhesión al principio de minimización de datos.
Exactitud
El principio en general
Este principio, recogido en el artículo 5(1), letra d), del RGPD, implica la exigencia de que los datos personales sean exactos y se mantengan actualizados en todo momento. Los responsables del tratamiento tienen la responsabilidad de adoptar medidas razonables para garantizar la exactitud de los datos que tratan. Deben revisar periódicamente los datos personales y rectificar o borrar rápidamente cualquier inexactitud, ya que el tratamiento de datos inexactos puede tener consecuencias adversas para los interesados.
El principio en el contexto de la inteligencia artificial
El respeto del principio de precisión de los datos personales en el contexto de la IA plantea desafíos notables para los desarrolladores por muchas razones. En primer lugar, los algoritmos de IA a menudo dependen de conjuntos de datos vastos y diversos para entrenar y refinar sus modelos, lo que dificulta garantizar la precisión de cada punto de datos. Los SIA se alimentan de datos de varias fuentes; sin embargo, cuanto más diversas sean las fuentes, mayor será la probabilidad de encontrar imprecisiones. Además, los SIA pueden encontrar problemas con la calidad de los datos, incluidos errores, sesgos e inconsistencias, que pueden comprometer la precisión de los conocimientos y predicciones resultantes. Si bien se acepta cierto nivel de inexactitud en los datos utilizados como entrada o en los datos producidos como salida de los modelos de IA (ya que apuntan a descubrir tendencias generales), dichas inexactitudes pueden dañar a las personas cuando se utilizan para crear perfiles o entregar inferencias sobre ellas.
Además , los algoritmos de IA pueden descubrir correlaciones o patrones inesperados en los datos que desafían las nociones convencionales de precisión, lo que requiere una interpretación y validación cuidadosas por parte de expertos humanos. Además, la naturaleza dinámica de los datos en las aplicaciones de IA, con actualizaciones y cambios continuos, presenta desafíos constantes para mantener la precisión de los datos a lo largo del tiempo. Por último, pero no por ello menos importante, dada la prevalencia de las amenazas cibernéticas, existe un riesgo significativo de que actores maliciosos ataquen el AIS y manipulen los datos utilizados para entrenar el modelo de IA, lo que podría dar lugar a resultados inexactos.
Limitación de almacenamiento
El principio en general
Este principio, recogido en el artículo 5(1), punto (e), del RGPD, pone de relieve que los datos personales solo deben conservarse de forma que permitan la identificación de los interesados durante el tiempo necesario para cumplir los fines para los que se recogieron. En pocas palabras, los responsables del tratamiento deben garantizar que la duración de la conservación de los datos sea proporcional a los objetivos originales de la recogida de datos y esté limitada en el tiempo. La prolongación del almacenamiento de datos más allá de este periodo solo podrá permitirse con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, siempre que se establezcan las garantías adecuadas.
El principio en el contexto de la inteligencia artificial
El cumplimiento del principio de limitación del almacenamiento, tal como se describe en el RGPD, presenta desafíos notables en el desarrollo de tecnologías basadas en IA. En primer lugar, como ya se señaló, los SIA a menudo requieren grandes cantidades de datos para entrenar y refinar sus modelos, lo que inevitablemente genera preocupaciones sobre el almacenamiento de datos personales más allá de lo estrictamente necesario para los fines previstos. Por ejemplo, las aplicaciones impulsadas por IA en el ámbito de la atención médica pueden acumular una gran cantidad de datos de pacientes para análisis predictivos, lo que genera preguntas sobre el período de retención de los registros médicos históricos. La naturaleza dinámica e iterativa del desarrollo de la IA complica aún más el cumplimiento de las limitaciones de almacenamiento, ya que el refinamiento continuo de los algoritmos puede requerir la retención de datos históricos para la mejora continua. Además , los esfuerzos de investigación y desarrollo colaborativos en IA a menudo implican el intercambio de datos entre múltiples partes interesadas, lo que resulta en la acumulación de amplios conjuntos de datos en varias plataformas y organizaciones. Esto plantea preguntas sobre la duración y el alcance adecuados del almacenamiento, en particular en colaboraciones transfronterizas donde pueden aplicarse diferentes requisitos regulatorios. Además, la posibilidad de retención no intencionada de datos en los AIS, como datos almacenados en caché o redundantes en la memoria o en el almacenamiento temporal, plantea desafíos a la hora de garantizar el cumplimiento de los requisitos de limitación de almacenamiento.
