Inteligencia Artificial, el consentimiento como base legitimadora, y la anonimización como medida técnica de seguridad

La inteligencia artificial (IA) la podríamos definir como una solución de software y en algunos casos de hardware, diseñada por el ser humano para razonar sobre el conocimiento o el tratamiento de información en base a actuaciones tanto físicas como digitales, que incluyen el recabo, tratamiento e interpretación de datos estructurados o no estructurados, con el fin de identificar y adoptar las mejores medidas a tomar para lograr el objetivo fijado.
Según la Comisión Europea, para que una solución de IA se considere confiable debería cumplir:
  • La posibilidad de supervisión humana
  • La robustez y seguridad técnicas
  • El establecimiento de un sistema de gobernanza de la privacidad y los datos
  • La transparencia
  • La equidad, diversidad y no discriminación
  • El bienestar social y medioambiental
  • La responsabilidad proactiva o demostrable (accountability)
Una solución IA será un elemento de proceso de datos que se incluirá en una o más fases de un tratamiento. El componente IA puede ser desarrollado por el propio responsable para un tratamiento específico o por terceros para varios tratamientos de distintos responsables. En cualquier caso, el componente IA no permanecerá aislado, sino que se integrará en tratamientos específicos junto a otros componentes como: la recogida de datos, sistemas de archivos, módulos de seguridad, interfaces de usuario, etc.

 Las posibles fases de una solución IA serían:

  • Entrenamiento
  • Validación
  • Despliegue
  • Explotación (inferencia, decisión, evolución)
  • Retirada

En las distintas fases de un componente IA será responsable del tratamiento la entidad que tome la decisión de realizar el tratamiento de datos personales. En las distintas etapas pueden intervenir distintos responsables y encargados, además de plantearse situaciones de comunicaciones de datos entre responsables.

Hay un conjunto de condiciones mínimas que deben cumplirse para garantizar la conformidad del tratamiento que haga uso de soluciones de IA con el GDPR:

  • Existencia de una base legitimadora (art. 6)
  • Transparencia e información a los interesados (arts. 12 al 14)Transparencia también con los operadores del tratamiento
  • Proporcionar a los interesados mecanismos para el ejercicio de sus derechos (arts. 15 al 23)
  • Aplicación del principio de responsabilidad proactiva o demostrable (artículos 24 al 43), la necesidad de incorporar una serie de garantías documentadas y orientadas a gestionar el riesgo para los derechos y libertades de los individuos. En particular, la obligación de mantener un registro de actividades de tratamiento (artículo 30 del GDPR)
  • Si es el caso, cumplimiento de las condiciones para poder realizar transferencias internacionales de datos (artículos 44 al 50 del GDPR)

  De estas condiciones mínimas destacar dos cuestiones:

1.     Consentimiento como base legitimadora del tratamiento:

En lo referente a la legitimación del tratamiento, nos planteamos si el consentimiento (artículo 6.1.a) GDPR), puede ser una base jurídica adecuada en todos los casos en que la solución de IA implique un tratamiento de datos personales.

Para ello si recurrimos a la definición que el GDPR ofrece sobre el consentimiento en su artículo 4.11, dice que “es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

Y hasta qué punto puede considerarse consentimiento informado si en la gran mayoría de los casos los interesados no serán capaces de entender cómo y con qué medios se tratarán sus datos, con la consecuente pérdida de transparencia, al perder el interesado cualquier información sobre el destino, la ubicación o los destinatarios de sus datos personales y, por tanto, cualquier capacidad de control sobre aquellos.

Del mismo modo, si atendemos a lo expuesto en el considerando 43 GDPR, esto es “para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento”; hasta qué punto en determinadas situaciones en que se pretende legitimar el tratamiento con el consentimiento del interesado, este se encuentra en una posición de igualdad con el promotor de la solución de IA, y por tanto considerar que el consentimiento se prestó libremente.

