Claves del Dictamen del CEPD sobre Anonimización y tratamiento de datos personales en modelos IA

El Comité Europeo de Protección de Datos (CEPD) ha emitido el Dictamen 28/2024, abordando aspectos clave sobre el tratamiento de datos personales en el desarrollo y despliegue de modelos de inteligencia artificial (IA). Este documento responde a consultas de la Autoridad Irlandesa de Protección de Datos y analiza los criterios para considerar un modelo de IA como anónimo, la idoneidad del interés legítimo como base legal y el impacto del tratamiento ilícito de datos personales en estos modelos.

El CEPD establece que un modelo de IA, incluso si no está diseñado para generar datos personales, puede recoger este tipo de información y permitir su acceso por terceros. Por ello, un modelo de IA será considerado anónimo si es altamente improbable que: (i) permita identificar directa o indirectamente a las personas cuyos datos se usaron en su creación; o (ii) se puedan extraer datos personales del modelo mediante consultas.

Para lograr dicha anonimización, el CEPD destaca la necesidad de:

• Usar técnicas que garanticen que no sea posible identificar, vincular o deducir información de los datos supuestamente anónimos.
• Analizar las características de los datos de entrenamiento, el proceso de entrenamiento y el contexto de despliegue, considerando también el tiempo, coste y tecnología necesarios para identificar a las personas.
• Evaluar los riesgos de identificación tanto por parte del responsable del tratamiento como de terceros, incluyendo situaciones de acceso no autorizado.

El CEPD también considera que el interés legítimo puede ser una base legal adecuada para el tratamiento de datos personales en modelos de IA, siempre que se cumplan tres requisitos: que el interés sea real y preciso, que el tratamiento sea necesario y que no existan medios menos lesivos para lograr ese interés. Además, es fundamental superar una prueba de sopesamiento, analizando los riesgos para los interesados durante el desarrollo y despliegue del modelo, como por ejemplo posibles vulneraciones de derechos fundamentales en procesos de selección de personal, el impacto del tratamiento y las expectativas razonables de los interesados.

Asimismo, se presta atención a las medidas técnicas a ser implementadas por el responsable para mitigar cualquier riesgo de incumplimiento del RGPD. Entre las medidas propuestas por el CEPD, son de destacar las medidas a implementar en la fase de despliegue tales como: aquellas que prevengan la generación de datos personales o su almacenamiento (a través de técnicas de anonimización ya en el momento de entrada de los datos)  o, aquellas que faciliten el ejercicio de derechos por parte de los interesados, principalmente, el derecho de supresión, especialmente cuando los datos depositados en el modelo sirvan para retroalimentar el propio modelo. 
 
En relación con el uso de datos tratados de forma ilícita en el desarrollo de modelos de IA, el CEPD destaca varios escenarios de los que puede extraerse lo siguiente:

• Si un modelo se desarrolla utilizando datos personales tratados de forma ilícita y estos datos permanecen en el modelo, la legalidad de su uso posterior puede verse comprometida si no existe una expectativa real de dicho tratamiento. En este caso, cada responsable debe garantizar la legalidad de su propio tratamiento y ser capaz de demostrar que el modelo no se creó a partir de datos personales obtenidos de manera ilícita.
   
• Si un responsable trata datos personales de forma ilícita durante el desarrollo del modelo, pero posteriormente anonimiza los datos antes de su uso, es poco probable que el RGPD se aplique al tratamiento posterior, ya que los datos anonimizados no se consideran datos personales. Por lo tanto, la ilegalidad inicial no tendría por qué afectar a la operación posterior del modelo. No obstante, el CEPD destaca que dicha situación previa, continuaría siendo ilícita y no estaría exenta de riesgo de incumplimiento del RGPD.