El desarrollo y uso cada vez más extendido de sistemas y soluciones de inteligencia artificial, basadas necesariamente en el uso masivo de datos, entre los cuales puede haber datos personales, requiere de analizar la relación entre protección de datos e inteligencia artificial, cómo afecta la primera a la segunda y qué riesgos para la privacidad plantea el uso de IA.
En este artículo hablamos de:
- ¿Cuál es la conexión entre protección de datos e inteligencia artificial?
- ¿Cómo afecta la protección de datos a la inteligencia artificial?
- ¿Qué riesgos tiene la inteligencia artificial para la protección de datos?
- ¿Cómo adaptar el uso de IA a la ley de protección de datos?
- Consecuencias de no cumplir la protección de datos en el uso de sistemas de IA
¿Cuál es la conexión entre protección de datos e inteligencia artificial?
La conexión entre protección de datos e inteligencia artificial son los datos; cualquier sistema o modelo de IA está basado en datos, ya que es necesario emplear grandes cantidades de datos para entrenarlos. Y entre esos datos, hay datos personales.
Es cierto que no todos los sistemas o modelos de IA usan datos personales, puesto que los datos de entrenamiento utilizados dependen del modelo de IA y su finalidad, y algunos son entrenados con datos anonimizados. Sin embargo, el uso masivo de datos personales para el entrenamiento de diferentes modelos de IA es una realidad (pensemos, por ejemplo, en los sistemas de reconocimiento facial, entrenados con millones de fotografías), como lo es el uso de sistemas de IA para la toma de decisiones automatizadas o la elaboración de perfiles. Lo que puede entrañar un choque con la protección de la privacidad de los datos.
El uso de datos personales en los sistemas de IA, ya sea para su entrenamiento o para su uso, conlleva un tratamiento de datos personales, por lo que se deben tener en cuenta las obligaciones contempladas en el RGPD (además de la Ley de Inteligencia de la UE, que entrará en vigor a lo largo de 2026 y que dedica el artículo 10 a los datos y la gobernanza de datos).
¿Cómo afecta la protección de datos a la inteligencia artificial?
Si un modelo de IA usa datos personales, la normativa de protección de datos le afecta plenamente y por ese motivo hemos visto cómo desde la llegada al público general de sistemas de IA como ChatGPT o Gemini, sus responsables han tenido que ir «afinando» su política de privacidad, especialmente en lo referente a cómo y con qué finalidad se tratan los datos personales que recaba el modelo.
En ese sentido, cabe señalar que no todas las empresas de IA están siendo igual de transparentes respecto al uso que hacen de los datos personales de sus usuarios, lo que plantea, cómo veremos más adelante, toda una serie de riesgos para la privacidad y la protección de datos.
La inteligencia artificial está cada vez más presente en nuestras vidas, puede que no fuéramos muy consciente de ello hasta la irrupción de las IA generativas, pero redes sociales, tiendas online, plataformas de streaming, etc., ya venían utilizando sistemas de inteligencia artificial para mejorar y personalizar la experiencia de usuario y obtener información relevante sobre sus hábitos de navegación e intereses (los famosos algoritmos de Google, Meta o X que nos muestran aquello que «creen» que queremos ver).
Tanto esos tratamientos de datos a través de IA como los que se están desarrollando actualmente y los que están por venir (es una tecnología que avanza a considerable velocidad) deben quedar supeditados y estar regulados por el RGPD, que exige respetar y recabar el consentimiento informado y explícito del interesado para realizar estos tratamientos de datos.
Es decir, cualquier entidad que desarrolle o use sistemas o modelos de IA debe ser transparente, informar debidamente a los usuarios sobre si sus datos e información personal van a ser usados para entrenar modelos de IA o será procesada por uno de estos modelos con alguna finalidad específica. Además, deberá recabar el consentimiento para ello y cumplir con el resto de obligaciones en materia de protección de datos (en lo que profundizaremos más adelante).
En ese sentido, hay voces que afirman que regular el uso de la IA de forma más estricta, puede suponer limitar su desarrollo, sin embargo, el desarrollo de una tecnología como esta, con riesgos potenciales para la humanidad (como ya han reconocido muchos expertos e incluso sus propios creadores), no puede basarse en la vulneración de la privacidad.
¿Qué riesgos tiene la inteligencia artificial para la protección de datos?
La inteligencia artificial plantea una serie de riesgos para la protección de datos, especialmente relacionados con los principios de licitud, lealtad y transparencia (procesamiento justo), de minimización y de finalidad, que se ven directamente afectados por la forma en que los sistemas o modelos de IA son entrenados y ejecutados.
Vulneración del procesamiento justo
El procesamiento justo requiere que los responsables consideren el impacto probable de su uso de IA en las personas y lo reevalúen continuamente. En particular, el procesamiento justo requiere que los sistemas de IA no produzcan sesgos.
