13 febrero 2020
La AEPD publica una guía para adaptar al RGPD los productos y servicios que utilicen Inteligencia Artificial
- El documento aborda las dudas que plantea la IA en el marco de la protección de datos y recuerda los aspectos más importantes del Reglamento General de Protección de Datos que deben tenerse en cuenta desde el diseño
- Está dirigido a responsables que incorporen componentes de IA en sus tratamientos, así como a desarrolladores y encargados que den soporte a dicho tratamiento
La Agencia Española de Protección de Datos (AEPD) ha publicado la Guía de adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial, un documento que aborda las inquietudes que el uso de esta tecnología genera en relación con la protección de datos personales, y repasa los aspectos más importantes que deben tenerse en cuenta a la hora de diseñar productos y servicios que lleven a cabo tratamientos de datos que incluyan Inteligencia Artificial (IA).
Con carácter general, la IA es la capacidad de una máquina de realizar análisis e inferencias a partir de información compleja o incompleta. Una definición más limitada es la llamada IA-débil, que se caracteriza por desarrollar soluciones capaces de resolver un problema concreto y acotado. Este documento se centra la adecuación al Reglamento de aquellos tratamientos de datos que incorporen partes de IA-débil.
La guía, dirigida a responsables que incorporen componentes de IA en sus tratamientos, así como a desarrolladores y encargados que den soporte a dicho tratamiento, comienza por introducir la relación entre la IA y la protección de datos, puesto que un elemento de IA podría estar tratando datos personales en distintas etapas de su ciclo de vida y, en consecuencia, tendría que cumplir con las obligaciones que establece el RGPD. Posteriormente, repasa las distintas relaciones que se pueden dar entre el responsable del tratamiento de datos personales con los terceros a los que podría contratar para realizar tareas.
Asimismo, se recogen las condiciones que deben cumplir estas tecnologías para garantizar y demostrar que el tratamiento efectuado se adecua al RGPD. Entre ellas se encuentran aspectos como la legitimación para el tratamiento, la información, el ejercicio de derechos y la toma de decisiones automatizadas. El documento también aborda la gestión de riesgo de un tratamiento para los derechos y libertades como parte del concepto de responsabilidad activa establecido en el RGPD, centrándose en aspectos como la exactitud, la minimización de datos, la evaluación de impacto y el análisis de la proporcionalidad del tratamiento, entre otros. Finalmente, analiza la posibilidad de que el uso de tecnologías basadas en IA implique transferencias internacionales de datos.
La Guía concluye con un apartado de conclusiones en el que la Agencia pone de manifiesto que la puesta en el mercado de tecnologías que hacen tratamientos de datos en los que se utiliza IA exige que se apliquen garantías de calidad y privacidad. También recuerda que el cumplimiento de lo establecido en el RGPD exige cierto nivel de madurez a los modelos de IA, de forma que se pueda determinar objetivamente la adecuación de los tratamientos y la existencia de medidas para gestionar sus riesgos.