Inteligencia Artificial y protección de datos (Adaptación de la IA al RGPD)

El uso de la Inteligencia Artificial (IA) es ya una realidad; no solo se trata de una tecnología en desarrollo, sino de una tecnología que ya se emplea en diferentes ámbitos, especialmente, para automatizar procesos y asistir en la toma de ciertas decisiones (incluso ya podemos encontrar IA que crean diferentes tipos de contenidos artísticos). Sin embargo, para que estas IA «funcionen», es necesario «entrenarlas», lo que requiere alimentarlas con miles de datos, entre los que hay también datos personales. Por ello, y otras razones, existe una relación incuestionable entre la Inteligencia Artificial y la protección de datos, que vamos a abordar en este artículo, en el que también trataremos sobre la adaptación de la Inteligencia Artificial al RGPD.

Protección de datos en la Inteligencia Artificial

Protección de datos e Inteligencia Artificial deben ir, necesariamente, de la mano, porque entre los datos que se emplean para entrenar un sistema de IA puede fácilmente incluirse datos personales.

Pensemos, por ejemplo, en una IA de reconocimiento facial; para entrenarla habrá sido necesario suministrarle miles, sino millones de fotografías de rostros. Estas fotos, puesto que pueden usarse para identificar a las personas, se consideran datos personales y, por tanto, bajo el paraguas del RGPD.

Pero el uso de datos de personales para el entrenamiento de los sistemas de Inteligencia Artificial no son la única razón por la que la protección de datos debe tenerse en cuenta. Entre las aplicaciones de la IA podemos encontrar la asistencia en toma de decisiones en procesos automatizados (ya ha habido casos en los que se ha empleado para agilizar parte de los procesos de selección en el empleo) y eso implica connotaciones éticas relacionadas con la privacidad de los datos y la protección de los derechos fundamentales, que no deben ignorarse.

La toma decisiones automatizadas y la elaboración de perfiles (contemplados ya en el RGPD) se basan en sistemas de IA y tienen un gran potencial para impactar significativamente en los derechos de las personas, por lo que es necesario adoptar las medidas que se contemplan en la normativa, con especial atención al deber de informar sobre el uso de la IA y la lógica empleada y el derecho de acceso (siempre en términos comprensibles) y la posibilidad de intervención humana que pueden requerir los interesados.

¿Qué normas relativas a la protección de datos debe cumplir la inteligencia artificial?

Dado que los sistemas de IA tratan con datos personales, es necesario que estos cumplan una serie de normas relativas a la protección de datos, recogidas en el RGPD y la LOPDGDD, y que podemos resumir en el cumplimiento de los principios de licitud, lealtad y transparencia, minimización y exactitud de los datos, integridad y confidencialidad y responsabilidad proactiva.

Así mismo, un sistema de IA debe cumplir con la protección de la privacidad desde el diseño y por defecto. Es decir, se deben cumplir las obligaciones de la normativa de protección de datos ya desde el propio diseño del sistema de IA, teniendo la privacidad de los datos como el enfoque principal desde el principio.

A lo largo de los siguientes puntos iremos viendo cómo se cumple con estos principios y normas aplicando las obligaciones de la normativa de protección de datos a la Inteligencia Artificial, para garantizar no solo ese respeto a la privacidad, sino también a evitar conflictos con los derechos fundamentales de los interesados (y en los que la IA, que no deja de estar creada y programada por humanos, puede caer a causa de sesgos en su programación).

¿Qué datos personales procesa la IA?

La IA puede procesar datos personales de cualquier categoría, si bien es cierto que para poder usar datos personales de categorías especiales, es necesario que concurran tanto el consentimiento expreso de los interesados como algunas de las bases legitimadoras del artículo 9.2 del RGPD.

Cabe señalar que un sistema de IA procesa los datos personales en dos fases: la fase de entrenamiento algorítmico y la fase de uso.

Durante el primero se entrena el algoritmo de la IA en un conjunto de datos, lo que le permite crear un modelo mediante la identificación de patrones y conexiones entre diferentes puntos de datos.

