La protección de datos personales se encuentra en constante desafío por el rápido desarrollo de la inteligencia artificial (IA), ya que su uso implica necesariamente el tratamiento de datos masivos, dentro de los cuales se pueden incluir diferentes categorías de datos personales.
A día de hoy, algo más del 80% de las personas que habitan el planeta utilizan un dispositivo habilitado para IA y, a medida que comparten sus datos con este tipo de sistemas, se abren multitud de nuevos escenarios que no debemos pasar por alto.
Como instrumento de análisis de datos, esta herramienta posee diversos usos que se expanden en las actividades de la rutina humana. Por ejemplo, se utiliza en motores de búsqueda como Google, servicios de traducción como DeepL y, por supuesto, en las plataformas como Facebook, YouTube o WhatsApp que usamos todos los días.
Su algoritmo es el encargado de optimizar la experiencia de uso y ofrecer funcionalidades relevantes y diferenciadoras, con el objetivo final de atraer al mayor número de público posible.
Efectos de la IA sobre la protección de datos
Las plataformas incluidas en el marco de Internet conforman un segmento del mercado en el que la responsabilidad por el uso de los datos personales es muy compleja.
Por ello es importante preguntarse cuáles son las situaciones en las que la inteligencia artificial puede producir un riesgo real hacia la información de los usuarios, pudiendo mencionar dos aspectos especialmente relevantes para la privacidad.
Automatización de procesos
Los sistemas impulsados por IA tienen la capacidad de tomar decisiones de forma automatizada, lo cual es posible gracias a la gran recogida de datos, que proporciona las herramientas óptimas para ejecutar una acción sin necesidad de una mano humana.
Autonomía en el aprendizaje
Estos sistemas también pueden usar la experiencia de los usuarios para obtener patrones de conducta que anticipen necesidades, siempre con objetivos enfocados a la eficiencia y la productividad.
La AEPD aclara confusiones
La Agencia Española de Protección de Datos (AEPD) ha adaptado al Reglamento General de Protección de Datos (RGPD) aquellos productos y servicios que usen inteligencia artificial, exponiendo las etapas de la IA en las que puede tener lugar el tratamiento de datos personales:
Entrenamiento
“Si es un modelo IA basado en técnicas de Machine Learning (aprendizaje automático), tendrá lugar el uso de datos personales en el desarrollo de este. En su máxima expresión, este aprendizaje automático podría llevar a conseguir definiciones, búsquedas relevantes, obtención de datos, etc”.
Por ejemplo, introducir en un software una serie de datos para que poco a poco este retenga información y vaya aprendiendo.
Validación
“En esta operación se podría realizar un tratamiento de datos personales cuando se intenten validar datos que se han usado en la fase de entrenamiento. Además, los datos tratados en esta segunda fase pueden ser distintos de aquellos utilizados en la etapa de entrenamiento (si es que ésta existe y trata datos personales) y podría incluso ser realizada por un tercero para la auditoría”.
Por ejemplo, en concordancia con la fase de entrenamiento, se trata de validar si los datos aportados para ese aprendizaje son correctos, o si por el contrario hay que realizar un nuevo entrenamiento.
Despliegue
“En el caso que la solución IA sea un módulo que se distribuye a terceros, se puede considerar que hay comunicación de datos personales cuando la solución incluya datos de personas o exista una forma de obtenerlos”.
Un ejemplo sería una empresa crea un software que se puede integrar en otras empresas para hacerles el trabajo más fácil, y en este traspaso, se produce un despliegue de datos personales.
Explotación
“En las actividades de explotación de la IA es posible encontrar tratamientos de datos personales en las siguientes fases:
- Inferencia: cuando se usen o almacenen datos del interesado o de terceros para obtener un resultado.
- Decisión: una decisión determinada sobre el interesado es un tratamiento de datos personales.
- Evolución: cuando se usen los datos de los interesados para afinar el modelo de IA. Si estos datos se envían a terceros, tendríamos una comunicación de datos, un posible tratamiento de almacenamiento, o incluso nuevas comunicaciones si esos datos se convierten en accesibles para terceros”.
En este caso, un ejemplo de explotación de la IA sería el uso del GPS, al que le damos información de donde estamos para obtener un resultado. Otro caso serían las compras por internet, ya que ofrecemos nuestros datos personales a las tiendas online, que a través de la IA conectan los resultados buscados por nosotros.
Retirada
“La retirada del servicio puede tener lugar de dos formas distintas:
- El componente de IA se retira porque se queda obsoleto.
- Un usuario concreto decide no utilizar el componente IA. Ese usuario puede ser una entidad o una persona física y puede tener efectos en la supresión distribuida de datos.”
Esto tendría lugar sobre todo en aquellos casos en los que el modelo IA se ha desarrollado hasta una cierta fecha, o hasta un cierto nivel, y por esas razones se queda obsoleta o sin interés de uso por parte del usuario.
Haciendo referencia a las palabras de la AEPD, “en las distintas etapas del ciclo de vida de un componente IA, será responsable del tratamiento de datos personales aquella persona física, jurídica, autoridad pública u otro que tome la decisión de realizar el tratamiento de datos personales”.
Requisitos de conformidad
Una vez conocemos la adaptación de la inteligencia artificial al RGPD, debemos saber cuáles son los requisitos mínimos para que exista conformidad en el tratamiento de los datos personales, que se redactan a continuación;
- La existencia de una base para legitimación del tratamiento de datos personales
- La obligación de informar a los sujetos de los datos y ser transparente.
- La obligación de proporcionar a los sujetos mecanismos para el ejercicio de sus derechos.
- La aplicación del principio de responsabilidad proactiva, que establece la necesidad de incorporar una serie de garantías adicionales, dirigidas a gestionar el riesgo para los derechos y libertades de los individuos.
- El cumplimiento de las condiciones para poder realizar transferencias internacionales de datos.
Protección de Datos Empresariales
Como es lógico, la ley regula la incorporación de la IA en el RGPD, pero todavía queda mucho por regular en esta materia.
No obstante, la protección también depende del factor humano, y deben producirse una serie de aspectos para cumplirse con garantías:
- Políticas robustas de privacidad y gobernanza de datos.
- Priorizacion de la diversidad, a la no discriminación y la igualdad.
- Supervisión constante de las soluciones y herramientas.
- Protocolos de bienestar social y ambiental.
- Responsabilidad corporativa.
- Estándares de transparencia.
- Políticas robustas de privacidad y gobernanza de datos.
En conclusión, el mundo de las tecnologías no para de crecer, pero no se trata de implementar nuevas reglas de protección de datos o de prohibir la tecnología porque ambas son herramientas de innovación, sino que la solución pasa por abordar los riesgos de la monetización de datos, promover el avance responsable de la tecnología y expandir los límites de la innovación.
Evita riesgos y protege tus datos
Las normas que regulan los datos personales se ven aludidas constantemente por este tipo de cuestiones. Evita riesgos y encárgate del correcto desarrollo de tu actividad profesional. En PROTECTION REPORT estamos especializados en ayudarte a detectar tus necesidades y asesorarte en todo lo relacionado con el cumplimiento de la Protección de Datos de la forma más práctica, sencilla y óptima posible.