Integridad y confidencialidad
El principio en general
Este principio, consagrado en el artículo 5(1), letra f), del RGPD, establece que los datos personales deben ser objeto de un tratamiento que garantice la seguridad de la información. Esto implica la protección contra la divulgación o el acceso no autorizados o ilícitos a los datos personales tratados (el aspecto de la confidencialidad) y la protección contra la alteración o el daño accidental o ilícito de los datos personales (el aspecto de la integridad). Además, deben existir medidas para evitar la pérdida de acceso o la destrucción no intencionada o ilícita de los datos personales (el aspecto de la disponibilidad). Entre las técnicas más cruciales para garantizar un alto nivel de seguridad se encuentran el cifrado y la seudonimización de los datos personales.
El principio en el contexto de la inteligencia artificial
Garantizar el cumplimiento de los principios de integridad y confidencialidad de los datos presenta obstáculos considerables durante el desarrollo de tecnologías de IA. En primer lugar, los SIA suelen operar utilizando una amplia gama de los conjuntos de datos que contienen datos personales sensibles aumentan la vulnerabilidad al acceso no autorizado,
la divulgación o la alteración de la información. Por ejemplo, las aplicaciones de IA utilizadas en el sector sanitario o en el sector financiero pueden manejar datos financieros confidenciales, lo que requiere medidas estrictas para mantener la confidencialidad e integridad de dichos datos a fin de evitar el acceso no autorizado o la manipulación. Además, la naturaleza interconectada de los SIA, que a menudo dependen de fuentes de datos compartidas y procesos de formación colaborativos, complica aún más la preservación de la integridad y la confidencialidad de los datos. Las iniciativas de desarrollo colaborativo de IA, que involucran a múltiples partes interesadas y acuerdos de intercambio de datos (como proyectos de investigación e innovación transfronterizos), pueden introducir debilidades en la seguridad y la confidencialidad de los datos, en particular cuando se intercambia información sensible entre organizaciones y fronteras. Además, la naturaleza intrincada de los algoritmos de IA y su susceptibilidad a ataques adversarios amplifican los desafíos de salvaguardar la integridad y la confidencialidad de los datos. Estos ataques, que incluyen técnicas como el envenenamiento de datos y la inversión de modelos, explotan las vulnerabilidades de los SIA para comprometer la integridad de los datos o exponer información confidencial. Para abordar estos desafíos es necesario implementar de manera sólida cifrado de datos, controles de acceso y protocolos de seguridad durante todo el ciclo de vida del desarrollo de la IA, para garantizar la integridad y confidencialidad de los datos.
Responsabilidad
El principio en general
Este principio, que se describe en el artículo 5(2) del RGPD, establece que los responsables del tratamiento son responsables de demostrar el cumplimiento de los principios del RGPD y de aplicar las medidas adecuadas para garantizarlo. Estas medidas incluyen, en particular, las evaluaciones de impacto de la protección de datos y el mantenimiento de registros detallados de las actividades de tratamiento, y se abordarán con más detalle a continuación.
El principio en el contexto de la inteligencia artificial
Si bien el artículo 5(2) del RGPD impone a los responsables del tratamiento la obligación de demostrar el cumplimiento de los principios del RGPD y de aplicar las medidas adecuadas para garantizar su cumplimiento, la naturaleza dinámica de los SIA complica considerablemente esos esfuerzos de rendición de cuentas. En primer lugar, los intrincados algoritmos y procesos de aprendizaje automático inherentes a los SIA suelen dar lugar a procesos de toma de decisiones complejos que son difíciles de rastrear o explicar. Esta opacidad puede obstaculizar la capacidad de los responsables del tratamiento de comprender y documentar plenamente los mecanismos subyacentes a las decisiones impulsadas por la IA, lo que impide su capacidad de demostrar el cumplimiento.
