GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

INTELIGENCIA ARTIFCIAL

Bases jurídicas para el desarrollo y uso de modelos de IA

Existen varias bases jurídicas para el desarrollo y el uso de modelos de IA que pueden ser adecuadas para apoyar el tratamiento de datos personales. 

Obligación de tener una base jurídica

Está claramente regulado en el RGPD que una empresa debe tener una base legal para llevar a cabo un procesamiento de datos personales. Hay un total de seis (6) bases jurídicas en virtud del artículo 6 del RGPD. 

Bases jurídicas que las empresas pueden utilizar si la empresa es privada para el desarrollo y uso de modelos de IA que impliquen el tratamiento de datos personales

What breaches of the GDPR can lead to an administrative fine?

Consentimiento

El consentimiento puede ser una posible base jurídica para el tratamiento de datos personales que tenga lugar en relación con el desarrollo y el uso del modelo de IA. Esto se aplica siempre que cumpla con los requisitos para el consentimiento válido bajo las reglas del RGPD. Sin embargo, a menudo es una base jurídica inadecuada, especialmente cuando se desarrollan modelos de IA, ya que puede ser muy oneroso desde el punto de vista administrativo tramitar tantos consentimientos. Por ejemplo, puede ser difícil gestionar todos los consentimientos retirados e informar a todos los interesados de conformidad con el RGPD. 

Requisitos para el consentimiento válido
Voluntaria

El consentimiento debe darse voluntariamente. No debe haber influencia externa para dar su consentimiento. En tales casos, no se proporciona voluntariamente. En otras palabras, debe ser una elección genuina y activa del interesado. Además, está prohibido dar consecuencias negativas al interesado si no da su consentimiento. También es nula y sin efecto si el consentimiento es un requisito en virtud de los términos del contrato.

What is the definition of anonymised data?
Desigualdad de poder

Si la relación de poder entre las partes es desigual, no es un consentimiento válido. Por ejemplo, cuando un empleador procesa datos personales sobre un empleado, o en la relación de poder entre una autoridad gubernamental y los ciudadanos.

Subjektivt integritetskänsliga personuppgifter
Informado

El interesado debe ser informado sobre el consentimiento y lo que significa dar el consentimiento. La información se facilitará en una lengua que el interesado comprenda y que sea fácilmente accesible.

Measures that companies need to take to comply with GDPR
Posibilidad de retirada

Debe ser tan fácil retirar un consentimiento como darlo. Si esto no se cumple, se considera un consentimiento no válido desde el principio.

Contratos con los interesados

Está permitido apoyar un tratamiento sobre la base jurídica de un contrato con los interesados, si el tratamiento de los datos personales es necesario para la celebración o ejecución del contrato. Tenga en cuenta que esta no es una base jurídica común para utilizar al desarrollar un modelo de IA. Esto se debe a que la empresa tendría que celebrar un contrato con los interesados que haga necesario procesar datos personales para desarrollar el modelo de IA. 

Sin embargo, puede ser más adecuado utilizar esta base jurídica para el uso de una herramienta de IA plenamente entrenada. En tales casos, el tratamiento de datos personales en relación con el uso del modelo de IA podrá basarse en un contrato con el interesado como base jurídica, cuando el tratamiento sea necesario para la ejecución del contrato.

Interés legítimo

El interés legítimo es la base legal más flexible en el RGPD y es común de usar. 

Para saber si una empresa tiene un interés legítimo en el procesamiento de datos personales, la empresa debe primero hacer un equilibrio de intereses. Si la empresa concluye que su interés supera al de los interesados mediante el equilibrio de intereses, la empresa puede llevar a cabo el procesamiento. Tenga en cuenta, sin embargo, que el interesado tiene derecho a oponerse al tratamiento de conformidad con el artículo 21 del RGPD.

Tres pasos en la evaluación de si la empresa tiene un interés legítimo

Es posible utilizar el interés legítimo como base jurídica en el desarrollo y uso de modelos de IA si se cumplen los tres requisitos siguientes: 

1. ¿Tiene la empresa o un tercero un interés legítimo en el tratamiento de datos personales?

Las empresas pueden tener diferentes tipos de intereses y razones para procesar datos personales. Un interés legítimo es que el motivo sea aceptable. En otras palabras, los intereses de la empresa superan los intereses o los derechos y libertades fundamentales del interesado. Por ejemplo, en marketing directo, prevención de delitos como fraude y lavado de dinero, seguridad informática y similares. 