En la última fase, este modelo se aplica al caso de uso particular en el que se diseñó la IA a fin de proporcionar una predicción o clasificación, ayudar a una decisión humana o tomar una decisión por sí mismo.

Por lo tanto, los datos personales son un componente vital para el ciclo de vida completo de un sistema de IA.

¿Cómo se aplica el RGPD a la Inteligencia Artificial?

Respecto a la aplicación del RGPD a la IA, lo primero que responsables y encargados de tratamiento deben tener en cuenta es la base legal, es decir, la base legitimadora para el empleo de sistemas de IA en el procesamiento de datos personales.

Esas bases legitimadoras las encontramos en el artículo 6 y 9 del RGPD y que se resumen en consentimiento del interesado, interés legítimo del responsable, obligación legal o necesidad contractual. Y deben concretarse y establecerse tanto en la fase de entrenamiento como en la fase de uso.

En la práctica, y dentro del contexto de Inteligencia Artificial y privacidad, esto significa que es necesario definir el objetivo del procesamiento de la IA desde el principio y asegurarse de que el propósito original del mismo se reevalúa si el sistema de IA proporciona un resultado inesperado, ya sea para que puedan identificarse los intereses legítimos perseguidos o para que el consentimiento válido, según sea el caso, pueda ser recogido de individuos.

Así mismo, de cara al uso de sistema de IA en el procesamiento de datos personales, responsables y encargados deberán aplicar los principios de:

• Limitación: Se deberá determinar el propósito del uso del sistema de IA al comienzo de su capacitación o implementación, y realizar una reevaluación de esto para determinar si el procesamiento del sistema arroja resultados inesperados. Los datos personales solo se recopilarán para «fines específicos, explícitos y legítimos» y no se utilizarán de una manera que sea incompatible con el propósito original. En el mismo sentido, el principio de limitación del tratamiento requiere que los datos personales se mantendrán en forma identificable por un tiempo no superior al necesario para los fines para los cuales se procesan.
• Precisión: Los datos usados por el sistema de IA deben ser precisos y exactos. Alimentar un sistema de IA con datos inexactos podría disminuir la calidad del resultado, y este principio requiere que los usuarios de IA adopten un enfoque particularmente vigilante para garantizar que el conjunto de datos no se diluye con datos de mala calidad. La decisión imprecisa podría tener un impacto significativo en las personas.
• Procesamiento seguro: Desarrolladores y/o usuarios de sistemas de IA que procesen datos personales deberán considerar los riesgos de seguridad que plantea el uso de estos sistemas y aplicar aquellas medidas de seguridad que contribuyan a mitigarlos. Entre esos riesgos se incluye la posibilidad de accesos no autorizados de terceros con el potencial de manipular el algoritmo y, por tanto, los resultados obtenidos.
• Responsabilidad proactiva o accountability: En el contexto de la inteligencia artificial y protección de datos, responsables y encargados deben rendir cuentas tanto a los reguladores como a las personas, y deben tener en cuenta la probabilidad y gravedad de las consecuencias del uso de la IA en las personas. No pueden simplemente desplegar un sistema de inteligencia artificial y luego culpar a ese sistema cuando su salida daña a las personas o resulta en incumplimiento. Será necesario determinar, en cada fase del uso de los sistemas de IA, quién es el responsable y quién el encargado del tratamiento, ya que puede variar en cada una de ellas. En cualquier caso, es recomendable identificar un equipo o autoridad específica dentro de la empresa responsable del uso de sistemas de inteligencia artificial donde se procesan datos personales.
• Nombrar un Delegado de Protección de Datos: Dado que el uso de sistemas de IA suele implicar el procesamiento de datos a gran escala y/o la monitorización regular y sistemática a gran escala de individuos, será necesario que responsables y encargados designen un DPO.
• Registro de actividades de tratamiento: Responsables y encargados tendrán que elaborar un registro de actividades de tratamiento si emplean sistemas de IA, en el que se incluirán, entre otra información, los datos que se tratan, los propósitos de uso de la IA y las medidas de seguridad adoptadas. Si el propósito original cambia, el RAT deberá actualizarse.
• Contrato de entre responsable y encargado: En el contexto la Inteligencia Artificial y la protección de datos, la relación entre responsable y encargado puede variar, dependiendo de las funciones y responsabilidades precisas que las partes tienen en relación con la capacitación y el despliegue del sistema de IA; estas deben reflejarse adecuadamente en un contrato. Por ejemplo, un encargado puede entrenar un algoritmo bajo la instrucción de un responsable. A través de las disposiciones contractuales, los encargados pueden garantizar que estos sistemas de IA estén diseñados u operados para procesar datos personales solo de acuerdo con sus instrucciones y para los fines acordados entre las partes.
• Transferencias internacionales de datos: Si se transfieren datos personales fuera de la UE o el EEE (Espacio Económico Europeo), incluso cuando solo sea para entrenar un sistema de IA, será necesario aplicar las garantías necesarias, como son las cláusulas contractuales tipo.
• Brechas de seguridad: Siempre que haya una violación que involucre datos personales procesados por un sistema de IA, ya sea en la capacitación o en la fase de uso, el responsable debe informar a la AEPD y a las personas sobre el incumplimiento, si las condiciones relevantes se cumplen por las circunstancias del incidente. Esta notificación debe realizarse en un plazo no superior a 72 horas.
• Derechos de los interesados: El diseño de los sistemas de IA debe permitir que responsables del tratamiento puedan atender y responder a las solicitudes de derechos de los interesados (acceso, rectificación, supresión, limitación, portabilidad y oposición).

