DESARROLLO Y UTILIZACIÓN DE MODELOS DE IA
Principios del RGPD en el desarrollo y uso de modelos de IA
Existen varios principios relevantes del RGPD en el desarrollo y uso de modelos de IA. Las empresas siempre deben cumplir los siete (7) principios básicos establecidos en el artículo 5 del RGPD.
Principio de limitación de la finalidad
Las empresas no pueden procesar más datos personales de los necesarios para lograr el propósito del procesamiento. Además, el propósito debe ser explícitamente declarado, específico y constituir un propósito legítimo.
Principio de limitación de la finalidad en el desarrollo de modelos de IA
Si una empresa ha recopilado datos personales en el pasado para cualquier fin que no sea el desarrollo de un modelo de IA, puede requerir una nueva base jurídica para utilizarlos para el desarrollo, pero no siempre.
Compatible con el propósito original
Con el fin de procesar datos personales para desarrollar un modelo de IA, incluso si los datos personales no se recopilaron para ese fin, el nuevo propósito debe ser compatible con el propósito original. Por lo tanto, la empresa necesita hacer una evaluación general para poder determinar esto.
Factores a tener en cuenta a la hora de decidir si el tratamiento de datos personales en el desarrollo de un modelo de IA es compatible con la finalidad original
Enlaces
¿Cuáles son los vínculos entre la finalidad nueva y la finalidad original del tratamiento?
Colección
¿Cómo se han recogido los datos personales?
Relación
¿Cuál es la relación entre la empresa y el interesado?
Razonabilidad
¿Puede el interesado esperar razonablemente dicho procesamiento?
Categoría
¿A qué categoría de datos personales se refiere el tratamiento?
Posibles consecuencias
¿Cuáles son las posibles consecuencias del tratamiento para los interesados?
Medidas de seguridad técnicas y organizativas
¿Qué medidas técnicas y organizativas de seguridad ha tomado la empresa?
Evaluaciones de la limitación de la finalidad
Ejemplos de tratamiento no autorizado: Desarrollo de un modelo de IA para encontrar patrones en las bajas por enfermedad de los empleados
Una empresa quiere desarrollar un modelo de IA que pueda determinar si hay algún patrón en el momento en que sus empleados se enferman, para que la empresa pueda calcular por adelantado cuándo deben tener personal adicional listo. La compañía quiere dar al modelo de IA todos los datos sobre sus empleados que tienen derecho a procesar en virtud del contrato de trabajo. La propia empresa contrata a los desarrolladores para evitar transferir los datos personales a terceros. Los datos personales no se cifrarán en el momento de la entrada en el modelo de IA.
Lo más probable es que no se permita este tratamiento de datos personales.
Estos son algunos factores que justifican la decisión:
Parece existir un vínculo entre la finalidad original y la nueva del tratamiento de los datos personales, pero existen dos tipos diferentes de casos.
Los interesados tienen poca influencia sobre el procesamiento y qué datos personales se procesan, ya que es un requisito para que se empleen.
Existe una relación de poder desigual entre las partes, como lo es entre el empleador y los empleados.
Los datos personales procesados (vacaciones por enfermedad) son sensibles de acuerdo con el RGPD (los datos que revelan información sobre la salud de una persona constituyen una categoría especial de datos personales de acuerdo con el artículo 9 del RGPD).
La empresa no tiene la intención de cifrar los datos personales antes de introducirlos en el modelo de IA, lo que debe hacerse como medida técnica de seguridad con respecto al tratamiento de datos personales sensibles.
Los datos personales se han recopilado sobre la base del contrato de base legal con el interesado para poder celebrar y cumplir el contrato de trabajo. El desarrollo de un modelo de IA no es necesario para este fin, por lo que esta base jurídica no puede utilizarse para este nuevo fin del tratamiento.
Es difícil argumentar que el desarrollo del modelo de IA se realiza en el mejor interés de los empleados, lo que de otro modo podría ser un buen argumento para incluir en la evaluación.