Un interés legítimo será: 

  • De acuerdo con la legislación vigente. 
  • Concretamente y de forma clara. 
  • Un interés real, no sólo hipotético o especulativo. 
2. ¿Es necesario el tratamiento para alcanzar el interés legítimo?

El punto de partida es que si hay métodos menos intrusivos para lograr el mismo propósito, generalmente no es un procesamiento necesario. Tenga en cuenta también que la necesidad del tratamiento también debe evaluarse sobre la base del principio de minimización de datos. El procesamiento solo puede considerarse necesario si se limita estrictamente a lo que se requiere para lograr el propósito.

3. ¿El interés legítimo de la empresa supera el interés del interesado en la protección y el no tratamiento de datos personales?

Si una empresa considera que tiene un interés legítimo, entonces debe sopesar esos intereses. Esto incluirá, entre otras cosas, el tratamiento que los interesados puedan esperar razonablemente. Aquí hay algunos factores más a tener en cuenta al equilibrar el interés entre sí: 

¿Qué tipo de interés tiene la empresa? Por ejemplo, ¿es un interés general, un derecho fundamental o similar?

¿Puede alguien ser perjudicado si se lleva a cabo el procesamiento? Por ejemplo, si el procesamiento implica el almacenamiento de datos de tarjetas de crédito, lo que podría llevar a consecuencias financieras si alguien no autorizado accede a ellos.

¿Cuál es la relación de poder entre las partes? Por ejemplo, si hay una relación de poder desigual, como entre un empleador y su empleado.

¿Es el interesado un niño o un adulto? Los niños son particularmente dignos de protección y, por lo tanto, se debe tener especial cuidado al procesar los datos personales de los niños.

¿Es poderosa la empresa? Si se trata de una empresa muy poderosa que domina el mercado, la relación entre las partes puede ser muy desigual.

¿Qué tan extenso es el procesamiento de datos personales? Cuanto mayor sea el alcance, mayor será el riesgo. Si hay algún perfil, también puede ser más problemático.

¿Existen derechos fundamentales del interesado que puedan verse afectados negativamente?

¿Cuáles son las ventajas y desventajas del tratamiento para los interesados?

Ejemplos de casos en los que el interés legítimo constituye una base jurídica adecuada para el desarrollo y el uso de modelos de IA: Modelo de IA para sugerir destino de viaje a los clientes

Una empresa que opera un servicio de reserva de viajes quiere desarrollar un modelo de IA, con el fin de poder sugerir destinos de viaje a los clientes. Los datos de formación consisten en el historial de viajes de los clientes, pero no se utilizan identificadores directos, como el nombre y el número de seguridad social. Además, la compañía elige entrenar el modelo de IA con una pequeña cantidad de datos a la vez hasta que logren el resultado deseado, para garantizar que cumplan con los requisitos del principio de minimización de datos. 

Etapas de la evaluación del interés legítimo

Aquí hay tres pasos para determinar si el interés de la empresa supera el interés de los interesados, es decir, si la empresa tiene un interés legítimo para el procesamiento.

1. Evaluar si existe un interés legítimo

En primer lugar, la empresa debe demostrar que tiene un interés legítimo en el procesamiento. En este caso, la empresa tiene un interés comercial en desarrollar un modelo de IA que pueda sugerir viajes a los clientes, en función de las preferencias de los clientes. Esto puede ser un interés legítimo. Además, debe ser lícito, específico y constituir un interés real, como también parece ser el caso en el presente asunto. 

La información indica que la empresa tiene un interés legítimo.

2. Determinar si se trata de un tratamiento de datos personales necesario

El tratamiento debe ser necesario para alcanzar la finalidad, lo que significa, entre otras cosas, que debe respetar el principio de minimización de datos. Con el fin de no procesar más datos personales de los necesarios para el fin, la empresa ha introducido gradualmente datos hasta que el modelo de IA funcione según lo previsto. Por lo tanto, la empresa se ha asegurado de que el tratamiento se lleve a cabo de conformidad con el principio de minimización de datos. 

La información sugiere que constituye un tratamiento de datos personales necesario.

3. El último paso es llevar a cabo un equilibrio de intereses. Tenga en cuenta que debe ser por escrito.

El último paso es equilibrar los intereses de los interesados y de la empresa. En este caso, el interés legítimo no constituye un interés público y no existe riesgo de perjuicio para la empresa si el interés no puede satisfacerse. Además, el objetivo es tener un impacto positivo en los interesados, ya que reciben recomendaciones de viaje que les convienen en función de sus propias preferencias e historial de viajes. 

No está fuera de toda expectativa razonable que la empresa utilice información, como el historial de viajes, para elaborar ofertas que beneficien a la empresa.

