CONCEPTOS ERRÓNEOS DE LA INTELIGENCIA ARTIFICIAL EN LO QUE A LA APLICACIÓN DE LA NORMATIVA DE PROTECCIÓN DE DATOS SE REFIERE
La inteligencia artificial generativa (IAG) es un método de desarrollo de aplicaciones y servicios basado en un uso intensivo de los datos.
La autoridad británica de protección de datos (Information Commissioner’s Office -ICO-) ha llevado a cabo una consulta pública sobre los usos que hace el sector de áreas específicas de IAG, publicando, en base a los resultados obtenidos, las siguientes aclaraciones para que los desarrolladores cumplan con la normativa de protección de datos, por tanto útiles para los responsables de tratamientos que desarrollan o emplean IAG.
A continuación resumimos las aclaraciones a los malentendidos que identifica el ICO en su encuesta:
1. El tratamiento «incidental» o «no intencionado» de datos personales sigue constituyendo un tratamiento de datos personales, por tanto, se aplica la normativa de protección de datos.
Los desarrolladores de IAG deben evaluar, con precisión y de forma previa, si sus modelos tratan datos personales, aunque sea de forma incidental o no intencionada y, en su caso, garantizar el cumplimiento de la normativa aplicable.
2. La práctica común no equivale a satisfacer las expectativas razonables de las personas.
Las organizaciones no deben asumir que una determinada forma de tratamiento estará dentro de las expectativas razonables de las personas, simplemente porque se considera una «práctica común”.
Esto es particularmente relevante cuando se trata del uso novedoso de datos personales para entrenar una IAG de manera invisible (p.ej., recabando los datos mediante web scraping y sin informar a los interesados) o años después de que alguien los proporcionara para un fin diferente (cuando sus expectativas eran, por defecto, diferentes). El principio de transparencia exige que los responsables del tratamiento informen de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo sobre el uso de los datos personales, y en este caso, tal principio deberá aplicar al entrenamiento de los modelos y la reutilización de datos personales con fines distintos a los originalmente previstos.
3. Diferencia entre «información de identificación personal» y «datos personales».
Muchas organizaciones centran sus esfuerzos de cumplimiento de la IAG en torno al concepto de «información de identificación personal» (PII, por sus siglas en inglés). Sin embargo, para garantizar el cumplimiento normativo en protección de datos deberían considerar el tratamiento de cualquier «dato personal». Este último es un concepto más amplio y legalmente definido en el RGPD, que incluye cualquier información relativa a una persona física identificada o identificable, lo que abarca un espectro más amplio que la PII. Este matiz es clave para evitar interpretaciones erróneas en la aplicación de las obligaciones normativas.
4. Las organizaciones no deben considerar directamente aplicable la jurisprudencia sobre el cumplimiento de la protección de datos en los motores de búsqueda al ámbito de la IAG.
La jurisprudencia relacionada con los motores de búsqueda no puede extrapolarse automáticamente a la IA generativa, existen diferencias clave que hacen que la lógica de estas decisiones judiciales pueda no ser aplicable. Por ejemplo, mientras que un motor de búsqueda tiene la intención de indexar, clasificar y priorizar la información y ponerla a disposición del público, la IAG va más allá al sintetizar la información y producir nuevos contenidos en sus salidas. Los operadores de motores de búsqueda tradicionales también permiten a las personas ejercer sus derechos, en particular el derecho de supresión, lo que no es una práctica habitual en los desarrolladores de IAG. En la UE, esto refuerza la necesidad de un análisis específico del cumplimiento del RGPD y de los nuevos riesgos para los derechos y libertades asociados a la generación de contenido a partir de datos personales.
5. Los modelos de IAG pueden incorporar datos personales.
Los modelos de IAG pueden retener información personal con la que han sido entrenados y, en algunos casos, esta puede ser recuperable o divulgable. Desde la perspectiva del RGPD, esto tiene implicaciones significativas, especialmente en lo que respecta al principio de minimización de datos y al derecho de supresión.
6. El alcance de la protección de datos y su relación con otros marcos normativos.
La protección de datos no puede ser utilizada como una herramienta para interpretar la legalidad en otros ámbitos normativos. Si bien el incumplimiento de otras normativas puede conllevar también una infracción del RGPD (p. ej., en el caso de un tratamiento ilícito de datos personales), las autoridades de protección de datos no son competentes para determinar la legalidad en otras materias.
7. No existe una «excepción para la IA» en la normativa de protección de datos.
Las organizaciones deben ser conscientes de que no hay excepciones generales ni exenciones para la IAG en lo que a la aplicación de la normativa de protección de datos se refiere. Si una organización está tratando datos personales, en cualquier contexto, se aplicará toda la normativa de protección de datos. Además, es fundamental que las organizaciones adopten un enfoque de «protección de datos desde el diseño y por defecto» para garantizar el respeto a los derechos de los interesados.
Acceso a la noticia en la página de la AEPD: https://www.aepd.es/prensa-y-comunicacion/blog/abordando-conceptos-erroneos-de-la-inteligencia-artificial
Acceso a la noticia en la página del ICO: https://ico.org.uk/about-the-ico/what-we-do/our-work-on-artificial-intelligence/response-to-the-consultation-series-on-generative-ai/tackling-misconceptions/