El responsable debe tener en cuenta y justificar activamente por qué un algoritmo es justo y que el uso del algoritmo elegido no conduce a resultados inapropiados.
Si un sistema de IA no es lo suficientemente transparente, será imposible para aquellos que supervisan su uso identificar sesgos en su razonamiento y salida.
Vulneración del principio de minimización
El principio de minimización de datos establecido en el artículo 5 del RGPD requiere que los datos personales sean «adecuados, relevantes y limitados a lo que es necesario en relación con los fines para los cuales son procesados».
Por definición, los sistemas de IA necesitan cantidades sustanciales de datos para operar de manera efectiva, particularmente durante la fase de entrenamiento, ¿pero cuántos datos son suficientes?
Esto puede verse como una tensión entre el uso de inteligencia artificial y protección de datos, ya que no siempre es posible predecir qué elementos de datos pueden ser relevantes para el objetivo del sistema.
El principio en sí mismo no limita el procesamiento de datos a modo de referencia a un volumen específico o conjunto de elementos de datos: se refiere a lo que es «necesario» para los fines del procesamiento. Qué datos personales son considerados «necesarios» varía según el sistema de IA y el objetivo para el que se utiliza.
Los responsables deben establecer límites que sean suficientes para lograr el propósito de procesamiento, en lugar de utilizar todos los datos disponibles.
Vulneración del principio de finalidad
El principio de finalidad determina que los tratamientos de datos deben tener una o varias finalidades determinadas, explícitas y legítimas, no pudiendo utilizar los datos personales recabados para finalidades diferentes.
Los sistemas o modelos de IA se han entrenado y se siguen entrenando con datos e información personal que no se habría recogido con ese fin, lo que supone una vulneración de este principio. No ha sido hasta 2023 que varias empresas han empezado a incluir en sus políticas de privacidad la finalidad de usar los datos recabados para entrenar sus modelos de IA (es el caso, por ejemplo, de Google).
Otros riesgos para los derechos y libertades de los interesados
Aparte de los riesgos anteriores, existen también otros peligros de la inteligencia artificial para la protección de datos y la privacidad que pueden afectar directamente a los derechos y libertades de los interesados. Entre ellos destacamos:
- Errores que afecten a la exactitud de los datos, como sesgos en la programación, errores de diseño y programación, fallos del hardware, etc., que pueden derivar en discriminaciones.
- Accesos no autorizados de terceros.
- Manipulación del sistema de IA para alterar los resultados obtenidos.
- Filtración de los datos que emplea la IA.
- Falta de base legal para el procesamiento de datos por sistemas de IA, especialmente en lo referente a datos de categorías especiales.
- Falta de transparencia (porque la información que se dé sobre el sistema de IA no sea lo suficientemente clara o comprensible).
¿Cómo adaptar el uso de IA a la ley de protección de datos?
Para adaptar el uso de inteligencia artificial a la ley de protección de datos, tanto por quienes desarrollan sistemas o modelos de IA, como por aquellos que los emplean como soluciones dentro de sus servicios, y poder minimizar los riesgos descritos en los puntos anteriores, es necesario poner en práctica los siguientes pasos y medidas:
1.- Establecer la base legitimadora para el empleo de sistemas de IA en el procesamiento de datos personales:
En la práctica, y dentro del contexto de inteligencia artificial y protección de datos, esto significa que es necesario definir el objetivo del procesamiento de la IA desde el principio y asegurarse de que el propósito original del mismo se reevalúa si el sistema de IA proporciona un resultado inesperado, ya sea para que puedan identificarse los intereses legítimos perseguidos o para que el consentimiento válido, según sea el caso, pueda ser recogido de individuos.
2.- Aplicar los principios de:
- Limitación: Se deberá determinar el propósito del uso del sistema de IA al comienzo de su capacitación o implementación, y realizar una reevaluación de esto para determinar si el procesamiento del sistema arroja resultados inesperados. Los datos personales solo se recopilarán para «fines específicos, explícitos y legítimos» y no se utilizarán de una manera que sea incompatible con el propósito original. En el mismo sentido, el principio de limitación del tratamiento requiere que los datos personales se mantendrán en forma identificable por un tiempo no superior al necesario para los fines para los cuales se procesan.
- Precisión: Los datos usados por el sistema de IA deben ser precisos y exactos. Alimentar un sistema de IA con datos inexactos podría disminuir la calidad del resultado, y este principio requiere que los usuarios de IA adopten un enfoque particularmente vigilante para garantizar que el conjunto de datos no se diluye con datos de mala calidad. La decisión imprecisa podría tener un impacto significativo en las personas.
- Procesamiento seguro: Desarrolladores y/o usuarios de sistemas de IA que procesen datos personales deberán considerar los riesgos de seguridad que plantea el uso de estos sistemas y aplicar aquellas medidas de seguridad que contribuyan a mitigarlos. Entre esos riesgos se incluye la posibilidad de accesos no autorizados de terceros con el potencial de manipular el algoritmo y, por tanto, los resultados obtenidos.