De ahí que en los casos en que se pueda legitimar el tratamiento con otra base jurídica de las reguladas en el artículo 6.1. del GDPR, sería aconsejable optar por ello.

Caso  que hubiese que basar el tratamiento en el consentimiento deberemos tener en cuenta el principio de licitud, lealtad y transparencia de manera que se informe al interesado de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.

2.     La anonimización como medida técnica:

En lo referente a la anonimización, entendida esta como un proceso cuya finalidad es eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados, pero manteniendo la veracidad de los resultados del tratamiento de los mismos. Es decir, se reduce al mínimo el riesgo de reidentificación, pero no se mitiga totalmente, podemos determinar pues que la anonimización absoluta actualmente no existe, además como numerosos expertos coinciden, con tiempo y recursos se podría reidentificar cualquier dato sometido a un proceso de anonimización.

El propio GT29 en su Dictamen 05/2014 sobre técnicas de anonimización, entre otros puntos, en el resumen inicial (página 4) advierte que un conjunto de datos anonimizado puede entrañar todavía riesgos residuales para los interesados.

Por tanto, si no tenemos acceso a técnicas de anonimización absoluta, en las que la reidentificación del dato anonimizado sea absolutamente imposible, podríamos optar por la seudonimización, más aún en algunos casos, como puede ser la investigación científica, en la que la reidentificación puede ser necesaria en el supuesto caso de descubrir resultados determinantes para el grupo de personas objeto de la investigación.

En el caso de emplear técnicas de seudonimización deberemos tener en cuenta ciertos criterios y requisitos para habilitarla como medio técnico para el tratamiento de datos personales (ejemplo DA 17ª apartado 2, letra d) LOPDGDD para el tratamiento de datos personales en la investigación de salud pública y biomédica)

 

REFERENCIAS

GDPR

Reglamento (UE) 2016/679

LOPDGDD

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales  

AEPD

Adecuación al GDPR de tratamientos que incorporan Inteligencia Artificial

CE

El Libro Blanco de la Comisión Europea sobre Inteligencia Artificial

GT29

Dictamen 05/2014 sobre técnicas de anonimización

 

La inteligencia artificial (IA) la podríamos definir como una solución de software y en algunos casos de hardware, diseñada por el ser humano para razonar sobre el conocimiento o el tratamiento de información en base a actuaciones tanto físicas como digitales, que incluyen el recabo, tratamiento e interpretación de datos estructurados o no estructurados, con el fin de identificar y adoptar las mejores medidas a tomar para lograr el objetivo fijado.

Según la Comisión Europea, para que una solución de IA se considere confiable debería cumplir:

  • La posibilidad de supervisión humana
  • La robustez y seguridad técnicas
  • El establecimiento de un sistema de gobernanza de la privacidad y los datos
  • La transparencia
  • La equidad, diversidad y no discriminación
  • El bienestar social y medioambiental
  • La responsabilidad proactiva o demostrable (accountability)

Una solución IA será un elemento de proceso de datos que se incluirá en una o más fases de un tratamiento. El componente IA puede ser desarrollado por el propio responsable para un tratamiento específico o por terceros para varios tratamientos de distintos responsables. En cualquier caso, el componente IA no permanecerá aislado, sino que se integrará en tratamientos específicos junto a otros componentes como: la recogida de datos, sistemas de archivos, módulos de seguridad, interfaces de usuario, etc.

Las posibles fases de una solución IA serían:

  • Entrenamiento
  • Validación
  • Despliegue
  • Explotación (inferencia, decisión, evolución)
  • Retirada

En las distintas fases de un componente IA será responsable del tratamiento la entidad que tome la decisión de realizar el tratamiento de datos personales.

En las distintas etapas pueden intervenir distintos responsables y encargados, además de plantearse situaciones de comunicaciones de datos entre responsables.

