La reciente opinión del CEPD sobre los modelos de IA destaca el papel del RGPD en el desarrollo responsable de la inteligencia artificial.
El Comité Europeo de Protección de Datos (CEPD) emitió una opinión el 18 de diciembre de 2024, subrayando la importancia de los principios del RGPD en el desarrollo y la implementación ética de los modelos de IA. Esta opinión integral, solicitada por la Autoridad de Protección de Datos (DPA) de Irlanda, se centra en tres áreas clave: determinar cuándo los modelos de IA pueden clasificarse como anónimos, evaluar el uso del interés legítimo como base legal para el tratamiento de datos relacionados con la IA y abordar las implicaciones de los datos tratados de manera ilegal. El CEPD busca promover la armonización regulatoria en toda Europa, asegurando que la innovación en IA esté alineada con las leyes de protección de datos.
El CEPD afirma que la anonimidad en los modelos de IA requiere una evaluación caso por caso.
Según el CEPD, la anonimidad de los modelos de IA debe evaluarse caso por caso por parte de las DPAs. Para que un modelo de IA sea considerado anónimo, debe ser altamente improbable que las personas puedan ser identificadas directa o indirectamente, o que sus datos personales puedan ser descubiertos a través de consultas. La opinión del CEPD proporciona métodos flexibles y no prescriptivos para demostrar la anonimidad, reflejando la naturaleza diversa de las tecnologías de IA.
Se propone una prueba de tres pasos para determinar el interés legítimo como base legal para el tratamiento de datos con IA.
Las organizaciones deben asegurarse primero de que tienen una base legítima para tratar datos personales. Para tratar estos datos de manera legal, deben apoyarse en una de las seis bases legales descritas en el Artículo 6 del RGPD. El CEPD ha delineado criterios para determinar si el interés legítimo puede servir como base legal para tratar datos personales en el desarrollo e implementación de sistemas de IA. Se propone una prueba de tres pasos: el propósito del tratamiento debe ser legítimo, el tratamiento tiene que ser estrictamente necesario y una prueba de equilibrio ha de garantizar que los derechos de los individuos no se vean afectados de manera desproporcionada. Ejemplos de usos legítimos incluyen agentes conversacionales de IA y herramientas de IA para ciberseguridad, siempre que cumplan requisitos estrictos y respeten los derechos de los interesados.
Deben considerarse las expectativas razonables de los interesados sobre el tratamiento de datos en el uso futuro de los modelos de IA.
La opinión del CEPD enfatiza que las DPAs deben evaluar si los individuos podrían razonablemente esperar que sus datos personales sean utilizados en procesos de IA. Entre los factores a considerar se incluyen si los datos son públicamente accesibles, la naturaleza de la relación entre los individuos y los responsables, el contexto de la recopilación de datos y los posibles usos futuros del modelo de IA. Los requisitos del Artículo 14 del RGPD se aplican cuando se recopilan datos personales de sitios web accesibles públicamente mediante web scraping. Informar a cada sujeto en este contexto suele ser impracticable debido a la gran cantidad de datos recopilados. Sin embargo, cuando se recopilan datos personales mediante interacciones directas con herramientas como ChatGPT, es crucial informar a los sujetos de que sus entradas de usuario podrían usarse para entrenamiento de modelos de IA. Cuando se identifique un posible daño a los individuos, el CEPD recomienda medidas de mitigación, como mejorar la transparencia o facilitar el ejercicio de derechos sobre los datos.
Los modelos de IA que utilicen datos personales de manera ilegal deben anonimizar dichos datos para evitar restricciones en su despliegue. El cumplimiento del RGPD es esencial para el desarrollo e implementación de modelos de IA.
Los modelos de IA desarrollados con datos personales tratados de manera ilegal podrían enfrentar restricciones en su despliegue a menos que los datos sean apropiadamente anonimizados. El CEPD advierte de que el uso de estos datos sin las salvaguardas adecuadas podría afectar la legalidad de todo el sistema de IA, reforzando la necesidad de un estricto cumplimiento con el RGPD. Los responsables del tratamiento de datos personales en el contexto de grandes modelos de lenguaje deben tomar todas las medidas necesarias para garantizar el pleno cumplimiento de los requisitos del RGPD. Esto se alinea con el principio de responsabilidad establecido en el Artículo 5(2) y el Artículo 24 del RGPD. El papel del RGPD en el desarrollo responsable de la IA es primordial y sus principios deben respetarse en el desarrollo e implementación de los modelos de IA.
El CEPD se compromete a apoyar la IA responsable y la protección de datos mediante la provisión de guías y el desarrollo de directrices, respondiendo a la rápida evolución de la IA.
Considerando la rápida evolución de la tecnología de IA, el CEPD ha destacado la necesidad de guías adaptables. Si bien esta opinión proporciona principios y criterios generales para las DPAs, el CEPD también está desarrollando directrices adicionales para abordar problemas más específicos, como el web scraping. Este enfoque prospectivo refleja el compromiso del CEPD de apoyar la innovación responsable en IA, garantizando al mismo tiempo una protección adecuada de los datos de los individuos. Esta opinión sirve como un marco vital para los interesados que navegan en la compleja intersección entre la IA y las leyes de protección de datos.
Descubre cómo puede ayudarte Aphaia a cumplir con tu estrategia de protección de datos e IA. Ofrecemos soluciones de cumplimiento con el Reglamento de IA y el RGPD, incluidos servicios de DPO externo. Nos especializamos en empresas como la tuya y proporcionamos soluciones innovadoras diseñadas para cumplir todas las expectativas del mercado actual. Contacta con Aphaia hoy.
