La emblemática ley de protección de datos de la UE contiene disposiciones esenciales para los sistemas de IA que tratan datos personales, incluidas las reglas sobre la toma de decisiones automatizada.
El Reglamento General de Protección de Datos (RGPD), en vigor desde el 25 May 2018, es la ley integral de protección de datos de la UE. Aunque no se trata específicamente de una regulación sobre IA, el RGPD contiene varias disposiciones que tienen profundas implicaciones para los sistemas de IA que tratan datos personales, lo que lo convierte en una de las regulaciones más determinantes para la conformidad de la IA a escala mundial.
El artículo 22 del RGPD confiere a las personas el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o le afecte significativamente de modo similar. Esta disposición rige directamente los sistemas de toma de decisiones basados en IA utilizados en ámbitos como la calificación crediticia, la suscripción de seguros, la contratación de personal y la prestación de servicios públicos. Las organizaciones deben proporcionar información significativa sobre la lógica aplicada, la importancia y las consecuencias previstas de dicho tratamiento.
Los requisitos relativos a la base jurídica en virtud de los artículos 6 y 9 son especialmente complejos para los sistemas de IA. El consentimiento debe ser libre, específico, informado e inequívoco, requisitos difíciles de cumplir cuando el tratamiento por IA es complejo y opaco. Las evaluaciones del interés legítimo deben ponderar las necesidades de la organización frente a los derechos de las personas, lo que requiere comprender cómo los sistemas de IA afectan a los interesados.
La minimización de datos (artículo 5, apartado 1, letra c)) plantea una tensión fundamental con el desarrollo de la IA, que a menudo se beneficia de grandes conjuntos de datos. Las organizaciones deben garantizar que solo recopilan datos adecuados, pertinentes y limitados a lo necesario en relación con la finalidad determinada. Esto incide en las estrategias relativas a los datos de entrenamiento de la IA y exige una justificación cuidadosa del alcance de los conjuntos de datos.
El derecho a la explicación y los requisitos de transparencia (artículos 13 a 15) obligan a las organizaciones a proporcionar información significativa sobre la toma de decisiones automatizada. Para los modelos de IA complejos, en particular los sistemas de aprendizaje profundo, ofrecer explicaciones comprensibles sobre cómo se alcanzan las decisiones constituye un importante desafío técnico y jurídico.
Las evaluaciones de impacto relativas a la protección de datos (EIPD) en virtud del artículo 35 son obligatorias para los tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de las personas. La mayoría de los sistemas de IA que tratan datos personales a gran escala activarán los requisitos de EIPD. La EIPD debe evaluar la necesidad y la proporcionalidad del tratamiento, los riesgos para las personas y las medidas destinadas a afrontar dichos riesgos.
La limitación de la finalidad (artículo 5, apartado 1, letra b)) restringe el uso de los datos personales a las finalidades para las que fueron recogidos. Los desarrolladores de IA deben examinar cuidadosamente si el entrenamiento de modelos de IA constituye una finalidad compatible, y las recientes modificaciones del RGPD, así como las orientaciones regulatorias, han aportado cierta flexibilidad para la investigación científica y los fines estadísticos.
Las disposiciones relativas a las transferencias internacionales (capítulo V) también afectan a los sistemas de IA, en particular a los servicios de IA en la nube y a los modelos entrenados con datos procedentes de múltiples jurisdicciones. Las organizaciones deben garantizar salvaguardias adecuadas para cualquier transferencia de datos personales fuera del EEE.
Las autoridades de protección de datos de toda Europa se muestran cada vez más activas en la aplicación del RGPD frente a los sistemas de IA. Acciones de ejecución destacadas se han dirigido contra empresas de reconocimiento facial, sistemas publicitarios impulsados por IA y la calificación crediticia automatizada, estableciendo precedentes que configuran la manera en que las organizaciones deben regir el tratamiento de datos personales por parte de la IA.
Establecer una base jurídica para el tratamiento de datos personales en los sistemas de IA (artículo 6)
Implementar salvaguardias para la toma de decisiones individuales automatizada (artículo 22)
Proporcionar información significativa sobre la lógica de la IA, la importancia y las consecuencias (artículos 13 a 15)
Habilitar el derecho a la intervención humana en las decisiones automatizadas
Realizar evaluaciones de impacto relativas a la protección de datos para los tratamientos de IA de alto riesgo (artículo 35)
Aplicar los principios de minimización de datos a los datos de entrenamiento y operativos de la IA
Garantizar la limitación de la finalidad para el entrenamiento y la inferencia de los modelos de IA
Implementar la protección de datos desde el diseño y por defecto en los sistemas de IA (artículo 25)
Mantener un registro de las actividades de tratamiento en las que intervenga la IA (artículo 30)
Habilitar los derechos de los interesados: acceso, rectificación, supresión, portabilidad para los datos tratados por IA
Designar a un delegado de protección de datos si es necesario para las actividades de tratamiento por IA
Garantizar transferencias internacionales de datos lícitas para los servicios de IA (capítulo V)
Implementar medidas de seguridad técnicas y organizativas apropiadas (artículo 32)
Notificar las violaciones de datos personales que afecten a sistemas de IA en un plazo de 72 hours (artículo 33)
Sí, pero necesita una base jurídica válida (por ejemplo, el interés legítimo, el consentimiento o la exención para la investigación). También debe aplicar la minimización de datos, realizar EIPD cuando sea necesario y garantizar la transparencia sobre el uso de datos personales con fines de entrenamiento.
Para las decisiones automatizadas en virtud del artículo 22, debe proporcionar información significativa sobre la lógica aplicada. Esto no requiere necesariamente una explicabilidad técnica completa, pero los interesados deben comprender los factores clave que influyen en las decisiones y la lógica general del sistema.
El EU AI Act complementa el RGPD sin sustituirlo. Los sistemas de IA que tratan datos personales deben cumplir ambos. El EU AI Act añade requisitos en materia de gestión de riesgos, evaluación de la conformidad y transparencia que van más allá de la protección de datos. Las EIPD en virtud del RGPD y las evaluaciones de impacto sobre los derechos fundamentales en virtud del EU AI Act pueden solaparse.
Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.