Además, el gran volumen y la variedad de datos procesados por los SIA plantean desafíos a la hora de realizar evaluaciones integrales del impacto en la protección de datos. Los algoritmos de IA pueden ingerir grandes cantidades de datos de diversas fuentes, lo que dificulta que los responsables evalúen los riesgos potenciales para la privacidad de las personas y garanticen el cumplimiento de los requisitos del RGPD. Además, la naturaleza evolutiva de las tecnologías de IA introduce incertidumbre con respecto a la idoneidad de las medidas de rendición de cuentas existentes. A medida que los SIA evolucionan y se adaptan con el tiempo, los responsables deben reevaluar y actualizar continuamente sus estrategias de cumplimiento para mitigar eficazmente los riesgos y garantizar la rendición de cuentas. Además, la naturaleza colaborativa del desarrollo de la IA, que involucra a múltiples partes interesadas y acuerdos de intercambio de datos, complica aún más los esfuerzos de rendición de cuentas. Garantizar la rendición de cuentas entre las diversas partes interesadas y organizaciones de diferentes países que participan en el desarrollo de la IA requiere estructuras de gobernanza sólidas y una delimitación clara de las responsabilidades.
Como se ha demostrado anteriormente, respetar los principios fundamentales del RGPD puede resultar complicado en el ámbito del desarrollo de la IA. Para abordar estos desafíos, es necesario que los proveedores de IA realicen esfuerzos proactivos durante todo el ciclo de vida del desarrollo de la IA. Solo mediante esos esfuerzos concertados se puede lograr
Las organizaciones navegan eficazmente por las complejidades del desarrollo de la IA y al mismo tiempo respetan los principios de procesamiento de datos descritos en el RGPD.
Derechos del titular de los datos
Además de los principios fundamentales del tratamiento de datos, el RGPD otorga a los interesados una serie de derechos que les otorgan poder en relación con sus datos personales. Estos derechos, que pueden invocar los interesados cuyos datos personales se procesen en el contexto del desarrollo y la implementación de la IA, se analizan a continuación.
Derechos en relación con la toma de decisiones automatizada y la elaboración de perfiles
El RGPD incluye salvaguardas destinadas a mitigar los riesgos asociados a la toma de decisiones y la elaboración de perfiles automatizados. Estas son especialmente significativas en el contexto de la IA, dada la cantidad de decisiones y acciones que hoy en día se ejecutan sin intervención humana y son facilitadas por los SIA.
El artículo 22 del RGPD otorga explícitamente a las personas el derecho a no estar sujetas a decisiones tomadas únicamente
mediante procesos automatizados, si dichas decisiones tienen implicaciones legales o las afectan significativamente de manera similar. Esta disposición reconoce las posibles consecuencias de la toma de decisiones algorítmica sobre los derechos de las personas y busca garantizar la rendición de cuentas y la transparencia en los procesos automatizados. Con la creciente dependencia de los SIA para tomar decisiones críticas en diversos ámbitos, como las finanzas, la atención médica y el empleo, la protección que brinda este derecho se vuelve cada vez más importante. Subraya la necesidad de que los SIA operen de manera ética y transparente, con mecanismos establecidos que permitan a las personas impugnar las decisiones automatizadas y comprender la lógica detrás de ellas. Además, el derecho a no estar sujeto a la toma de decisiones automatizada subraya la importancia de la supervisión y la rendición de cuentas humanas en el desarrollo y la implementación de tecnologías de IA. Si bien los SIA pueden ofrecer eficiencia e innovación, también deben respetar los derechos de las personas y garantizar un trato justo y equitativo para todos. Por lo tanto, los desarrolladores de IA deben implementar mecanismos sólidos de supervisión, rendición de cuentas y transparencia para defender los derechos de las personas y evitar posibles daños derivados de la toma de decisiones y la elaboración de perfiles automatizados.
