Sistemas de IA y protección de datos personales: un enfoque belga
Locations
Hace escasas semanas, la Secretaría General de la Autoridad de Protección de Datos belga («Autorité de protection des données») se pronunció, guía mediante, sobre la revolución que están suponiendo las tecnologías en las que se basan los sistemas de Inteligencia Artificial («IA») y cómo estas influyen, de manera significativa, en la forma en la que se recaban, utilizan y, en general, tratan, datos personales.
A efectos normativos, entiéndase como sistema de IA aquel «basado en una máquina que está diseñado para funcionar con distintos niveles de autonomía y que puede mostrar capacidad de adaptación tras el despliegue, y que (…) infiere de la información de entrada que recibe la manera de generar resultados de salida, como predicciones, contenidos, recomendaciones o decisiones, que pueden influir en entornos físicos o virtuales».
El avance de dichos sistemas, materializado en el desarrollo y posterior publicación del REGLAMENTO (UE) 2024/1689 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 13 de junio de 2024 por el que se establecen normas armonizadas en materia de inteligencia artificial («Reglamento IA»), plantea una serie de retos complejos en cuanto a protección de datos se refiere. La guía de la Autoridad de Control de Bélgica tiene por objeto proporcionar algunas pinceladas sobre el entramado que conforman la IA y la protección de datos personales.
RGPD y Reglamento IA
Es bien sabido que el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos («RGPD»), se fundamenta en un conjunto de principios, los cuales se concretan en obligaciones detalladas a lo largo del cuerpo normativo. Con la publicación y próxima aplicación del Reglamento IA, ambos textos se complementan a fin de proteger los derechos de los individuos en un ecosistema digital que se halla en evolución constante.
Es lo anterior, precisamente, lo que la Autoridad belga expone en su publicación:
- Los principios de licitud, lealtad y transparencia contemplados en el RGPD también encuentran su aplicación en los sistemas de IA; las bases legitimadoras del RGPD se aplican al tratamiento de datos personales mediante tales sistemas.
De igual forma, el Reglamento IA también se basa en el principio de lealtad del RGPD, pues este coincide en centrarse en mitigar los prejuicios y la discriminación en el desarrollo, despliegue y uso de los sistemas de IA.
El principio de transparencia del RGPD requiere que las personas usuarias de sistemas de IA sean informadas de que están interactuando con un sistema de inteligencia artificial, y de cómo se tratan sus datos; ha de proveerse a las personas usuarias de un mayor nivel de transparencia.
- La limitación de la finalidad y la minimización de datos impone a los sistemas de IA un uso limitado a fines que se ciñan, exclusivamente, a la función inicial prevista, por lo que no se permite la recogida y posterior tratamiento de datos excesivos. El Reglamento IA refuerza el principio de limitación de la finalidad del RGPD para los sistemas de IA de alto riesgo.
- El Reglamento IA también gravita en torno a los principios de exactitud y limitación del plazo de conservación, al exigir que los sistemas de IA de alto riesgo utilicen datos de calidad e imparciales, y solo hasta la consecución de la finalidad del tratamiento inicialmente prevista.
- Con relación a las decisiones automatizadas, la Autoridad belga realiza una distinción en cómo ambas normas las abordan: por un lado, el RGPD enfatiza la facultad de las personas interesadas de oponerse a decisiones exclusivamente automatizadas. Por otro lado, el Reglamento IA exige una supervisión humana proactiva de los sistemas de IA de alto riesgo, para salvaguardar de posibles sesgos y garantizar el desarrollo y uso responsable de dichos sistemas.
- Por último, en lo relativo a la seguridad en el tratamiento de datos personales, tanto el RGPD como el Reglamento IA hacen hincapié en la importancia de proteger los datos personales de las personas usuarias a lo largo de todo su ciclo de vida de tratamiento. Sin embargo, los sistemas de IA introducen riesgos específicos que requieren de medidas de seguridad adicionales y robustas, más allá de las habituales -más tradicionales- sugeridas por la normativa de protección de datos.
Incorporar todas las disposiciones legales anteriores al día a día de las especificaciones técnicas para los sistemas de IA puede ser difícil. Por ello, la Autoridad de Protección de Datos belga explica en su guía cómo hacerlo, mediante un caso práctico.
Practicidad: lo cotidiano extrapolado a los sistemas de IA y a la protección de datos personales
El escenario que se plantea analiza el supuesto de una empresa que desea implementar un sistema de IA para calcular primas de seguros de coches.
¿Qué aspectos debería tener en cuenta la empresa?:
- En primer lugar, los requisitos para un tratamiento de datos lícito, leal y transparente; es decir, la compañía habría de evaluar qué base legitimadora aplicar al tratamiento de datos de clientes, evitar el tratamiento de datos de categoría especial (para prevenir resultados discriminatorios), revisar las fuentes de datos para mitigar sesgos y realizar pruebas de equidad en los cálculos de primas.
- En segundo lugar, la empresa tendría que ser lo suficientemente clara sobre el uso que hace de los datos de sus clientes, mediante la confección e implementación de políticas de privacidad comprensibles y la facilitación de mecanismos adicionales para que estos clientes accedan a información sobre su cálculo de primas.
- En tercer lugar, debería considerar la implementación de estrategias para asegurar que solo se use la mínima cantidad de datos requeridos, que están actualizados -utilizando mecanismos de verificación y alertas sobre datos inexactos o incompletos-, así como limitar su tratamiento a aquellos estrictamente necesarios para el cálculo de primas.
- Finalmente, la compañía de seguros tendría que realizar evaluaciones de riesgos y aplicar, en consecuencia, medidas técnicas y organizativas, además de medidas específicas para los riesgos asociados a los sistemas de IA, como la validación de datos para entrenar y hacer funcionar el sistema de IA íntegra y correctamente, o establecer un marco para la supervisión humana a lo largo del ciclo de vida del sistema de IA.
Es esencial que se documente la base legitimadora para el uso de los datos y que la empresa realice y mantenga una evaluación de impacto sobre los derechos fundamentales, para identificar y mitigar riesgos en este sistema de IA.
Consideraciones finales: el cumplimiento normativo como garantía
En un contexto normativo marcado por el RGPD y por el Reglamento IA, la Autoridad de Protección de Datos de Bélgica ha decidido publicar una guía con un enfoque práctico sobre la integración de la protección de datos personales en la generación de sistemas de IA.
Los principios y las obligaciones definidos por el RGPD son clave para todo el engranaje legal recogido en el Reglamento IA.
Desde una perspectiva práctica, la guía proporciona un marco claro para las empresas que desean implementar sistemas de IA. Este enfoque resalta la importancia de establecer bases legales claras, ser transparentes en el uso de datos y aplicar controles estrictos de calidad y minimización de datos. Asimismo, se remarca la necesidad de realizar evaluaciones de impacto y la incorporación de supervisión humana en decisiones automatizadas para prevenir sesgos.
Sirva como complemento a este artículo los recursos y herramientas en los que la Agencia Española de Protección de Datos trabaja y publica, sobre inteligencia artificial.