DICTAMEN 28/2024 SOBRE LOS MODELOS DE IA: LOS PRINCIPIOS DEL RGPD RESPALDAN LA IA RESPONSABLE
Acceso al Dictamen en la página del CEPD: https://www.edpb.europa.eu/news/news/2024/edpb-opinion-ai-models-gdpr-principles-support-responsible-ai_en
El Comité Europeo de Protección de Datos (CEPD/EDPB) a solicitud de la Autoridad de Control Irlandesa conforme al art. 64.2 RGPD, ha emitido un dictamen sobre el uso de datos personales para el desarrollo y la implantación de modelos de inteligencia artificial (IA), en el que se aborda:
1) Cuándo y cómo pueden considerarse anónimos los modelos de IA.
El dictamen señala que si un modelo de IA es anónimo debe evaluarse caso por caso por las Autoridades de Control (AC). Para que un modelo sea considerado anónimo, debe ser muy improbable que:
- Permita identificar directa o indirectamente a las personas cuyos datos se usaron para crear el modelo, y
- Que se puedan extraer dichos datos personales del modelo mediante consultas.
El dictamen incluye una lista no prescriptiva y no exhaustiva de métodos para acreditar la anonimización.
2) Si el interés legítimo puede utilizarse como base jurídica para desarrollar o utilizar modelos de IA y, en su caso, como se aplicaría.
Proporciona consideraciones generales que las AC deben tener en cuenta al evaluar si el interés legítimo es una base jurídica adecuada para tratar datos personales en el desarrollo y la implementación de modelos de IA.
Un test o prueba de tres pasos (finalidad, necesidad y equilibrio) ayuda a evaluar el uso del interés legítimo como base jurídica.
El CEPD ofrece como ejemplos que pueden basarse en el interés legítimo, ya que pueden ser beneficiosos para las personas si se demuestra que el tratamiento es estrictamente necesario y se respeta el equilibrio de derechos:
- Un agente conversacional para asistir a usuarios.
- El uso de IA para mejorar la ciberseguridad.
La opinión también incluye una serie de criterios para ayudar a las AC a evaluar si las personas pueden esperar razonablemente ciertos usos de sus datos personales. Estos criterios incluyen:
- Si los datos personales eran públicos o no.
- La naturaleza de la relación entre el interesado y el responsable del tratamiento
- La naturaleza del servicio.
- El contexto en el que se recabaron los datos personales.
- La fuente de procedencia de los datos personales.
- Los posibles usos futuros del modelo.
- Si los interesados son conscientes de que sus datos personales están disponibles en línea.
Si la prueba de equilibrio muestra que el tratamiento no debe realizarse debido al impacto negativo en las personas, las medidas de mitigación pueden limitar este impacto negativo.
El dictamen incluye una lista no exhaustiva de ejemplos de tales medidas atenuantes, que pueden ser de carácter técnico, o facilitar a las personas el ejercicio de sus derechos o aumentar la transparencia.
3) Qué sucede si se desarrolla un modelo de IA utilizando datos personales tratados ilícitamente.
Desarrollar un modelo de IA con datos personales tratados ilícitamente, podría tener un impacto en la legalidad de su despliegue, a menos que el modelo haya sido debidamente anonimizado.
Teniendo en cuenta el alcance de la solicitud de la AC irlandesa, la gran diversidad de modelos de IA y su rápida evolución, el dictamen pretende ofrecer orientaciones sobre diversos elementos que pueden utilizarse para llevar a cabo un análisis caso por caso.