Desde el 9/10/2024, empresas con más de 50 trabajadores tienen 3 meses para negociar medidas LGTBI
logo-audidat-2024.png
TU PRIMERA CONSULTA LEGAL
CONTACTO
TU PRIMERA CONSULTA LEGAL
CONTACTO

Abordando conceptos erróneos sobre la Inteligencia Artificial generativa y la protección de datos

En este artículo hablamos sobre:

  • La ICO británica aclara conceptos equivocados sobre el uso de datos personales en el desarrollo de IA generativa.

  • El tratamiento incidental de datos personales sigue estando sujeto al RGPD.

  • No existen excepciones para la IA en la normativa de protección de datos.

  • Las organizaciones deben aplicar principios de transparencia y protección desde el diseño.

La importancia de la protección de datos en la IA generativa

La Information Commissioner’s Office (ICO), autoridad británica en protección de datos, ha publicado una serie de aclaraciones sobre conceptos erróneos comunes detectados tras una consulta pública sobre el uso de IA generativa. Estas aclaraciones buscan guiar a los desarrolladores hacia el cumplimiento normativo en protección de datos, dada la creciente relevancia de estos sistemas en el ámbito digital.

1. El tratamiento «incidental» también se considera tratamiento de datos personales

Aunque algunos desarrolladores aseguren que el tratamiento de datos personales es accidental o no intencionado, esto no exime del cumplimiento del RGPD. Cualquier uso de datos personales, incluso incidental, está sujeto a la normativa de protección de datos. Es esencial evaluar de forma precisa si los modelos de IA manejan datos personales y aplicar las medidas correspondientes.

2. La práctica común no justifica el incumplimiento de expectativas razonables

El hecho de que ciertas prácticas sean habituales no implica que sean aceptables desde la perspectiva de los interesados. Usar datos personales para entrenar modelos de IA sin informar debidamente a los usuarios —por ejemplo, mediante técnicas como el web scraping— contraviene el principio de transparencia del RGPD. Es clave comunicar de manera clara y accesible el uso que se dará a los datos.

3. Diferencia clave entre «PII» y «datos personales»

Muchas organizaciones centran su cumplimiento en torno a la «información de identificación personal» (PII), pero el concepto legal relevante en el RGPD es más amplio: “dato personal” abarca cualquier información que pueda identificar directa o indirectamente a una persona física. Ignorar esta diferencia puede conducir a errores de cumplimiento.

4. La jurisprudencia sobre motores de búsqueda no es aplicable a la IA generativa

Algunos intentan aplicar decisiones judiciales relacionadas con buscadores al contexto de la IA generativa. Sin embargo, esta comparación no es válida. A diferencia de un buscador, la IA generativa sintetiza y crea nuevo contenido, lo que implica otros riesgos y obligaciones legales, especialmente en cuanto al ejercicio de derechos como el de supresión.

5. Los modelos de IA pueden incorporar y retener datos personales

Aunque algunos desarrolladores sostienen que sus modelos no almacenan datos personales, en realidad pueden retener información del entrenamiento. Esta información puede ser recuperable, lo que plantea implicaciones importantes respecto a la minimización de datos y al derecho de supresión establecido en el RGPD.

6. Protección de datos y su relación con otros marcos normativos

La protección de datos no debe utilizarse para interpretar la legalidad en otros marcos jurídicos. Si bien el tratamiento ilícito en otros ámbitos puede implicar una infracción del RGPD, las autoridades de protección de datos no son competentes para pronunciarse sobre otras normativas distintas a la de protección de datos.

7. No existe una excepción para la IA en el RGPD

Algunos desarrolladores han sugerido que la IA generativa debería tener un tratamiento especial dentro del RGPD, pero esto no es correcto. No existen excepciones ni exenciones generales: si se tratan datos personales, debe cumplirse íntegramente la normativa. Además, debe aplicarse la protección de datos desde el diseño y por defecto en todo el proceso de desarrollo y uso de la IA.

Una aportación clave

La publicación de la ICO representa una aportación clave para clarificar las obligaciones legales en el desarrollo de IA generativa. Estas orientaciones ayudan a evitar malentendidos y a garantizar el respeto a los derechos de los ciudadanos. Desde la AEPD se considera importante difundir estos mensajes para reforzar la responsabilidad de quienes desarrollan y utilizan sistemas de IA.

