IA: el interés legítimo como base jurídica válida
El pasado 9 de octubre, el Comité Europeo de Protección de Datos (EDPB) publicó unas directrices en las que analizaba los criterios que cualquier responsable del tratamiento deberá seguir al ampararse en su interés legítimo, según lo definido por el artículo 6.1.f) del RGPD, para llevar a cabo un tratamiento de datos personales.
Interés legítimo de la inteligencia artificial
En lo que respecta a su concreta aplicación en el ámbito de los sistemas de inteligencia artificial, el Comité Europeo de Protección de Datos (CEPD) ha aprobado posteriormente un dictamen sobre el uso de datos personales para el desarrollo y la implantación de modelos de IA. Este dictamen fue solicitado por la Autoridad Irlandesa de Protección de Datos (DPA), quien, entre otras cuestiones, solicitaba al CEPD que se pronunciara sobre la idoneidad del interés legítimo como base jurídica para el tratamiento de datos personales en el contexto del desarrollo y el despliegue de modelos de IA.
Este dictamen examina:
- Cuándo y cómo pueden considerarse anónimos los modelos de IA.
- Si (y cómo) puede utilizarse el interés legítimo como base jurídica para desarrollar o utilizar modelos de IA.
- Qué sucede si se desarrolla un modelo de IA utilizando datos personales tratados ilegalmente.
Con respecto al interés legítimo, el dictamen ofrece consideraciones generales que las APD deben tener en cuenta cuando evalúen si el interés legítimo es una base jurídica adecuada para el tratamiento de datos personales para el desarrollo y la implantación de modelos de IA.
El CEPD recuerda que el RGPD no establece ninguna jerarquía entre las diferentes bases jurídicas establecidas en el artículo 6, apartado 1, del RGPD. También señala que el artículo 5 del RGPD establece los principios relativos al tratamiento de datos personales. El CEPD destaca aquellos que son significativos para el presente dictamen y deberán al menos ser tenidos en cuenta por las autoridades de control a la hora de evaluar modelos de IA específicos.
También concreta que, a fin de determinar si un determinado tratamiento de datos personales puede basarse en el artículo 6, apartado 1, letra f), del RGPD, las autoridades de control deberán verificar que los responsables del tratamiento hayan evaluado y documentado cuidadosamente si se cumplen las tres condiciones acumulativas siguientes:
- La persecución de un interés legítimo por parte del responsable del tratamiento o de un tercero.
- El tratamiento es necesario para perseguir el interés legítimo (prueba de necesidad).
- Sobre el interés legítimo no prevalecen los intereses ni los derechos y libertades fundamentales de los interesados (ejercicio o prueba de ponderación).
Por otra parte, y relativo precisamente a la prueba de ponderación, se señala que el tratamiento de datos personales que tiene lugar durante el desarrollo y la implantación de modelos de IA puede afectar a los interesados de diferentes maneras, lo que puede ser positivo o negativo. Por ejemplo, si una actividad de tratamiento conlleva beneficios para el interesado, estos pueden tenerse en cuenta en la prueba de ponderación.
Aunque la existencia de tales beneficios puede llevar a la conclusión, por parte de una autoridad de control, de que los intereses, los derechos y libertades fundamentales de los interesados no prevalecen sobre los intereses del responsable del tratamiento o de un tercero, dicha conclusión solo puede ser el resultado de un análisis caso por caso que tenga en cuenta todos los factores adecuados. El impacto del tratamiento sobre los interesados puede verse influido por:
- La naturaleza de los datos tratados por los modelos.
- El contexto del tratamiento.
- Las consecuencias ulteriores que el tratamiento pueda tener.
En relación con la fase de desarrollo de los modelos de IA pueden adoptarse varias medidas para mitigar los riesgos que plantea el tratamiento de datos tanto propios como de terceros (incluso para mitigar los riesgos relacionados con las prácticas de raspado o scraping de sitios web). Sobre la base de lo anterior, el CEPD ofrece algunos ejemplos de medidas que pueden aplicarse para mitigar los riesgos detectados en la prueba de ponderación. Las autoridades de control deberían tener en cuenta estas medidas al evaluar los modelos de IA específicos caso por caso.
Letslaw es una firma de abogados internacionales especializada en el derecho de los negocios.
Artículos Relacionados
Letslaw se suma al Clúster de Inteligencia Artificial de la Comunidad de Madrid
¿Cuáles son los conceptos erróneos de la inteligencia artificial según la AEPD?
Aprobado Anteproyecto de Ley para un uso ético, inclusivo y beneficioso de la inteligencia artificial
Derecho de autor en inteligencia artificial: ¿quién es el autor de las creaciones generadas por IA?
¿Los modelos IA son plagio o síntesis? ¿Qué opina el Tribunal de Nueva York sobre la inteligencia artificial y los derechos de autor?
¿Por qué la inteligencia artificial de WhatsApp no está disponible en Europa?