La Agencia Española de Protección de Datos (AEPD) ha lanzado una aproximación práctica para ayudar a los responsables de tratamiento a adaptar productos y servicios que incluyen Inteligencia Artificial (IA) al Reglamento (UE) 2016/679 o Reglamento General de Protección de Datos (RGPD). Audidat lo resumen en el siguiente artículo.
Hoy en día, bajo la etiqueta "Inteligencia Artificial" conviven múltiples soluciones, principalmente basadas en aprendizaje automático (machine learning), que forman parte de los procesos de tratamiento de datos personales. Es frecuente que estas soluciones sean desarrolladas por terceros proveedores e integradas en los sistemas de los responsables, lo cual añade complejidad a las obligaciones de cumplimiento.
La AEPD destaca que la incorporación de IA en los tratamientos de datos exige una evaluación exhaustiva de los riesgos para los derechos y libertades de los interesados, en línea con los principios del RGPD como la licitud, lealtad, transparencia, minimización de datos, limitación de finalidad y responsabilidad proactiva.
Obligaciones de los responsables
- Realizar una Evaluación de Impacto en la Protección de Datos (EIPD) cuando los tratamientos impliquen IA con riesgos elevados.
- Garantizar la transparencia algorítmica, informando de forma clara a los usuarios cuando se utilicen sistemas automatizados.
- Asegurar que existan mecanismos para el derecho a no ser objeto de decisiones automatizadas sin intervención humana significativa.
- Verificar contractualmente el cumplimiento normativo de los desarrolladores y proveedores de IA.
¿Qué posición adopta la IA entonces?
A la hora de realizar un análisis del tratamiento, el componente IA y el resto de los elementos que conforman el tratamiento se han de estudiar como un todo. Además, en función del tipo de aplicación, algunas de las etapas anteriores podrían estar solapadas. Por ejemplo, la validación de la IA se podría solapar durante sus etapas de desarrollo y explotación, o la etapa de evolución podría desarrollarse de manera simultánea a la etapa de inferencia.De cualquier modo, una solución IA será un elemento de proceso de datos que se incluirá en una o más fases de un tratamiento. En unos casos, el componente IA se desarrollará específicamente para dicho tratamiento, en otros muchos casos, dicho componente será desarrollado por terceros. En todo caso, el componente IA se integrará en un tratamiento específico junto a otros como: la recogida de datos, sistemas de archivos, módulos de seguridad, interfaces de usuario, etc.
La AEPD recuerda que el cumplimiento del RGPD no se suspende por el uso de Inteligencia Artificial. Al contrario, exige nuevas diligencias para asegurar que los sistemas sean legales, éticos y respetuosos con los derechos fundamentales. La adecuada gobernanza de la IA se ha convertido en una prioridad para consolidar la confianza de los usuarios y garantizar un desarrollo tecnológico seguro y sostenible.