Esta información complementa otros recursos publicados por la AEPD, como:

  • Nota técnica EDPS-AEPD: 10 Malentendidos sobre el Machine Learning (sep 2022)

  • Requisitos para Auditorías de Tratamientos que incluyan IA (ene 2021)

  • Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial (feb 2020)

  • Guía de Privacidad desde el Diseño (oct 2019)

Más artículos sobre cumplimiento normativo

GUÍA PARA DIRECTIVOS

PREVENCIÓN DE RIESGOS LEGALES Y PENALES

DESCARGAR GRATIS

¡Será un placer ayudarte!

¿Necesitas asesoramiento personalizado?

Si usted introduce su dirección de correo electrónico, dará su autorización para la recepción periódica de nuestra Newsletter en su correo electrónico, consintiendo asimismo el tratamiento de los datos personales facilitados con la citada finalidad. Si usted desea dejar de recibir nuestra Newsletter en su dirección de correo electrónico, puede oponerse en cualquier momento al tratamiento de sus datos con fines informativos remitiendo un mensaje de correo electrónico, con el asunto “BAJA SUSCRIPCIÓN NEWSLETTER”, a la siguiente dirección: info@audidat.com. Puede dirigirse a nosotros para saber qué información tenemos sobre usted, rectificarla, eliminarla y solicitar el traspaso de su información a otra entidad (portabilidad). Para solicitar estos derechos, deberá realizar una solicitud escrita a nuestra dirección, junto con una fotocopia de su DNI: Audidat 3.0, SL · Paseo de la Castellana 182 - 6ª planta C.P. 28046 · Madrid. Dirección de contacto con nuestro Delegado de Protección de Datos: dpd@audidat.comSi entiende que sus derechos han sido desatendidos, puede formular una reclamación en la AEPD (www.aepd.es). Dispone de una información ampliada sobre el tratamiento de sus datos personales en el apartado “Política de Privacidad” de nuestra página web.

¿Necesitas un presupuesto a medida?
Contactar
Desde el 9/10/2024, empresas con más de 50 trabajadores tienen 3 meses para negociar medidas LGTBI.

Te ayudamos

Coméntanos tu problema para asignarte un consultor especializado y darte una solución jurídica en menos de 24hs.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del tratamiento: AUDIDAT 3.0, S.L. | Dirección del responsable: Paseo de la Castellana 182, 6ª planta 28046 Madrid | Finalidad: Sus datos serán usados para poder atender sus solicitudes y prestarle nuestros servicios. Asimismo, si usted nos ha facilitado su currículum personal, sus datos personales serán utilizados para participar en nuestros procesos de selección. | Publicidad: Solo le enviaremos publicidad con su autorización previa, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Legitimación: Únicamente trataremos sus datos con su consentimiento previo, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Destinatarios: Con carácter general, sólo el personal de nuestra entidad que esté debidamente autorizado podrá tener conocimiento de la información que le pedimos. Así mismo comunicaremos su información a entidades ofertantes interesadas en su perfil curricular. | Derechos: Tiene derecho a saber qué información tenemos sobre usted, corregirla y eliminarla, tal y como se explica en la información adicional disponible en nuestra página web. | Información adicional: Más información en el apartado ““política de privacidad”” de nuestra página web. | Delegado de Protección: de Datos dpd@audidat.com

GUÍA ESENCIAL PARA DIRECTIVOS

Si usted introduce su dirección de correo electrónico, dará su autorización para la recepción periódica de nuestra Newsletter en su correo electrónico, consintiendo asimismo el tratamiento de los datos personales facilitados con la citada finalidad. Si usted desea dejar de recibir nuestra Newsletter en su dirección de correo electrónico, puede oponerse en cualquier momento al tratamiento de sus datos con fines informativos remitiendo un mensaje de correo electrónico, con el asunto “BAJA SUSCRIPCIÓN NEWSLETTER”, a la siguiente dirección: info@audidat.com. Puede dirigirse a nosotros para saber qué información tenemos sobre usted, rectificarla, eliminarla y solicitar el traspaso de su información a otra entidad (portabilidad). Para solicitar estos derechos, deberá realizar una solicitud escrita a nuestra dirección, junto con una fotocopia de su DNI: Audidat 3.0, SL · Paseo de la Castellana 182 - 6ª planta C.P. 28046 · Madrid. Dirección de contacto con nuestro Delegado de Protección de Datos: dpd@audidat.comSi entiende que sus derechos han sido desatendidos, puede formular una reclamación en la AEPD (www.aepd.es). Dispone de una información ampliada sobre el tratamiento de sus datos personales en el apartado “Política de Privacidad” de nuestra página web.