INTELIGENCIA ARTIFICIAL (IA)
Tratamiento de datos personales en el desarrollo y uso de la inteligencia artificial
Hay varias cosas a tener en cuenta para las empresas a la hora de procesar datos personales en el desarrollo y uso de la inteligencia artificial.
¿Qué es la Inteligencia Artificial (IA)?
La inteligencia artificial (IA) es la capacidad de una máquina para mostrar rasgos humanos. Por ejemplo, razonar, planificar, ser creativo y otras cosas que previamente han requerido inteligencia humana. La IA no es necesariamente algo nuevo, pero ha existido durante mucho tiempo en industrias como la medicina. Sin embargo, se ha vuelto más accesible y hoy en día muchas personas tienen acceso a modelos de IA que muchos usan en su vida cotidiana. Hay muchas ventajas para la IA, pero también hay desventajas y desafíos.
Definición de datos personales
Cuando es posible vincular un dato a una persona física viva, constituye un dato personal. No importa si es posible conectarse directamente, como a través de un nombre o número de seguridad social, sino también cuando es posible conectarse indirectamente, como a través de una identificación de puerta trasera. Además, existe una diferencia entre los datos personales de carácter subjetivo y objetivo. En general, los datos personales con carácter subjetivo se consideran más importantes, lo que significa que están sujetos a normas más estrictas.
Ejemplos de datos personales
- Nombre
- Número de identificación personal
- Número de teléfono
- Imágenes y grabaciones de audio donde una persona puede ser identificada
- Cookies rastreables
Cuanto más importantes sean los datos personales, más estrictos serán los requisitos
Cuanto más importantes sean los datos personales, más estrictos serán los requisitos del RGPD. Por ejemplo, puede afectar las medidas de seguridad técnicas y organizativas que la empresa debe tomar para proteger los datos. Hay cuatro grupos de datos sensibles a la privacidad que se consideran particularmente importantes. Uno de los grupos son los datos personales sensibles, como la información sobre religión, opiniones políticas y afiliación sindical, que se regula específicamente en el artículo 9 del RGPD. Otro de los grupos son los datos personales subjetivamente sensibles a la privacidad, como los datos de tarjetas de crédito.
Diferentes cosas a tener en cuenta al procesar datos personales en el desarrollo y uso de la inteligencia artificial
Hay varias cosas que pueden ser importantes a considerar al desarrollar y usar inteligencia artificial en relación con el RGPD.
The AI Act
La Ley de IA de la UE es una regulación general de la inteligencia artificial (IA) dentro de la Unión. El objetivo es crear un entorno seguro y éticamente sostenible para la innovación en la UE, protegiendo al mismo tiempo los derechos y libertades de los ciudadanos.
Algunas partes de la Ley de IA ya han comenzado a entrar en vigor, pero para 2026, en principio, se aplicará toda la Ley de IA.
Enfoque basado en el riesgo
La Ley de IA divide los riesgos en cuatro categorías: riesgo inaceptable, alto riesgo, riesgo limitado y riesgo mínimo. Cuando un sistema de IA pueda acogerse a un riesgo inaceptable, no se permitirá el sistema de IA.
Riesgo inaceptable
Los modelos de IA que cumplen los requisitos para el riesgo inaceptable en virtud de la Ley de IA están prohibidos. Sin embargo, puede haber excepciones, por ejemplo para fines de aplicación de la ley. Ejemplos de un modelo de IA con un riesgo inaceptable son las puntuaciones sociales.
Alto riesgo
Estos modelos de IA pueden tener un impacto negativo en la seguridad de las personas y la sociedad. Alternativamente, los derechos fundamentales de las personas. Dichos modelos se evaluarán antes de entrar en el mercado y también durante su ciclo de vida.
Riesgo limitado
La denominada «IA generativa» se clasifica como modelos de IA de riesgo limitado en la mayoría de los casos. Por ejemplo, Chat GPT. Estos sistemas deben, entre otras cosas, cumplir los requisitos de la UE en materia de derechos de autor y transparencia. Tenga en cuenta que la IA generativa poderosa debe pasar por investigaciones más extensas, si pueden plantear riesgos sistémicos.
Riesgo mínimo
En la Ley de IA no existen requisitos obligatorios para los modelos de IA con un riesgo mínimo, como en el caso de los demás riesgos. Tenga en cuenta, sin embargo, que puede haber otras leyes que impongan requisitos obligatorios.
