Conoce Atico34 - Solicita presupuesto
Inteligencia artificialLOPDGDD & RGPDNuevas tecnologias

Protección de datos e Inteligencia Artificial

El desarrollo y uso cada vez más extendido de sistemas y soluciones de inteligencia artificial, basadas necesariamente en el uso masivo de datos, entre los cuales puede haber datos personales, requiere de analizar la relación entre protección de datos e inteligencia artificial, cómo afecta la primera a la segunda y qué riesgos presenta la inteligencia artificial para la protección de datos y la privacidad.

¿Qué relación tiene la IA con el derecho a la protección de datos?

La relación entre inteligencia artificial y protección de datos se basa en que los sistemas de IA o basados en modelos de IA requiere tratar datos personales para desarrollar algunas de sus funciones o finalidades.

Por lo tanto, siempre que un modelo de IA use datos personales para su entrenamiento o herramientas y sistemas basados en inteligencia artificial procesen datos personales (por ejemplo, los sistemas de reconocimiento facial en tiempo real, la toma de decisiones automatizadas o la elaboración de perfiles), se debe aplicar la normativa de protección de datos y cumplir con las obligaciones respecto a licitud, transparencia, finalidad, minimización, seguridad, etc., para garantizar la privacidad de los datos y no poner en riesgos los derechos y libertades fundamentales de las personas.

Aunque no aparece explícitamente la IA en el RGPD ni la LOPDGDD, responsables y encargados que empleen soluciones, sistemas o herramientas basadas en IA o se dediquen al desarrollo de modelos de inteligencia artificial, deben cumplir con esta normativa en el momento en que tratan datos personales (la única excepción sería si los datos empleados estuviesen anonimizados y no existiese forma de reidentificar a los interesados).

Así mismo, la Ley de Inteligencia Artificial de la UE, que entrará en vigor a lo largo de 2026, también considera la protección de datos en el uso de inteligencia artificial, dedicando su artículo 10 a los datos y la gobernanza de datos en el empleo de sistemas, herramientas y aplicaciones basadas en IA.

En ese sentido, cabe señalar que no todas las empresas de IA están siendo igual de transparentes respecto al uso de datos de la inteligencia artificial, incluido el uso que hacen de los datos personales de sus usuarios, lo que plantea, cómo veremos más adelante, toda una serie de riesgos para la privacidad y la protección de datos.

Cualquier entidad que desarrolle o use sistemas o modelos de IA debe ser transparente, informar debidamente a los usuarios sobre si sus datos e información personal van a ser usados para entrenar modelos de IA o será procesada por uno de estos modelos con alguna finalidad específica. Además, deberá recabar el consentimiento para ello y cumplir con el resto de obligaciones en materia de protección de datos (en lo que profundizaremos más adelante).

En ese sentido, hay voces que afirman que regular el uso de la IA de forma más estricta, puede suponer limitar su desarrollo, sin embargo, el desarrollo de una tecnología como esta, con riesgos potenciales para la humanidad (como ya han reconocido muchos expertos e incluso sus propios creadores), no puede basarse en la vulneración de la privacidad.

tarifas proteccion datos

¿Qué riesgos tiene la inteligencia artificial para la protección de datos personales?

La inteligencia artificial plantea una serie de riesgos para la protección de datos, especialmente relacionados con los principios de licitud, lealtad y transparencia (procesamiento justo), de minimización y de finalidad, que se ven directamente afectados por la forma en que los sistemas o modelos de IA son entrenados y ejecutados.

  • Vulneración del procesamiento justo: Un procesamiento justo requiere que los responsables consideren el impacto probable del uso de IA en las personas y lo reevalúen continuamente, atendiendo especialmente a los sesgos que pueden afectar a un sistema de IA. Así, el responsable debe tener en cuenta y justificar activamente por qué un algoritmo es justo y que el uso del algoritmo elegido no conduce a resultados inapropiados. Cuando un sistema de IA no es lo suficientemente transparente, es imposible que quienes supervisan su uso identifiquen sesgos en su razonamiento y salida.
  • Vulneración del principio de minimización: Por definición, los sistemas de IA necesitan cantidades sustanciales de datos para operar de manera efectiva, particularmente durante la fase de entrenamiento, ¿pero cuántos datos son suficientes? Determinar esto teniendo en cuenta y cumpliendo el artículo 5 del RGPD, puede generar fricción entre el uso de inteligencia artificial y protección de datos, ya que no siempre es posible predecir qué elementos de datos pueden ser relevantes para el objetivo del sistema; qué datos personales son considerados «necesarios» varía según el sistema de IA y el objetivo para el que se utiliza. Los responsables deben establecer límites que sean suficientes para lograr el propósito de procesamiento, en lugar de utilizar todos los datos disponibles.
  • Vulneración del principio de finalidad: Los sistemas o modelos de IA se han entrenado y se siguen entrenando con datos e información personal que no se habría recogido con ese fin, lo que supone una vulneración de este principio. No ha sido hasta 2023 que varias empresas han empezado a incluir en sus políticas de privacidad la finalidad de usar los datos recabados para entrenar sus modelos de IA (es el caso, por ejemplo, de Google).