Particularidades de la protección de datos respecto a la IA

Como hemos ido viendo, la inteligencia artificial en el RGPD se regula en la misma medida que cualquier otra herramienta y/o tecnología utilizada para procesar datos personales.

Sin embargo, hay disposiciones del RGPD que son de particular relevancia para sistemas de IA. Estos incluyen:

• Procesamiento justo:

El concepto de procesamiento justo establecido en el artículo 5 del RGPD cubre una serie de prácticas de procesamiento y se superpone con el requisito de transparencia para asegurar la relación entre inteligencia artificial, privacidad y protección de datos.

También implica un análisis si el procesamiento tendrá un impacto adverso e injustificable en las personas involucradas.

Definir la justicia es un desafío continuo, ya que puede abarcar una amplia gama de significados. Es un concepto subjetivo y contextual que está influenciado por varios factores sociales, culturales y legales y que se magnifica en el contexto de IA.

El procesamiento justo requiere que los responsables consideren el impacto probable de su uso de IA en las personas y lo reevalúen continuamente. En particular, el procesamiento justo requiere que los sistemas de IA no produzcan sesgos.

El responsable debe tener en cuenta y justificar activamente por qué un algoritmo es justo y que el uso del algoritmo elegido no conduce a resultados inapropiados.

Si un sistema de IA no es lo suficientemente transparente, será imposible para aquellos que supervisan su uso identificar sesgos en su razonamiento y salida.

• Minimización de datos:

El principio de minimización de datos establecido en el artículo 5 del RGPD requiere que los datos personales sean «adecuados, relevantes y limitados a lo que es necesario en relación con los fines para los cuales son procesados».

Por definición, los sistemas de IA necesitan cantidades sustanciales de datos para operar de manera efectiva, particularmente durante la fase de entrenamiento. Por ejemplo, un sistema de IA que analiza los factores de riesgo de ataque cardíaco se proporcionará con datos sobre enfermedades cardíacas y ataques cardíacos, así como información más general de los médicos de varios pacientes y su estilo de vida (por ejemplo, fumar, beber, antecedentes de diabetes) durante la fase de entrenamiento.

Durante su implementación y uso, los datos de un paciente específico se analizarán dentro de un marco creado por la IA basado en todos los datos procesados durante la fase de entrenamiento.

Como tal, los sistemas de inteligencia artificial pueden no ser capaces de funcionar sin primero ser entrenados con un gran conjunto de datos. Mientras, esto puede verse como una tensión entre el uso de sistemas de IA y la ley de protección de datos, ya que no siempre es posible predecir qué elementos de datos pueden ser relevantes para el objetivo del sistema.

