El Comité Europeo de Protección de Datos (EDPB) publica la Opinión 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models. El EDPB acaba de hacer pública este muy esperado dictamen, que analiza tres cuestiones: cómo y cuándo los modelos de IA pueden ser considerados anónimos; si el interés legítimo puede utilizarse como base de legitimación para el uso o el entrenamiento de IA y las consecuencias de que un modelo sea desarrollado usando datos personales sin base de legitimación.
El texto declara el valor de tecnologías como la IA y añade que al proteger el derecho fundamental a la protección de datos, el RGPD apoya las oportunidades que traen estas tecnologías y promueve otros derechos fundamentales de la UE, incluidos el derecho a la libertad de pensamiento, expresión e información, el derecho a la educación y la libertad para ejercer una actividad empresarial. De este modo, según el EPDB el RGPD es un marco jurídico que fomenta la innovación responsable.
El origen del dictamen del EDPB
La autoridad supervisora de protección de datos irlandesa había solicitado al EDPB que emitiera un dictamen sobre las cuestiones de aplicación general del RGPD arriba descritas. Son las siguientes:
- Cuándo y cómo un modelo de IA puede considerarse "anónimo"
El dictamen menciona que las afirmaciones sobre el carácter anónimo de un modelo de IA deben evaluarse caso por las autoridades competentes en protección de datos, ya que el EDPB considera que los modelos de IA entrenados con datos personales no pueden considerarse anónimos en todos los casos.
Para que un modelo de IA se considere anónimo, tanto la probabilidad de extracción directa (incluida la probabilística) de datos personales de las personas cuyos datos se utilizaron para desarrollar el modelo, como la probabilidad de obtener dichos datos personales de forma intencional o no a partir de consultas, deben ser insignificantes, teniendo en cuenta "todos los medios razonablemente probables de ser utilizados" por el responsable del tratamiento de los datos (en adelante, “responsable” o “responsable del tratamiento”) u otro tercero.
Para realizar esta evaluación, las autoridades competentes en protección de datos deben revisar la documentación proporcionada por el responsable del tratamiento para demostrar el carácter anónimo del modelo. El dictamen proporciona una lista no exhaustiva de posibles métodos que los responsables del tratamiento pueden utilizar para demostrar la anonimización, entre los cuales: los métodos adoptados por los responsables durante la fase de desarrollo para prevenir o limitar la recopilación de datos personales utilizados para el entrenamiento, para reducir su identificabilidad, para evitar su extracción o para garantizar resistencia a los ataques.
- La cuestión de si el interés legítimo se puede utilizar como base de legitimación para el uso o el entrenamiento de IA
Con respecto a la segunda y tercera cuestiones, el dictamen ofrece consideraciones generales que las autoridades pueden tener en cuenta al evaluar si los responsables pueden basarse en el interés legítimo como base jurídica adecuada para el tratamiento realizado en el contexto del desarrollo y despliegue de modelos de IA. El dictamen recuerda que no existe una jerarquía entre las bases jurídicas previstas en el RGPD, y que corresponde a los responsables identificar la base adecuada para sus actividades de tratamiento.
Asimismo se recuerda la prueba de tres pasos que debe realizarse al evaluar el uso del interés legítimo como base jurídica: identificar el interés legítimo perseguido por el responsable o un tercero; analizar la necesidad del tratamiento para los fines del interés legítimo perseguido (también conocido como "test de necesidad") y evaluar que el interés legítimo no se vea superado por los intereses o derechos y libertades fundamentales de los interesados (también conocido como "test de sopes amiento").
En cuanto al primer paso, el dictamen señala que un interés puede considerarse legítimo si se cumplen los siguientes tres criterios cumulativos: el interés es lícito; está claramente y precisamente articulado y es real y presente (no especulativo).
En particular, este interés legítimo puede incluir, por ejemplo, en el desarrollo de un modelo de IA, el desarrollo de un agente conversacional para asistir a usuarios, o en su despliegue, la mejora de la detección de amenazas en un sistema de información. Respecto al segundo paso, el test la necesidad implica considerar: si la actividad de tratamiento permitirá la consecución del interés legítimo; si no hay una forma menos intrusiva de perseguir este interés y si las autoridades deben prestar especial atención a la cantidad de datos personales tratados y si es proporcional al interés legítimo en cuestión, también a la luz del principio de minimización de datos.
Con respecto al tercer paso, el dictamen señala que el test se debe realizarse teniendo en cuenta las circunstancias específicas de cada caso. Luego ofrece un resumen de los elementos que las autoridades pueden tener en cuenta al evaluar si el interés de un responsable o un tercero prevalece sobre los intereses, derechos fundamentales y libertades de los interesados.
El dictamen subraya además el papel de las expectativas razonables de los interesados en la prueba de sopesamiento. A este respecto, tanto la información proporcionada a los interesados como el contexto del tratamiento pueden ser elementos a considerar para evaluar si los interesados pueden razonablemente esperar que sus datos sean tratados. En cuanto al contexto, este puede incluir: Si los datos personales eran públicos; la naturaleza de la relación entre el interesado y el responsable (y si existe un vínculo entre ambos); la naturaleza del servicio; el contexto en el que se recogieron los datos personales; la fuente de los datos (por ejemplo, la configuración de privacidad del sitio web o servicio donde se recogieron); los posibles usos posteriores del modelo y si los interesados son conscientes de que sus datos están disponibles online.
El dictamen también señala que cuando los intereses, derechos y libertades de los interesados parecen prevalecer sobre el interés legítimo perseguido, el responsable puede considerar introducir medidas de mitigación para limitar el impacto del tratamiento sobre estos. Estas medidas deben adaptarse a las circunstancias del caso y las características del modelo de IA, incluyendo su uso previsto.
- Las consecuencias de que un modelo sea desarrollado usando datos personales sin base de legitimación
Respecto a la cuarta cuestión, el dictamen recuerda que las autoridades disfrutan de poderes discrecionales para evaluar posibles infracciones y elegir medidas apropiadas, necesarias y proporcionadas.
Distintos escenarios
La evaluación por la autoridad competente será distinta si nos encontramos ante diferentes escenarios, a saber:
- Si los datos personales permanecen en el modelo y son tratados posteriormente por el mismo responsable.
- Si los datos son tratados por otro responsable en la fase de despliegue.
- Si el modelo es anonimizado antes del despliegue y ya no implica el tratamiento de datos personales. En este último caso, el RGPD no se aplicaría al modelo anonimizado, pero sí a cualquier tratamiento posterior de datos personales durante la fase de despliegue.
Consecuencias del incumplimiento
Las consecuencias del examen por parte de las autoridades de cada país pueden ser significativas al, potencialmente, poder considerar que un modelo con deficiencias en estos ámbitos deviene un modelo sin el adecuado cumplimiento, lo cual acarreará problemas operativos y legales de cara a la viabilidad del modelo.
Belén Arribas Sánchez
Abogada especializada en IA