Derecho de acceso
Las personas tienen derecho a obtener confirmación de si se están tratando o no sus datos personales y, en caso afirmativo, a acceder a dichos datos y a información sobre cómo se están tratando.
En el contexto de la IA, este derecho adquiere una importancia y una complejidad adicionales. Los interesados tienen derecho a obtener confirmación de los responsables del tratamiento sobre si sus datos personales están siendo tratados y, en caso afirmativo, a acceder a dichos datos y a la información pertinente sobre dicho tratamiento. Sin embargo, en el ámbito de la IA, el acceso a los datos personales puede no ser siempre sencillo debido a la naturaleza intrincada de los algoritmos de IA y a la gran cantidad de datos procesados. Los SIA suelen operar con conjuntos de datos extensos, y los datos personales que utilizan están dispersos en múltiples plataformas, bases de datos u organizaciones. Consolidar y acceder a estos datos fragmentados puede ser complejo, especialmente cuando existen problemas de interoperabilidad de datos o silos de datos. Además, los responsables del tratamiento que son desarrolladores de IA pueden enfrentarse a limitaciones de recursos o limitaciones técnicas al responder a las solicitudes de acceso a los datos. El tratamiento de grandes volúmenes de datos para responder a las solicitudes de acceso a los datos puede requerir una cantidad significativa de tiempo, recursos y experiencia. Por tanto, garantizar un acceso efectivo a los datos personales en el contexto de la IA requiere que los responsables del tratamiento implementen mecanismos transparentes y fáciles de usar que permitan a los interesados comprender y ejercer sus derechos de forma eficaz.
Derecho de rectificación
El derecho de rectificación, vinculado a la obligación del responsable del tratamiento de mantener los datos exactos y actualizados, faculta a los interesados a solicitar la corrección (es decir, la rectificación o la complementación) de los datos personales inexactos o incompletos que obren en poder del responsable del tratamiento. Este derecho sigue siendo relevante en todas las etapas del ciclo de vida del SIA. Por ejemplo, durante la fase de desarrollo, los interesados pueden solicitar la corrección de su información contenida en el conjunto de datos de entrenamiento. Del mismo modo, durante la fase de implementación, pueden impugnar la exactitud de los resultados generados por los SIA.
Las predicciones e inferencias generadas por los AIS a menudo implican datos personales, tal como se define en el artículo 4(1 ) del RGPD. Esto incluye tanto identificadores directos, como nombres y direcciones, como identificadores indirectos o información que, cuando se combina con otros datos, puede identificar a una persona. Sin embargo, rectificar el resultado de un AIS puede ser un desafío, ya que se compone principalmente de predicciones estadísticas en lugar de declaraciones fácticas (aunque los resultados a menudo pueden presentarse o interpretarse como declaraciones fácticas). Las puntuaciones de predicción no son inherentemente inexactas simplemente porque la realidad fáctica no coincida con la predicción (por ejemplo, un cambio del 99,5 % de la presencia de un cáncer puede ser una estimación razonable y correcta, incluso si no se detecta cáncer después); por lo tanto, dependiendo del contexto y la presentación, el derecho a la rectificación puede no aplicarse si los datos personales no son incorrectos desde el punto de vista fáctico.
Derecho de supresión / derecho al olvido
El artículo 17 del RGPD otorga a los interesados el derecho a solicitar la supresión de sus datos personales en determinadas circunstancias. Cuando un interesado ejerce este derecho, el responsable del tratamiento está obligado no solo a suprimir los datos que haya tratado directamente, sino también a notificar la solicitud del interesado a todos los demás destinatarios conocidos con los que haya compartido los datos. Este derecho solo puede ejercerse en determinados casos limitados, por ejemplo, cuando los datos ya no sean necesarios para los fines para los que fueron recopilados o si el tratamiento es ilícito. También pueden ejercerlo los interesados que se opongan al tratamiento de sus datos y para los que el responsable del tratamiento no pueda demostrar otros motivos legítimos imperiosos para el tratamiento posterior.