Hay un conjunto de condiciones mínimas que deben cumplirse para garantizar la conformidad del tratamiento que haga uso de soluciones de IA con el GDPR:

  • Existencia de una base legitimadora (art. 6)
  • Transparencia e información a los interesados (arts. 12 al 14)Transparencia también con los operadores del tratamiento
  • Proporcionar a los interesados mecanismos para el ejercicio de sus derechos (arts. 15 al 23)
  • Aplicación del principio de responsabilidad proactiva o demostrable (artículos 24 al 43), la necesidad de incorporar una serie de garantías documentadas y orientadas a gestionar el riesgo para los derechos y libertades de los individuos. En particular, la obligación de mantener un registro de actividades de tratamiento (artículo 30 del GDPR)
  • Si es el caso, cumplimiento de las condiciones para poder realizar transferencias internacionales de datos (artículos 44 al 50 del GDPR)

De estas condiciones mínimas destacar dos cuestiones:

1. Consentimiento como base legitimadora del tratamiento:

En lo referente a la legitimación del tratamiento, nos planteamos si el consentimiento (artículo 6.1.a) GDPR), puede ser una base jurídica adecuada en todos los casos en que la solución de IA implique un tratamiento de datos personales.

Para ello si recurrimos a la definición que el GDPR ofrece sobre el consentimiento en su artículo 4.11, dice que “es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

Y hasta qué punto puede considerarse consentimiento informado si en la gran mayoría de los casos los interesados no serán capaces de entender cómo y con qué medios se tratarán sus datos, con la consecuente pérdida de transparencia, al perder el interesado cualquier información sobre el destino, la ubicación o los destinatarios de sus datos personales y, por tanto, cualquier capacidad de control sobre aquellos.

Del mismo modo, si atendemos a lo expuesto en el considerando 43 GDPR, esto es “para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento”; hasta qué punto en determinadas situaciones en que se pretende legitimar el tratamiento con el consentimiento del interesado, este se encuentra en una posición de igualdad con el promotor de la solución de IA, y por tanto considerar que el consentimiento se prestó libremente.

De ahí que en los casos en que se pueda legitimar el tratamiento con otra base jurídica de las reguladas en el artículo 6.1. del GDPR, sería aconsejable optar por ello.

Caso  que hubiese que basar el tratamiento en el consentimiento deberemos tener en cuenta el principio de licitud, lealtad y transparencia de manera que se informe al interesado de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.

2. La anonimización como medida técnica:

En lo referente a la anonimización, entendida esta como un proceso cuya finalidad es eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados, pero manteniendo la veracidad de los resultados del tratamiento de los mismos. Es decir, se reduce al mínimo el riesgo de reidentificación, pero no se mitiga totalmente, podemos determinar pues que la anonimización absoluta actualmente no existe, además como numerosos expertos coinciden, con tiempo y recursos se podría reidentificar cualquier dato sometido a un proceso de anonimización.

El propio GT29 en su Dictamen 05/2014 sobre técnicas de anonimización, entre otros puntos, en el resumen inicial (página 4) advierte que un conjunto de datos anonimizado puede entrañar todavía riesgos residuales para los interesados.

Por tanto, si no tenemos acceso a técnicas de anonimización absoluta, en las que la reidentificación del dato anonimizado sea absolutamente imposible, podríamos optar por la seudonimización, más aún en algunos casos, como puede ser la investigación científica, en la que la reidentificación puede ser necesaria en el supuesto caso de descubrir resultados determinantes para el grupo de personas objeto de la investigación.

En el caso de emplear técnicas de seudonimización deberemos tener en cuenta ciertos criterios y requisitos para habilitarla como medio técnico para el tratamiento de datos personales (ejemplo DA 17ª apartado 2, letra d) LOPDGDD para el tratamiento de datos personales en la investigación de salud pública y biomédica).

REFERENCIAS

GDPR – Reglamento (UE) 2016/679 
LOPDGDD – Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
AEPD – Adecuación al GDPR de tratamientos que incorporan Inteligencia Artificial
CE – El Libro Blanco de la Comisión Europea sobre Inteligencia Artificial 
GT29 – Dictamen 05/2014 sobre técnicas de anonimización

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.