El principio en sí mismo no limita el procesamiento de datos a modo de referencia a un volumen específico o conjunto de elementos de datos: se refiere a lo que es «necesario» para los fines del procesamiento. Qué datos personales son considerados «necesarios» varía según el sistema de IA y el objetivo para el que se utiliza.

El hecho de que los datos personales deben ser limitados no significa que el sistema de IA en sí mismo sea inútil, especialmente porque no todos los sistemas de IA necesitan proporcionar una salida precisa.

Para sistemas que requieren una precisión del 100%, por ejemplo en la esfera médica, los controladores necesitan ingresar más datos que para los sistemas donde hay un margen de error aceptable.

Los responsables deben establecer límites que sean suficientes para lograr el propósito de procesamiento, en lugar de utilizar todos los datos disponibles.

• Evaluaciones de impacto en protección de datos (EIPD):

Cuando se propone utilizar IA, se puede requerir que los responsables consideren los riesgos que representa para las personas involucradas y si se mitigarán adecuadamente esos riesgos.

Los riesgos relacionados con la inteligencia artificial y protección de datos hacen más probable la necesidad de realizar un EIPD, según los criterios del artículo 35 del RGPD.

Las nuevas tecnologías incluyen dónde se usa la tecnología de manera innovadora y dónde se combinan las tecnologías para aumentar su efecto. Estas actividades brindan oportunidades para nuevas formas de recopilación y uso de datos y sus riesgos son desconocidos. Estas nuevas tecnologías exigen, por tanto, realizar una evaluación de impacto.

Cuando se requiere una consulta con la autoridad de protección de datos porque existe un riesgo residual en el uso del sistema, esta tiene la última palabra sobre si el uso de la IA es permisible o no. Esto puede resultar en la restricción de todo el sistema de inteligencia artificial, o potencialmente solo los aspectos del algoritmo que se consideran no conformes.

¿Qué riesgos tiene el tratamiento de datos en la IA?

El tratamiento de datos en la IA puede entrañar diferentes riesgos, que pueden tener consecuencias y un nivel de impacto diferente en los derechos de los interesados. Entre esos riesgos destacamos:

• Errores que afecten a la exactitud de los datos, como sesgos en la programación, errores de diseño y programación, fallos del hardware, etc., que pueden derivar en discriminaciones.
• Accesos no autorizados de terceros.
• Manipulación del sistema de IA para alterar los resultados obtenidos.
• Filtración de los datos que emplea la IA.
• Falta de base legal para el procesamiento de datos por sistemas de IA, especialmente en lo referente a datos de categorías especiales.
• Falta de transparencia (porque la información que se dé sobre el sistema de IA no sea lo suficientemente clara o comprensible).

Directrices para empresas de Inteligencia Artificial

Las pautas de ética sobre inteligencia artificial y privacidad establecen un marco para lograr una AI confiable, que comprende los siguientes siete requisitos clave que las empresas deben cumplir al diseñar sistemas de IA:

• Agencia humana y supervisión
• Robustez técnica y seguridad
• Privacidad y gobernanza de datos
• Transparencia
• Diversidad, no discriminación y equidad
• Bienestar ambiental y social
• Responsabilidad

Estos principios no se limitan a la privacidad de los datos y tienen como objetivo abordar un conjunto más amplio de preocupaciones derivadas de la AI. Sin embargo, se superponen de varias maneras con los requisitos del RGPD.

Por ejemplo, enfatizan el respeto por la autonomía humana, y específicamente la agencia humana y derechos asociados como requisitos clave cuando se usa AI.

El principio general de la autonomía del usuario debe ser central para la funcionalidad del sistema.

Es evidente que el empleo de sistema de IA para el procesamiento de datos personales entraña no solo una complejidad legal, sino también ética, por lo que a la hora de usar estos sistemas, como responsables o encargados del tratamiento, debemos tener en cuenta dichos aspectos y cumplir con las obligaciones y requisitos que hemos ido viendo a lo largo de este artículo, puesto que ya ha habido casos en los que el uso de la IA ha sido cuestionado y sancionado por diferentes tribunales.