Ejercer este derecho en el ámbito de la IA puede resultar complicado. Los sistemas de información de inteligencia artificial suelen incorporar grandes cantidades de datos de diversas fuentes ubicadas en varias ubicaciones. Los datos suelen replicarse en varios sistemas para realizar copias de seguridad. Todo esto dificulta el seguimiento e identificación de instancias específicas de datos personales para su eliminación. Además, la naturaleza dinámica y evolutiva de los algoritmos de IA complica el proceso de borrado, ya que los datos pueden procesarse e integrarse continuamente en modelos de IA a lo largo del tiempo. Los datos de origen pueden volverse cada vez más difíciles o incluso imposibles de encontrar o eliminar. Para poder borrar por completo los datos personales incluidos en un modelo de IA, puede ser necesario volver a entrenar el modelo de IA en función de un conjunto de datos que ya no incluya los datos borrados y que no esté influenciado por la «sombra algorítmica» de los datos de esa persona.
Sin embargo, esto podría no ser factible debido a los sustanciales gastos computacionales y de ingeniería, junto con las limitaciones de tiempo, particularmente en lo que respecta a los modelos complejos de IA. Además, la opacidad inherente de los procesos de toma de decisiones de IA puede obstaculizar la capacidad de los interesados (o de hecho la capacidad de cualquier parte) de determinar si sus datos personales han sido completamente borrados de los SIA. La proliferación de aplicaciones basadas en IA en varios sectores e industrias también plantea inquietudes sobre la difusión generalizada y la posible replicación de datos personales, lo que complica aún más el proceso de borrado. El ejercicio del derecho al borrado también puede ser problemático, debido a las incertidumbres sobre el alcance de la solicitud.
En concreto, puede que no quede claro si la solicitud debe referirse únicamente a los datos directamente facilitados por el interesado o también a los datos derivados o inferidos de ese conjunto de datos inicial. Esta ambigüedad plantea interrogantes sobre hasta qué punto los SIA deben borrar no solo los datos brutos, sino también cualquier información, predicción o conclusión extraída de ellos. El caso de referencia sobre este derecho en la UE es el caso C-131/12, conocido comúnmente como el caso Google Spain. En esta sentencia histórica, el demandante solicitó la eliminación de determinados resultados de motores de búsqueda generados por el algoritmo de Google. Estos resultados se basaban en inferencias extraídas de los datos personales del demandante. El Tribunal de Justicia de la Unión Europea (TJUE) falló a favor del demandante, afirmando el derecho del individuo a que dichos datos derivados se borren del motor de búsqueda (pero no de los sitios web originales donde se alojaron los datos). Este caso subraya la importancia de garantizar que las solicitudes de borrado de datos se extiendan más allá de los datos brutos para abarcar cualquier información derivada o inferida generada por algoritmos de IA.
Para abordar los desafíos antes mencionados, los responsables del tratamiento deben procurar diseñar sus sistemas de información de forma que las solicitudes de eliminación puedan llevarse a cabo, de conformidad con el principio de privacidad desde el diseño. Deben implementar prácticas sólidas de gobernanza de datos y mecanismos de transparencia para garantizar la eliminación efectiva de datos personales de los sistemas de información de datos. Además, deben establecerse directrices y normas claras para la eliminación segura y permanente de datos personales en el contexto del desarrollo y la implementación de la IA.
Derecho a la limitación del tratamiento
El derecho a la limitación del tratamiento, que sustituye al derecho de supresión, otorga a las personas la facultad de limitar el tratamiento de sus datos personales en determinadas circunstancias, como cuando se impugne la exactitud de los datos o cuando el tratamiento sea ilícito. En consecuencia, los responsables del tratamiento deben limitar las operaciones de tratamiento que realizan sobre los datos y solo pueden conservarlos.