En este caso, los intereses de los interesados no parecen superar el interés legítimo de la empresa en el procesamiento. Por lo tanto, puede ser admisible apoyar el tratamiento sobre la base de un interés legítimo como base jurídica.

Ejemplos de casos en los que el interés legítimo no constituye una base jurídica adecuada para el desarrollo y el uso de modelos de IA:

Desarrollar una herramienta basada en IA que pueda corregir las pruebas

Una empresa quiere desarrollar una herramienta basada en IA que pueda corregir las pruebas. Por lo tanto, solicitan cientos de miles de pruebas corregidas de las escuelas sobre la base del principio de acceso público a los registros oficiales (un principio similar existe en muchos países de la UE). 

Tres pasos para determinar si la empresa tiene un interés legítimo

1. Apreciación del interés legítimo

Puede haber un interés legítimo en querer desarrollar una herramienta basada en IA que pueda corregir pruebas, con un propósito comercial, es decir, para ganar dinero con ella. Además, la finalidad debe ser lícita, específica y constituir un interés adquirido y presente, como parece ser el caso en el presente asunto. En otras palabras, la empresa parece tener un interés legítimo en desarrollar dicho sistema. 

2. Evaluar si se trata de un tratamiento necesario de datos personales

Si una empresa considera que tiene un interés legítimo en una operación de procesamiento en particular, debe evaluar si el procesamiento es necesario para lograr el propósito. Para determinar esto, la empresa debe asegurarse de que el procesamiento cumpla con el principio de minimización de datos. En otras palabras, la empresa no puede procesar más datos personales de los necesarios. 

En este caso, la compañía solicita un gran número de muestras, y no hay información de que hayan analizado cuáles de ellas son realmente necesarias para entrenar el modelo de IA. La compañía tampoco ha comenzado con una pequeña cantidad de datos, y luego ingresa continuamente más hasta que el modelo de IA esté suficientemente entrenado. En otras palabras, la empresa no ha tomado medidas suficientes para que se considere que el tratamiento cumple los requisitos del principio de minimización de datos.

Conclusión

La empresa parece tener un interés legítimo en el procesamiento, pero el procesamiento no puede considerarse necesario para lograr el interés legítimo. Por lo tanto, el procesamiento no está permitido. Dado que la conclusión aquí ya muestra que el tratamiento no está permitido, no es necesario llevar a cabo una ponderación de intereses (etapa 3).

Bases jurídicas difíciles de apoyar en el tratamiento

Obligación jurídica

Hay poco margen para utilizar la obligación legal como base jurídica para el desarrollo y el uso de modelos de IA. Obligación legal significa que está regulado en una ley, reglamento o convenio colectivo que la empresa debe tratar los datos personales.

Protección de los intereses fundamentales

La protección de los intereses fundamentales solo podrá utilizarse como base jurídica si es estrictamente necesario para llevar a cabo el tratamiento con el fin de salvar vidas. Es una base legal inusual de usar, ya que solo unos pocos tipos diferentes de actividades salvan vidas. Los hospitales son ejemplos de actividades que utilizan esta base legal cuando una persona ingresa inconsciente al hospital. Tenga en cuenta que no es posible utilizar esta base legal si, por ejemplo, la persona puede dar su consentimiento, como cuando una persona ha reservado una cita con un médico y es consciente. Es difícil argumentar que el desarrollo o el uso de un modelo de IA salvaría la vida de alguien y, por lo tanto, es muy poco probable que esta base jurídica le sea aplicable.

Si la empresa es una entidad pública

En algunos casos, es posible que las empresas privadas operen en el sector público. Por ejemplo, una escuela privada u hospital. Las principales bases jurídicas que las entidades públicas pueden utilizar en el desarrollo y uso de modelos de IA son: 

  • Contratos con los interesados. 
  • Obligación legal. 
  • Una tarea realizada en interés público o en el ejercicio del poder público. 

APRENDE MÁS

Obligación de información en el desarrollo y uso de modelos de IA

En virtud del RGPD, las empresas deben informar a los interesados sobre el tratamiento de sus datos personales. Esto suele hacerse en un aviso de privacidad que a menudo se encuentra en el sitio web oficial de la empresa. Indicará, entre otras cosas, qué datos personales se tratan, durante cuánto tiempo se lleva a cabo el tratamiento, qué derechos tienen los interesados, etc. El aviso de privacidad se redactará en la lengua que entiendan los interesados, a menudo la lengua nacional, y no será demasiado complejo.

¿Quieres saber más?

Leer más
Scroll al inicio