- El Reglamento Europeo de Inteligencia Artificial debe cumplir con las normas del RGPD, ya que el primero no es suficiente por sí solo para garantizar la protección de datos personales.
- Los datos personales pueden ser tratados en todas las fases del ciclo de vida de un sistema de IA, desde el entrenamiento hasta la implantación, lo que exige un cumplimiento estricto del RGPD.
- Factores clave como las decisiones automatizadas, la legitimación del tratamiento y la evaluación de impacto son imprescindibles en el desarrollo y uso de sistemas de IA.
- La supervisión humana en sistemas de IA de alto riesgo es un requisito esencial para salvaguardar los derechos de los interesados.
Compatibilidad entre el Reglamento de IA y el RGPD
El Reglamento Europeo de Inteligencia Artificial (Reglamento de IA) debe interpretarse en conjunto con la normativa de la Unión Europea sobre protección de datos, especialmente el Reglamento General de Protección de Datos (RGPD). Cumplir con el Reglamento de IA no exime a las organizaciones de garantizar que el tratamiento de datos personales sea conforme al RGPD, dado que los datos personales suelen estar presentes en múltiples fases del ciclo de vida de los sistemas de IA, desde su desarrollo hasta su implementación.
Incluso cuando los datos personales sean anonimizados, es crucial documentar esta medida y garantizar su eficacia, considerando también los riesgos de una posible reidentificación.
Cuatro aspectos clave en la protección de datos en sistemas de IA
1. Funciones y responsabilidades
El tratamiento de datos personales en sistemas de IA involucra a diversos actores con funciones cambiantes. Por ejemplo, un desarrollador puede ser responsable del tratamiento durante la fase de desarrollo, pero podría convertirse en encargado del tratamiento en la fase de explotación. Además, en algunas circunstancias, dos o más actores pueden considerarse corresponsables del tratamiento, lo que complica aún más las obligaciones de cumplimiento.
2. Decisiones automatizadas
El artículo 22 del RGPD establece que los interesados tienen derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado, incluyendo la elaboración de perfiles, si dichas decisiones tienen efectos jurídicos o similares. Si tales decisiones se justifican en base a un contrato o al consentimiento explícito del interesado, el responsable del tratamiento debe salvaguardar los derechos de los usuarios, incluyendo:
- La posibilidad de intervención humana.
- El derecho a expresar opiniones personales.
- La opción de impugnar la decisión.
El Reglamento de IA, por su parte, exige que los sistemas de IA de alto riesgo estén sujetos a supervisión humana activa mientras estén en uso, lo que refuerza la protección de los derechos de los interesados.
3. Legitimación del tratamiento
El artículo 6 del RGPD identifica seis bases jurídicas para el tratamiento de datos personales, incluyendo el consentimiento del interesado, la ejecución de un contrato, el cumplimiento de una obligación legal y la existencia de un interés legítimo. Dependiendo de la fase del ciclo de vida de un sistema de IA, se podrá recurrir a diferentes fundamentos para legitimar el tratamiento de datos.
4. Evaluación de impacto sobre la protección de datos
El RGPD exige la realización de una evaluación de impacto cuando el tratamiento de datos pueda implicar un alto riesgo para los derechos de los interesados. Del mismo modo, el Reglamento de IA demanda una evaluación de impacto en derechos fundamentales para los sistemas clasificados como de alto riesgo. Estas evaluaciones ayudan a mitigar los riesgos asociados con el uso de sistemas de inteligencia artificial y garantizan el cumplimiento normativo.
Hacia un cumplimiento integral
El desarrollo y uso de sistemas de inteligencia artificial en la Unión Europea debe ajustarse tanto al Reglamento de IA como al RGPD para garantizar que los derechos fundamentales de los usuarios sean respetados. Desde la identificación de responsabilidades y la justificación del tratamiento hasta la supervisión humana y las evaluaciones de impacto, cada etapa requiere un enfoque riguroso y documentado.
Este doble marco normativo no solo fortalece la protección de los datos personales, sino que también promueve una inteligencia artificial ética y responsable, alineada con los principios fundamentales de la UE.