El Comitè Europeu de Protecció de Dades (EDPB) publica l'Opinió 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models. L'EDPB acaba de fer pública aquest molt esperat dictamen, que analitza tres qüestions: com i quan els models d'IA poden ser considerats anònims; si l'interès legítim pot utilitzar-se com a base de legitimació per a l'ús o l'entrenament d'IA i les conseqüències que un model sigui desenvolupat utilitzant dades personals sense base de legitimació.

El text declara el valor de tecnologies com la IA i afegeix que en protegir el dret fonamental a la protecció de dades, el RGPD dona suport a les oportunitats que porten aquestes tecnologies i promou altres drets fonamentals de la UE, inclosos el dret a la llibertat de pensament, expressió i informació, el dret a l'educació i la llibertat per exercir una activitat empresarial. D'aquesta manera, segons l'EPDB el RGPD és un marc jurídic que fomenta la innovació responsable.

L'origen del dictamen de l'EDPB

L'autoritat supervisora de protecció de dades irlandesa havia sol·licitat a l'EDPB que emetés un dictamen sobre les qüestions d'aplicació general del RGPD a dalt descrites. Són les següents:

  • Quan i com un model d'IA pot considerar-se "anònim"

El dictamen esmenta que les afirmacions sobre el caràcter anònim d'un model d'IA s'han d'avaluar cas per les autoritats competents en protecció de dades, ja que l'EDPB considera que els models d'IA entrenats amb dades personals no poden considerar-se anònims en tots els casos.

Perquè un model d'IA es consideri anònim, tant la probabilitat d'extracció directa (inclosa la probabilística) de dades personals de les persones les dades de les quals es van utilitzar per desenvolupar el model, com la probabilitat d'obtenir les esmentades dades personals de forma intencional o no a partir de consultes, han de ser insignificants, tenint en compte "tots els mitjans raonablement probables de ser utilitzats" pel responsable del tractament de les dades (més d'ara endavant, "responsable" o "responsable del tractament") o un altre tercer.

Per avaluar, les autoritats competents en protecció de dades han de revisar la documentació proporcionada pel responsable del tractament per demostrar el caràcter anònim del model. El dictamen proporciona una llista no exhaustiva de possibles mètodes que els responsables del tractament poden utilitzar per demostrar l'anonimització, entre els quals: els mètodes adoptats pels responsables durant la fase de desenvolupament per prevenir o limitar la recopilació de dades personals utilitzades per a l'entrenament, per reduir la seva identificabilitat, per evitar la seva extracció o per garantir resistència als atacs.

  • La qüestió de si l'interès legítim es pot utilitzar com a base de legitimació per a l'ús o l'entrenament d'IA.

Respecte a la segona i terceres qüestions, el dictamen ofereix consideracions generals que les autoritats poden tenir en compte en avaluar si els responsables poden basar-se en l'interès legítim com a base jurídica adequada per al tractament realitzat en el context del desenvolupament i desplegament de models d'IA. El dictamen recorda que no hi ha una jerarquia entre les bases jurídiques previstes en el RGPD, i que correspon als responsables identificar la base adequada per a les seves activitats de tractament.

Així mateix, es recorda la prova de tres passos que s'ha de realitzar en avaluar l'ús de l'interès legítim com a base jurídica: identificar l'interès legítim perseguit pel responsable o un tercer; analitzar la necessitat del tractament per a les finalitats de l'interès legítim perseguit (també conegut com a "test de necessitat") i avaluar que l'interès legítim no es vegi superat pels interessos o drets i llibertats fonamentals dels interessats (també conegut com a "test de sopesament").

Quant al primer pas, el dictamen assenyala que un interès pot considerar-se legítim si es compleixen els següents tres criteris cumulatius: l'interès és lícit; està clarament i precisament articulat i és real i present (no especulatiu).

En particular, aquest interès legítim pot incloure, per exemple, en el desenvolupament d'un model d'IA, el desenvolupament d'un agent conversacional per assistir a usuaris, o en el seu desplegament, la millora de la detecció d'amenaces en un sistema d'informació. Respecte al segon pas, el test la necessitat implica considerar: si l'activitat de tractament permetrà la consecució de l'interès legítim; si no hi ha una manera menys intrusiva de perseguir aquest interès i si les autoritats han de prestar especial atenció a la quantitat de dades personals tractades i si és proporcional a l'interès legítim en qüestió, també en vista del principi de minimització de dades.

Respecte al tercer pas, el dictamen assenyala que el test deu realitzar-se tenint en compte les circumstàncies específiques de cada cas. Després ofereix un resum dels elements que les autoritats poden tenir en compte en avaluar si l'interès d'un responsable o un tercer preval sobre els interessos, drets fonamentals i llibertats dels interessats.

El dictamen subratlla a més el paper de les expectatives raonables dels interessats en la prova de sospesament. Referent a això, tant la informació proporcionada als interessats com el context del tractament poden ser elements a considerar per avaluar si els interessats poden raonablement esperar que les seves dades siguin tractades. Quant al context, aquest pot incloure: Si les dades personals eren públiques; la naturalesa de la relació entre l'interessat i el responsable (i si existeix un vincle entre ambdós); la naturalesa del servei; el context en el qual es van recollir les dades personals; la font de les dades (per exemple, la configuració de privacitat del lloc web o servei on es van recollir); els possibles usos posteriors del model i si els interessats són conscients que les seves dades estan disponibles en línia.

El dictamen també assenyala que quan els interessos, drets i llibertats dels interessats semblen prevaler sobre l'interès legítim perseguit, el responsable pot considerar introduir mesures de mitigació per limitar l'impacte del tractament sobre aquests. Aquestes mesures s'han d'adaptar a les circumstàncies del cas i les característiques del model d'IA, incloent-hi el seu ús previst.

  • Les conseqüències que un model sigui desenvolupat utilitzant dades personals sense base de legitimació

Respecte a la quarta qüestió, el dictamen recorda que les autoritats gaudeixen de poders discrecionals per avaluar possibles infraccions i triar mesures apropiades, necessàries i proporcionades.

Diferents escenaris

L'avaluació per l'autoritat competent serà diferent si ens trobem davant de diferents escenaris, a saber:

  • Si les dades personals romanen en el model i són tractades posteriorment pel mateix responsable.
  • Si les dades són tractades per un altre responsable en la fase de desplegament.
  • Si el model és anonimitzat abans del desplegament i ja no implica el tractament de dades personals. En aquest últim cas, el RGPD no s'aplicaria al model anonimitzat, però sí a qualsevol tractament posterior de dades personals durant la fase de desplegament.

Conseqüències de l'incompliment

Les conseqüències de l'examen per part de les autoritats de cada país poden ser significatives al, potencialment, poder considerar que un model amb deficiències en aquests àmbits esdevé un model sense l'adequat compliment, la qual cosa portarà problemes operatius i legals de cara a la viabilitat del model.

Belén Arribas Sánchez

Advocada especialitzada en IA