Responsabilidad por los datos personales
La empresa que determina los medios y fines del procesamiento de datos personales es el controlador de datos. Es la empresa la que decide cómo y por qué debe llevarse a cabo el tratamiento, pero no necesariamente tiene que ser la empresa que realiza el tratamiento en la práctica. Es posible confiar la realización del procesamiento en sí, pero no la responsabilidad de ello. Si una empresa procesa datos personales en nombre de otra empresa, es un procesador de datos.
Ejemplos de funciones en el desarrollo y uso de modelos de IA
Controlador
Una empresa ordena un sistema de IA completamente desarrollado donde pueden decidir por sí mismos el propósito del procesamiento, ya que no está construido para un propósito específico. En tales casos, la empresa es el controlador de datos.
Procesador
Una empresa trabaja para desarrollar sistemas para otras empresas y se encarga de desarrollar un modelo de IA. Es la empresa que ordena el sistema la que determina el propósito del procesamiento y, por lo tanto, es el controlador de datos. La empresa que desarrolla el sistema de IA es un procesador, ya que procesan datos personales en nombre de otra persona de acuerdo con las instrucciones.
Controladores conjuntos
Dos compañías quieren desarrollar un sistema de IA para agilizar su trabajo, pero como puede ser costoso hacerlo, dos compañías eligen hacerlo juntas para reducir costos. En otras palabras, cooperan para desarrollar el sistema con un propósito común y, por lo tanto, son corresponsables del tratamiento.
Principios fundamentales de protección de datos
Las empresas siempre deben cumplir con los siete (7) principios fundamentales de protección de datos del RGPD al procesar datos personales. Por lo tanto, si el desarrollo o el uso de un modelo de IA implica el tratamiento de datos personales, se aplican el RGPD y los principios.
Dos principios que son difíciles de seguir al procesar datos personales en el desarrollo y uso de la inteligencia artificial
Principio de limitación de la finalidad
Las empresas solo pueden procesar datos personales si el propósito es específico, expresado y justificado. Si una empresa procesa datos personales para un propósito específico, pero más tarde desea utilizar los mismos datos personales para desarrollar un modelo de IA, puede ser difícil cumplir con los requisitos del principio de limitación de la finalidad. Sin embargo, esto puede permitirse si el nuevo procesamiento es compatible con el propósito original.
Principio de minimización de datos
Las empresas no pueden procesar más datos personales de los necesarios para el propósito del procesamiento. En el aprendizaje automático, el modelo generalmente obtiene mejores resultados, cuantos más datos se hayan entrenado. Esto puede ser difícil en relación con el principio de minimización de datos, ya que existe el riesgo de procesar demasiados datos personales para tratar de lograr el mejor resultado posible.
Algoritmos discriminatorios
Si un modelo de IA está sesgado, puede discriminar a ciertas personas o grupos de personas. En algunos casos, esto puede ser difícil de detectar, por lo que es importante probar constantemente el modelo de IA para garantizar que no sea discriminatorio.
Los algoritmos discriminatorios son contrarios al principio de equidad
El principio de equidad significa que el tratamiento de datos personales es justo, equitativo y razonable. Además, debe ser proporcionado. Si el procesamiento es discriminatorio, no es un procesamiento justo y, por lo tanto, es contrario al principio de equidad. Por lo tanto, es importante adoptar suficientes medidas técnicas y organizativas para garantizar que los algoritmos no sean discriminatorios.
Bases jurídicas para el tratamiento de datos personales en el desarrollo y uso de la inteligencia artificial
Cada tratamiento individual de datos personales requiere que se permita una base legal. El RGPD tiene seis (6) bases legales, pero solo tres de ellas son adecuadas para el desarrollo y uso de modelos de IA. La base jurídica adecuada depende de la situación y las circunstancias.
Aquí hay tres bases legales que pueden ser apropiadas para usar en el desarrollo y uso de modelos de IA:
Consentimiento
Al desarrollar un modelo de IA, puede ser difícil utilizar el consentimiento como base jurídica, ya que puede ser administrativamente gravoso. Sin embargo, las condiciones son mejores cuando se utiliza un modelo de IA.
Ejecución de un contrato con el interesado
Las empresas pueden tratar los datos personales necesarios para la celebración y ejecución de un contrato. Por ejemplo, los vendedores que dirigen un negocio de comercio electrónico necesitan procesar los nombres y direcciones de los clientes para entregarles los productos. Es inusual utilizar contratos con interesados como base jurídica en el desarrollo de modelos de IA, pero es aún más común si se trata del uso de un modelo de IA ya entrenado.