Además del riesgo de vulnerar estos principios, cuándo hablamos de inteligencia artificial y datos personales, también existen otros riesgos que pueden afectar directamente a los derechos y libertades fundamentales de los interesados, entre los que destacamos:

  • Errores que afecten a la exactitud de los datos, como sesgos en la programación, errores de diseño y programación, fallos del hardware, etc., que pueden derivar en discriminaciones.
  • Accesos no autorizados de terceros.
  • Manipulación del sistema de IA para alterar los resultados obtenidos.
  • Filtración de los datos que emplea la IA.
  • Falta de base legal para el procesamiento de datos por sistemas de IA, especialmente en lo referente a datos de categorías especiales.
  • Falta de transparencia (porque la información que se dé sobre el sistema de IA no sea lo suficientemente clara o comprensible).

inteligencia artificial y protección de datos

¿Cómo adaptar el uso de IA a la ley de protección de datos?

Para adaptar a la LOPDGDD y el RGPD la IA y su uso, tanto por quienes desarrollan sistemas o modelos de IA, como por aquellos que los emplean como soluciones dentro de sus servicios, y poder minimizar los riesgos descritos en los puntos anteriores, es necesario poner en práctica los siguientes pasos y medidas:

1.- Establecer la base legitimadora para el empleo de sistemas de IA en el procesamiento de datos personales:

En la práctica, y dentro del contexto de inteligencia artificial y protección de datos, esto significa que es necesario definir el objetivo del procesamiento de la IA desde el principio y asegurarse de que el propósito original del mismo se reevalúa si el sistema de IA proporciona un resultado inesperado, ya sea para que puedan identificarse los intereses legítimos perseguidos o para que el consentimiento válido, según sea el caso, pueda ser recogido de individuos.

2.- Aplicar los principios de:

  • Limitación: Se deberá determinar el propósito del uso del sistema de IA al comienzo de su capacitación o implementación, y realizar una reevaluación de esto para determinar si el procesamiento del sistema arroja resultados inesperados. Los datos personales solo se recopilarán para «fines específicos, explícitos y legítimos» y no se utilizarán de una manera que sea incompatible con el propósito original. En el mismo sentido, el principio de limitación del tratamiento requiere que los datos personales se mantendrán en forma identificable por un tiempo no superior al necesario para los fines para los cuales se procesan.
  • Precisión: Los datos usados por el sistema de IA deben ser precisos y exactos. Alimentar un sistema de IA con datos inexactos podría disminuir la calidad del resultado, y este principio requiere que los usuarios de IA adopten un enfoque particularmente vigilante para garantizar que el conjunto de datos no se diluye con datos de mala calidad. La decisión imprecisa podría tener un impacto significativo en las personas.
  • Procesamiento seguro: Desarrolladores y/o usuarios de sistemas de IA que procesen datos personales deberán considerar los riesgos de seguridad que plantea el uso de estos sistemas y aplicar aquellas medidas de seguridad que contribuyan a mitigarlos. Entre esos riesgos se incluye la posibilidad de accesos no autorizados de terceros con el potencial de manipular el algoritmo y, por tanto, los resultados obtenidos.
  • Responsabilidad proactiva o accountability: En el contexto de la inteligencia artificial y protección de datos, responsables y encargados deben rendir cuentas tanto a los reguladores como a las personas, y deben tener en cuenta la probabilidad y gravedad de las consecuencias del uso de la IA en las personas. No pueden simplemente desplegar un sistema de inteligencia artificial y luego culpar a ese sistema cuando su salida daña a las personas o resulta en incumplimiento. Será necesario determinar, en cada fase del uso de los sistemas de IA, quién es el responsable y quién el encargado del tratamiento, ya que puede variar en cada una de ellas. En cualquier caso, es recomendable identificar un equipo o autoridad específica dentro de la empresa responsable del uso de sistemas de inteligencia artificial donde se procesan datos personales.
  • Transparencia: Los interesados deben ser informados del uso de sistemas de IA en el tratamiento de sus datos. Esta es la información que se les debe facilitar:
    • Si podrán ser re-identificados a partir de los datos usados por el modelo de IA en su fase de entrenamiento
    • Detalle y relevancia de los datos utilizados para la toma de decisiones.
    • Calidad de los datos de entrenamiento y patrones.
    • Perfilados realizados.
    • Valores de precisión o error según la métrica aplicada para determinar la inferencia.
    • Supervisión humana cualificada (en su caso).
    • Auditorías y certificación del sistema.
    • Presencia de datos de terceros, prohibiciones y sanciones previstas.