Las preocupaciones que surgen al ejercer el derecho a la restricción del procesamiento son similares a las relacionadas con el
derecho al borrado. Debido a que los SIA operan con amplios conjuntos de datos provenientes de diversos canales, puede resultar especialmente complicado para las personas identificar y controlar el procesamiento de sus datos personales específicos. Además, la naturaleza dinámica de los algoritmos de IA, que aprenden y evolucionan continuamente a partir de nuevos datos, complica los esfuerzos para hacer cumplir las restricciones de procesamiento de manera efectiva. La opacidad mencionada anteriormente, inherente a los procesos de toma de decisiones de IA, exacerba el desafío, ya que las personas pueden tener dificultades para monitorear y hacer cumplir las limitaciones al procesamiento de sus datos personales por parte de los SIA. Además, la interconexión de los SIA en varias plataformas y redes puede dar lugar a un procesamiento involuntario de datos personales restringidos más allá del alcance previsto.
Para hacer frente a estos desafíos, existe una necesidad apremiante de contar con mecanismos de comunicación y transparencia mejorados que permitan a las personas supervisar y hacer cumplir las restricciones sobre sus datos personales procesados por los SIA. Además, los responsables del tratamiento deben establecer controles y mecanismos sólidos dentro de los SIA para facilitar a los titulares de los datos el ejercicio efectivo de su derecho a restringir el procesamiento, garantizando el cumplimiento de las normas de protección de datos y defendiendo los derechos de privacidad de las personas.
Derecho a la portabilidad de datos
El derecho a la portabilidad de datos, consagrado en el artículo 20 del RGPD, permite a las personas obtener sus datos personales en un formato estructurado, de uso común y lectura mecánica y transferir dichos datos entre diferentes servicios o plataformas.
En el contexto de la IA, el ejercicio de este derecho puede presentar algunos obstáculos importantes. En primer lugar, los datos personales derivados de un examen más detallado de la información proporcionada están exentos del derecho a la portabilidad. Esto significa que los resultados generados por los modelos de IA, como las predicciones y clasificaciones sobre Los derechos de portabilidad no se aplican a las personas físicas . En algunos casos, algunas o todas las características utilizadas para entrenar el modelo pueden tener su origen en un análisis previo de datos personales.
Por ejemplo, una puntuación crediticia obtenida mediante un análisis estadístico basado en los datos financieros de una persona podría emplearse posteriormente como una característica en un modelo de aprendizaje automático. En tales casos, la puntuación crediticia no está comprendida dentro del alcance de los derechos de portabilidad de datos, aunque otros atributos sí lo estén. En segundo lugar, la extracción y transferencia de datos personales en un formato utilizable a partir de conjuntos de datos complejos e interconectados puede ser especialmente difícil. Al mismo tiempo, los algoritmos y formatos propietarios utilizados por los SIA pueden no ser fácilmente compatibles con otros servicios o plataformas, lo que dificulta la portabilidad de datos sin problemas. Además, la naturaleza dinámica de los algoritmos de IA, que evolucionan continuamente en función de los nuevos datos introducidos, añade una capa adicional de complejidad al proceso de portabilidad. Las personas pueden tener dificultades para garantizar la precisión e integridad de los datos transferidos, en particular cuando se trata de información y predicciones impulsadas por IA que evolucionan constantemente.
Para superar estos desafíos es necesario desarrollar formatos de datos estandarizados y protocolos de interoperabilidad adaptados a los SIA, junto con mecanismos mejorados de transparencia y rendición de cuentas para facilitar que las personas ejerzan su derecho a la portabilidad de datos de manera efectiva.