¿Tienen alguna incidencia en la evaluación las expectativas de los interesados sobre cómo puede llevarse a cabo el tratamiento?
Sí, afecta a la decisión. Si el nuevo tratamiento se refiere a algo distinto de la finalidad original, puede significar que está fuera de lo que los interesados pueden esperar razonablemente. Aunque existe un vínculo entre el propósito original y el nuevo, el procesamiento para el desarrollo y uso de un modelo de IA puede ser algo que no se espera razonablemente.
¿Importa en la evaluación qué consecuencias puede tener el tratamiento para los interesados?
Sí, puede afectar a la decisión. Si los datos personales se utilizan para desarrollar un modelo de IA, puede haber menos transparencia sobre el tratamiento hacia los interesados. Por ejemplo, puede dificultarles el respeto de sus derechos y la comprensión del tratamiento.
Ejemplos de tratamiento permitido: Para optimizar el consumo de electricidad, un proveedor de electricidad quiere mapear los precios de la electricidad desarrollando un modelo de IA
Una empresa, que es un proveedor de electricidad, contrata a una parte externa para el desarrollo del modelo de IA. La empresa necesita procesar ciertos datos personales para entregar electricidad y facturar a los clientes. La compañía quiere utilizar estos datos personales para desarrollar un modelo de IA, con el fin de optimizar sus precios de electricidad. El objetivo del tratamiento es, por lo tanto, reducir los costes para los clientes, mediante la cartografía de las veces que el precio de la electricidad es el más bajo y el más alto.
La empresa necesita todos los datos personales que se procesan sobre sus clientes, pero los ha dividido en diferentes áreas geográficas. No darán todos los datos al modelo de IA directamente, sino que comenzarán con un área geográfica a la vez. De esta manera, la empresa intenta evitar el tratamiento de más datos personales de los necesarios para la finalidad.
Después de cada área geográfica en la que la compañía ha ingresado los datos, la compañía investigará si es suficiente para que el modelo de IA haga lo que está destinado. De lo contrario, la empresa ingresará los datos para una nueva área, hasta que alcancen el resultado requerido.
No se compartirán identificadores directos, como el nombre y el número de seguridad social, con el modelo de IA, sino que los datos personales se han cifrado.
La cuestión es si el nuevo propósito puede considerarse compatible con el propósito original.
En este caso, parece que existe un vínculo claro entre los fines. Sin embargo, hay varios factores que afectan si el nuevo procesamiento está permitido o no. Estas son algunas circunstancias que justifican la decisión de que se refiere a un tratamiento autorizado:
El viejo y nuevo propósito es el consumo de electricidad.
No existe una relación de poder desigual entre las partes.
Los interesados no se encuentran en una posición vulnerable.
Los datos personales no son sensibles de conformidad con el artículo 9 del RGPD o el artículo 10 del RGPD.
El objetivo es reducir los costes para los clientes, lo que es positivo para ellos.
Para evitar el procesamiento de más datos personales de los necesarios, la empresa comienza proporcionando los datos del modelo de IA con respecto a un área geográfica a la vez, hasta que logren el resultado deseado, en lugar de ingresar todos los datos al mismo tiempo.
También es importante considerar la adopción de medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales. En este caso, la empresa había cifrado los datos personales, lo que es una medida de seguridad técnica adecuada en esta situación.
Circunstancias que pueden ir en contra de la compatibilidad del tratamiento con la finalidad original:
Si la empresa transfiere los datos personales a otra empresa para el desarrollo del modelo de IA. Esto conlleva, entre otras cosas, un mayor riesgo de que los datos personales caigan en manos equivocadas, pero no significa necesariamente que sean incompatibles con la finalidad original. Otro inconveniente es que puede ser más difícil ser transparente con los interesados, ya que puede ser más difícil para ellos comprender el tratamiento y respetar sus derechos en virtud del RGPD.