3.- Nombrar un Delegado de Protección de Datos:

Dado que el uso de sistemas de IA suele implicar el procesamiento de datos a gran escala y/o la monitorización regular y sistemática a gran escala de individuos, será necesario que responsables y encargados designen un DPO.

Contrata un Delegado de Protección de Datos

4.- Registro de actividades de tratamiento:

Responsables y encargados tendrán que elaborar un registro de actividades de tratamiento si emplean sistemas de IA, en el que se incluirán, entre otra información, los datos que se tratan, los propósitos de uso de la IA y las medidas de seguridad adoptadas. Si el propósito original cambia, el RAT deberá actualizarse.

5.- Contrato de entre responsable y encargado:

En el contexto de la inteligencia artificial y la protección de datos, la relación entre responsable y encargado puede variar, dependiendo de las funciones y responsabilidades precisas que las partes tienen en relación con la capacitación y el despliegue del sistema de IA; estas deben reflejarse adecuadamente en un contrato.

Por ejemplo, un encargado puede entrenar un algoritmo bajo la instrucción de un responsable. A través de las disposiciones contractuales, los encargados pueden garantizar que estos sistemas de IA estén diseñados u operados para procesar datos personales solo de acuerdo con sus instrucciones y para los fines acordados entre las partes.

6.- Transferencias internacionales de datos:

Si se transfieren datos personales fuera de la UE o el EEE (Espacio Económico Europeo), incluso cuando solo sea para entrenar un sistema de IA, será necesario aplicar las garantías necesarias, como son las cláusulas contractuales tipo.

7.- Brechas de seguridad:

Siempre que haya una violación que involucre datos personales procesados por un sistema de IA, ya sea en la capacitación o en la fase de uso, el responsable debe informar a la AEPD y a las personas sobre el incumplimiento, si las condiciones relevantes se cumplen por las circunstancias del incidente. Esta notificación debe realizarse en un plazo no superior a 72 horas.

8.- Derechos de los interesados:

El diseño de los sistemas de IA debe permitir que responsables del tratamiento puedan atender y responder a las solicitudes de derechos de los interesados (derecho de acceso, de rectificación, de supresión, de limitación, de portabilidad y de oposición).

inteligencia artificial y protección de datos

¿Qué medidas se deben tomar para proteger los datos personales en la IA?

Las medidas que se deben tomar para proteger los datos personales en la IA dependerán del resultado del análisis de riesgos y la evaluación de impacto que se lleven a cabo antes de desplegar un sistema de IA o incluso de manera previa al desarrollo de este tipo de sistemas o modelos.

Es decir, la principal medida de seguridad es, precisamente, la proactividad y la aplicación de medidas que minimizan los riesgos para la privacidad de los usuarios desde el diseño y por defecto.

Pero con carácter general, se deben aplicar medidas de seguridad para:

  • Evitar el acceso y/o manipulación a los conjuntos de datos de entrenamiento.
  • Minimizar la posibilidad de que se pueda utilizar malware que afecte al sistema o modelo de IA.
  • Evitar que los usuarios puedan manipular la API para acceder al modelo y los datos.
  • Crear logs que registren los accesos a los datos personales que use el modelo.
  • Implementar sistemas de detección de intrusiones.
  • Siempre que sea posible, seudonimizar o anonimizar los datos personales usados por el sistema o modelo de IA.

Consecuencias de no cumplir la protección de datos en el uso de sistemas de IA

No cumplir con la protección de datos en el uso de sistemas o modelos de IA tiene las mismas consecuencias que en cualquier otro ámbito en el que se vulnere la normativa, sanciones que podrían alcanzar los 20 millones de euros o el 4% de la facturación anual.

Teniendo en cuenta los volúmenes de datos que manejan tanto en el entrenamiento como en el uso de los sistemas y modelos de IA, y que entre estos podría haber datos de categorías especiales, las sanciones que podrían imponerse a las empresas que vulneren el RGPD podrían ser realmente elevadas. Por no mencionar las sanciones previstas en la Ley de Inteligencia Artificial que, cómo ya dijimos, también tiene relación con el uso de datos personales en estos sistemas.

En definitiva, la protección de datos tiene una incidencia directa sobre la inteligencia artificial, especialmente en aquellos sistemas y modelos que emplean datos personales tanto en su entrenamiento como en su uso, además de representar un riesgo potencial para la privacidad de los datos. Por lo que a la hora de usar estos sistemas, como responsables o encargados del tratamiento, debemos tener en cuenta que el RGPD sigue siendo de aplicación y cumplir con sus obligaciones y requisitos, para no vulnerar la privacidad de nuestros clientes, usuarios o empleados.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.