Derecho a oponerse
Disposición fundamental del RGPD que faculta a las personas a oponerse al tratamiento de sus datos personales por motivos relacionados con su situación particular, cuando el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento o cuando el tratamiento sea necesario a los efectos de un interés legítimo del responsable del tratamiento o de un tercero. Además, las personas pueden oponerse al tratamiento de sus datos personales con fines comerciales.
El ejercicio de este derecho genera obstáculos únicos en el contexto de la IA. A diferencia de los métodos tradicionales de procesamiento de datos , los SIA suelen funcionar de forma autónoma, con procesos internos de toma de decisiones opacos o difíciles de interpretar, comúnmente denominados «cajas negras». Estos sistemas se basan en algoritmos complejos y amplios conjuntos de datos para tomar decisiones, lo que puede llevar a las personas a tener dificultades para comprender la lógica detrás de las decisiones impulsadas por la IA e identificar instancias en las que sus datos se procesan de maneras que no les gustan. Los SIA pueden producir conclusiones y pronósticos derivados de conexiones y patrones intrincados en los datos, lo que complica la capacidad de las personas para determinar si sus objeciones están justificadas o son pertinentes. Cuando los SIA toman decisiones de forma autónoma, las personas pueden tener dificultades para identificar a quién dirigir sus objeciones y cómo comunicar eficazmente sus inquietudes. Además, la adopción generalizada de la IA en diversas aplicaciones y sectores complica aún más el ejercicio del derecho a objetar. Las personas pueden interactuar con varios SIA operados por diferentes entidades, lo que dificulta la gestión centralizada de las objeciones y la garantía de un cumplimiento constante de las preferencias de protección de datos.
Para abordar estos desafíos se requieren mayores medidas de transparencia, rendición de cuentas y accesibilidad para empoderar a las personas para que puedan hacer valer sus derechos de manera efectiva en el panorama digital impulsado por la IA.
Otros mecanismos de rendición de cuentas
El RGPD no solo otorga amplios derechos a los interesados, sino que también establece un sólido marco de control destinado a salvaguardar estos derechos. Un elemento central de este marco son las obligaciones de rendición de cuentas y supervisión impuestas a los responsables del tratamiento. Estas obligaciones de rendición de cuentas no solo mejoran la transparencia y la confianza, sino que también refuerzan la protección de los derechos de las personas. Sirven como piedra angular del enfoque regulatorio del RGPD, garantizando que los responsables del tratamiento sean responsables de sus actividades de tratamiento de datos y que se adopten las medidas adecuadas para proteger los datos personales de las personas. A continuación, examinamos esas otras obligaciones de rendición de cuentas que el RGPD impone a los responsables del tratamiento, centrándonos específicamente en aquellos responsables que son desarrolladores de IA.
Evaluación de impacto de la protección de datos
Según lo estipulado en el artículo 35 del RGPD, los responsables del tratamiento están obligados a realizar evaluaciones de impacto sobre la protección de datos (EIPD) en relación con las actividades de tratamiento de datos que puedan entrañar un alto riesgo para los derechos y libertades de las personas. Las EIPD son evaluaciones sistemáticas destinadas a identificar, evaluar y mitigar los riesgos asociados al tratamiento de datos. Son especialmente importantes cuando se implementan nuevas tecnologías o se procesan datos personales sensibles. El objetivo de las EIPD es garantizar que los responsables del tratamiento aborden de forma proactiva los riesgos para la privacidad y cumplan con los principios de protección de datos. Implican la evaluación de la necesidad y proporcionalidad de las actividades de tratamiento de datos, la evaluación de los riesgos potenciales para los interesados y la aplicación de medidas para mitigar los riesgos identificados. Dada la complejidad y las posibles implicaciones de las tecnologías de IA, las EIPD son especialmente cruciales en este contexto. Las EIPD dependen de cantidades masivas de datos y algoritmos complejos para tomar decisiones o predicciones, lo que puede suponer riesgos significativos para la privacidad y los derechos de las personas.