- Responsabilidad proactiva o accountability: En el contexto de la inteligencia artificial y protección de datos, responsables y encargados deben rendir cuentas tanto a los reguladores como a las personas, y deben tener en cuenta la probabilidad y gravedad de las consecuencias del uso de la IA en las personas. No pueden simplemente desplegar un sistema de inteligencia artificial y luego culpar a ese sistema cuando su salida daña a las personas o resulta en incumplimiento. Será necesario determinar, en cada fase del uso de los sistemas de IA, quién es el responsable y quién el encargado del tratamiento, ya que puede variar en cada una de ellas. En cualquier caso, es recomendable identificar un equipo o autoridad específica dentro de la empresa responsable del uso de sistemas de inteligencia artificial donde se procesan datos personales.
- Transparencia: Los interesados deben ser informados del uso de sistemas de IA en el tratamiento de sus datos. Esta es la información que se les debe facilitar:
- Si podrán ser re-identificados a partir de los datos usados por el modelo de IA en su fase de entrenamiento
- Detalle y relevancia de los datos utilizados para la toma de decisiones.
- Calidad de los datos de entrenamiento y patrones.
- Perfilados realizados.
- Valores de precisión o error según la métrica aplicada para determinar la inferencia.
- Supervisión humana cualificada (en su caso).
- Auditorías y certificación del sistema.
- Presencia de datos de terceros, prohibiciones y sanciones previstas.
3.- Nombrar un Delegado de Protección de Datos:
Dado que el uso de sistemas de IA suele implicar el procesamiento de datos a gran escala y/o la monitorización regular y sistemática a gran escala de individuos, será necesario que responsables y encargados designen un DPO.
4.- Registro de actividades de tratamiento:
Responsables y encargados tendrán que elaborar un registro de actividades de tratamiento si emplean sistemas de IA, en el que se incluirán, entre otra información, los datos que se tratan, los propósitos de uso de la IA y las medidas de seguridad adoptadas. Si el propósito original cambia, el RAT deberá actualizarse.
5.- Contrato de entre responsable y encargado:
En el contexto de la inteligencia artificial y la protección de datos, la relación entre responsable y encargado puede variar, dependiendo de las funciones y responsabilidades precisas que las partes tienen en relación con la capacitación y el despliegue del sistema de IA; estas deben reflejarse adecuadamente en un contrato.
Por ejemplo, un encargado puede entrenar un algoritmo bajo la instrucción de un responsable. A través de las disposiciones contractuales, los encargados pueden garantizar que estos sistemas de IA estén diseñados u operados para procesar datos personales solo de acuerdo con sus instrucciones y para los fines acordados entre las partes.
6.- Transferencias internacionales de datos:
Si se transfieren datos personales fuera de la UE o el EEE (Espacio Económico Europeo), incluso cuando solo sea para entrenar un sistema de IA, será necesario aplicar las garantías necesarias, como son las cláusulas contractuales tipo.
7.- Brechas de seguridad:
Siempre que haya una violación que involucre datos personales procesados por un sistema de IA, ya sea en la capacitación o en la fase de uso, el responsable debe informar a la AEPD y a las personas sobre el incumplimiento, si las condiciones relevantes se cumplen por las circunstancias del incidente. Esta notificación debe realizarse en un plazo no superior a 72 horas.
8.- Derechos de los interesados:
El diseño de los sistemas de IA debe permitir que responsables del tratamiento puedan atender y responder a las solicitudes de derechos de los interesados (derecho de acceso, de rectificación, de supresión, de limitación, de portabilidad y de oposición).
Consecuencias de no cumplir la protección de datos en el uso de sistemas de IA
No cumplir con la protección de datos en el uso de sistemas o modelos de IA tiene las mismas consecuencias que en cualquier otro ámbito en el que se vulnere la normativa, sanciones que podrían alcanzar los 20 millones de euros o el 4% de la facturación anual.
Teniendo en cuenta los volúmenes de datos que manejan tanto en el entrenamiento como en el uso de los sistemas y modelos de IA, y que entre estos podría haber datos de categorías especiales, las sanciones que podrían imponerse a las empresas que vulneren el RGPD podrían ser realmente elevadas. Por no mencionar las sanciones previstas en la Ley de Inteligencia Artificial que, cómo ya dijimos, también tiene relación con el uso de datos personales en estos sistemas.
En definitiva, la protección de datos tiene una incidencia directa sobre la inteligencia artificial, especialmente en aquellos sistemas y modelos que emplean datos personales tanto en su entrenamiento como en su uso, además de representar un riesgo potencial para la privacidad de los datos. Por lo que a la hora de usar estos sistemas, como responsables o encargados del tratamiento, debemos tener en cuenta que el RGPD sigue siendo de aplicación y cumplir con sus obligaciones y requisitos, para no vulnerar la privacidad de nuestros clientes, usuarios o empleados.