Interés legítimo
El interés legítimo es la base jurídica más flexible y a menudo es utilizada por las empresas. Para determinar si una empresa tiene un interés legítimo en el procesamiento, es decir, que el interés de la empresa supera el interés del interesado, la empresa debe realizar una evaluación del interés legítimo. En algunos casos, esta base jurídica puede permitirse en el uso y desarrollo de modelos de IA en determinados tipos de situaciones, pero no siempre.
Derecho a la información
Uno de los derechos que tienen los interesados en virtud del RGPD es el derecho a la información. Esto significa que deben ser informados sobre el tratamiento. Por ejemplo, el propósito del procesamiento, la base legal, si otra persona puede acceder a los datos personales, la duración del almacenamiento y qué derechos tienen los interesados, etc. Esta información debe indicarse en un aviso de privacidad, que la empresa debe publicar preferiblemente en su sitio web oficial.
Toma de decisiones automatizada
Si un modelo de IA toma una decisión sobre alguien sin que ninguna persona física participe en la toma de decisiones, se trata de una toma de decisiones automatizada. En el RGPD, existen reglas especiales para el procesamiento relacionado con la toma de decisiones automatizada. De acuerdo con la regla principal, tales procesos están prohibidos, pero hay excepciones. Por ejemplo, está permitido si el interesado da su consentimiento explícito o si es necesario para la ejecución de un contrato.
Dificultad para cumplir la obligación de información en virtud del RGPD en la toma de decisiones automatizada
Si una empresa quiere utilizar un modelo de IA para racionalizar su toma de decisiones, es bueno que también se pueda implementar con la combinación de un esfuerzo humano, de modo que no se apliquen las reglas sobre la toma de decisiones automatizada. En otras palabras, que una persona física es la que finalmente toma la decisión, pero puede haber tomado la ayuda de una herramienta de IA.
Aprendizaje profundo y aprendizaje automático
Para crear un modelo de IA, el sistema necesita ser entrenado con datos a través de un algoritmo para que resulte en un modelo matemático. Modelo matemático es otra palabra para modelo de IA.
Aprendizaje automático
Un sistema que puede imitar la inteligencia humana aprendiendo de la experiencia. En otras palabras, un proceso para que las computadoras desarrollen la capacidad de separarse y adaptarse a una tarea, a pesar de que no ha sido programado específicamente para ella.
Aprendizaje profundo
El aprendizaje profundo consiste en construir un modelo de IA para que imite la red neuronal del cerebro humano. Es una forma de aprendizaje automático.
Entrenamiento de modelos de IA
Es importante proporcionar un modelo de IA con datos de entrenamiento para que pueda lograr los mejores resultados posibles. La regla principal es que cuantos más datos, mejores resultados suele producir. Sin embargo, este no es siempre el caso. Es importante que los datos sean relevantes.
El RGPD exige que las empresas no procesen más datos personales de los necesarios para el propósito y, por lo tanto, es importante analizar qué datos de entrenamiento debe recibir el modelo de IA, a fin de no procesar más datos personales de los necesarios si los datos contienen datos personales.
Diferentes métodos de entrenamiento para modelos de IA
Existen diferentes métodos de entrenamiento para los modelos de IA.
Aprendizaje supervisado
El modelo de IA recibe datos etiquetados para que pueda reconocer lo mismo en sí mismo. Por ejemplo, miles de fotos de barcos, para ser usadas para reconocer barcos.
Aprendizaje no supervisado
Los algoritmos aprenden a encontrar patrones sin respuestas predeterminadas. En otras palabras, los datos no marcados se utilizan para el entrenamiento del modelo de IA.
Aprendizaje reforzado
Al valorar las acciones positiva y negativamente en función del resultado final u objetivo, el aprendizaje por refuerzo puede llevar a un modelo de IA que descubra qué acciones conducen a ese resultado final.
Aprendizaje semisupervisado
A través del aprendizaje semi-supervisado, se utiliza una combinación de aprendizaje supervisado y no supervisado.
MÁS SOBRE RGPD
Cree una buena estructura de protección de datos para optimizar los resultados con RGPD
Cuanto más grande sea la empresa, mejor será la estructura de protección de datos que generalmente se requiere.