Por lo tanto, los responsables del tratamiento que son desarrolladores de IA deben evaluar cuidadosamente los posibles riesgos asociados a las actividades de procesamiento de datos impulsadas por IA, incluido el potencial de sesgo, discriminación o violación de los derechos de las personas. Las evaluaciones de impacto sobre la protección de datos en el sector de la IA implican evaluar la transparencia y la equidad de los algoritmos de IA, evaluar los posibles impactos en los derechos de las personas e implementar medidas para mitigar los riesgos identificados. Al realizar evaluaciones de impacto sobre la protección de datos, los responsables del tratamiento de IA demuestran su compromiso con la rendición de cuentas y la transparencia en el desarrollo y la implementación de la IA, asegurando que los derechos de las personas estén adecuadamente protegidos en el panorama de rápida evolución de las tecnologías de IA.
La próxima AIA introduce un nuevo requisito en virtud del artículo 29a, que obliga a los implementadores de sistemas de información de alto riesgo (SIA) a realizar una evaluación del impacto sobre los derechos fundamentales (EIDF) para evaluar el impacto potencial de los SIA sobre dichos derechos. A diferencia de una EIDF en virtud del RGPD, que se centra principalmente en los riesgos de protección de datos, una EIDF considera implicaciones sociales más amplias, incluidas consideraciones éticas, sociales y de derechos fundamentales, lo que garantiza una evaluación más integral de las implementaciones de IA, y debe realizarse junto con una EIDF.
Registro de actividades de tratamiento
El artículo 30 del RGPD establece los requisitos que deben cumplir los responsables del tratamiento para mantener registros completos de las actividades de tratamiento. Estos registros sirven como un repositorio vital de información que abarca los detalles clave esenciales para garantizar el cumplimiento de las normas de protección de datos. Los registros deben incluir detalles como la información de contacto del responsable del tratamiento, el corresponsable del tratamiento, el representante y el delegado de protección de datos, cuando corresponda. Además, deben delinear los fines específicos de las actividades de tratamiento de datos y proporcionar una descripción detallada de las categorías de interesados y datos personales involucrados. Además, los registros deben documentar las categorías de destinatarios a los que se han revelado o se revelarán los datos personales, incluidas las transferencias a países no pertenecientes a la UE u organizaciones internacionales, junto con las salvaguardas necesarias. Los plazos previstos para la eliminación de las diferentes categorías de datos deben describirse siempre que sea posible, junto con una descripción general de las medidas de seguridad técnicas y organizativas implementadas para salvaguardar los datos.
Mantener un registro completo de las actividades de procesamiento plantea desafíos importantes para los desarrolladores de IA, principalmente debido a la naturaleza compleja y multifacética de las operaciones de procesamiento dentro de los AIS.
Los algoritmos complejos y la naturaleza iterativa del desarrollo de la IA hacen que sea difícil documentar con precisión todas las actividades de procesamiento de datos, en particular con la amplia gama de fuentes de datos y modelos en evolución involucrados. Además, la estructura descentralizada de los equipos de desarrollo de IA y la participación de numerosas partes interesadas agregan niveles de complejidad a la tarea, lo que hace que sea aún más difícil mantener registros exhaustivos de las actividades de procesamiento.
Responsable de protección de datos
Según lo estipulado en el artículo 37 del RGPD, algunos responsables y encargados del tratamiento también están obligados a designar un delegado de protección de datos (DPD). El delegado desempeña un papel crucial en la supervisión de la estrategia de protección de datos de la organización y en la garantía del cumplimiento de las leyes de protección de datos. Entre sus responsabilidades se incluyen asesorar sobre las obligaciones de protección de datos, supervisar el cumplimiento, orientar las evaluaciones de impacto de la protección de datos y actuar como punto de contacto para los interesados y las autoridades de control. El nombramiento obligatorio de un delegado de protección de datos se aplica a las autoridades públicas, a las organizaciones que realizan un seguimiento sistemático de los interesados a gran escala y a las que procesan categorías especiales de datos personales de forma extensiva.