Es importante analizar las consecuencias que el nuevo tratamiento puede tener para los interesados. Además, debe analizarse la importancia de proteger los datos personales. Por ejemplo, si la información de su tarjeta de crédito, puede tener consecuencias importantes si cae en las manos equivocadas.
Tenga en cuenta que cada caso requiere su propia evaluación y las pequeñas circunstancias pueden afectar si el nuevo procesamiento es compatible con el propósito original o no.
Principio de minimización de datos
Las empresas solo pueden procesar datos personales que sean adecuados y relevantes en relación con el propósito. En otras palabras, no trate más datos personales de los necesarios para lograr el propósito.
Requisito de proporcionalidad
El tratamiento debe ser proporcionado a la finalidad que se pretende alcanzar. Esto significa que la violación de la privacidad no debe ser demasiado extensa en relación con los beneficios del procesamiento.
Principio de minimización de datos en el desarrollo de modelos de IA
El principio de minimización de datos debe considerarse cuidadosamente al entrenar y desarrollar un modelo de IA, ya que existe el riesgo de que procese más datos personales de los necesarios. También puede ser que uno no siempre sepa exactamente qué se debe lograr y, por lo tanto, procese datos personales innecesarios en el proceso, lo que no es compatible con el principio. Por lo tanto, es importante analizar primero cuidadosamente cuál es el propósito del procesamiento, para saber qué datos personales se necesitan. El cumplimiento de los requisitos de este principio puede ser difícil cuando una empresa desarrolla un modelo de IA, pero es posible.
Estadísticamente correcto
Es importante no discriminar a determinados grupos al crear un modelo de IA estadísticamente correcto. Por lo tanto, es necesario entrenar el modelo de IA con datos pertinentes no discriminatorios. Esto significa que los datos relevantes son importantes tanto para no procesar más datos personales de los necesarios para lograr el propósito del procesamiento como para que sean lo más correctos estadísticamente posible.
Aprendizaje supervisado
Al entrenar un modelo de IA a través del aprendizaje supervisado, uno debe asegurar intencionalmente las características de los datos utilizados.
Buen punto de partida para la aplicación de las normas sobre el principio de minimización de datos
Dado que los modelos de IA tienden a utilizar cantidades muy grandes de datos, puede ser difícil alcanzar el principio de minimización de datos. Sin embargo, es posible. Para hacerlo, es bueno comenzar proporcionando al modelo de IA una pequeña cantidad de datos y luego, si es necesario, aumentar gradualmente los datos. Dado que es difícil saber siempre exactamente cómo se desarrollará un modelo de IA en el futuro, es bueno comenzar a una escala más pequeña.
No olvide eliminar los datos personales que ya no sean necesarios
Las empresas deben eliminar o anonimizar los datos personales cuando ya no sean necesarios para el propósito para el que fueron recopilados. Cuando los datos personales ya no sean necesarios para su tratamiento después de que se haya desarrollado el modelo de IA, se suprimirán. Alternativamente, se anonimiza. También puede ser útil analizar si es posible desarrollar el modelo de IA con datos anónimos en lugar de datos personales.
Algoritmos discriminatorios: La discriminación está prohibida
El uso de algoritmos discriminatorios no está permitido para un modelo de IA, ya que es contrario al principio de equidad. Está prohibido, ya sea que dicho uso sea intencional o no. Por lo tanto, es bueno probar constantemente el modelo de IA para que no discrimine a grupos o individuos.
APRENDE MÁS
Bases jurídicas que pueden ser útiles en el desarrollo y uso de modelos de IA
Existen varias bases jurídicas que pueden ser adecuadas para apoyar el tratamiento de datos personales en el desarrollo y uso de modelos de IA. El interés legítimo se utiliza comúnmente, ya que es una base jurídica flexible. Sin embargo, es importante considerar primero un equilibrio escrito de intereses, así como saber que el interesado tiene derecho a oponerse al procesamiento. El consentimiento suele ser difícil de utilizar cuando se desarrolla un modelo de IA, pero puede ser más adecuado para apoyar el tratamiento de datos personales cuando se utiliza un modelo de IA.