En lo que al cumplimiento de la normativa de protección de datos se refiere (RGPD y LOPDGDD), cualquier sistema que esté basado en inteligencia artificial (IA) debería tener en cuenta, entre otras, las siguientes cuestiones:
1. Sistemas que incorporan IA sin tratar datos personales
- No todos los sistemas que incorporan IA suponen un tratamiento de datos personales (por ejemplo: modelo de predicción meteorológico que recoge datos de estaciones distribuidas en un determinado territorio).
- Si no supone un tratamiento de datos personales no será de aplicación la normativa de protección de datos (RGPD y LOPDGDD) pero sí el Reglamento de Inteligencia artificial (RIA) al sistema.
2. Sistemas que incorporan IA con tratamiento de datos personales
- Un sistema que incorpora IA no es en sí mismo un tratamiento de datos personales, es una herramienta o un medio que permite tratar esos datos personales para unos fines determinados.
- Puede haber etapas del ciclo de vida del sistema que incorpora IA (entrenamiento, validación, despliegue, explotación y retirada) en las que se traten datos personales y otras en las que no, en las que se traten será de aplicación la normativa de protección de datos.
- Cuando se utilice IA para la toma de decisiones basadas únicamente en tratamientos automatizados (sin intervención humana), incluida la elaboración de perfiles, que produzca efectos jurídicos en una persona física o le afecte significativamente de modo similar, también le será de aplicación la normativa de protección de datos.
- Cualquier sistema que incorpore IA en el que se traten de datos personales, deberá cumplir con todo lo exigido por el RGPD, que podríamos resumir en los principios relativos al tratamiento del art. 5 RGPD.
PRINCIPIOS RELATIVOS AL TRATAMIENTO
- Licitud y lealtad (art. 5.1.a RGPD)
- Contar con una base jurídica de las del art. 6.1 RGPD que legitime el tratamiento para los fines que se pretenden.
- Si supone una transferencia internacional contar con alguna de las habilitaciones para que sean lícitas contempladas en el Capítulo V del RGPD.
- Si se tratan datos de categoría especial hacerlo solo con alguna de las excepciones a la prohibición de su tratamiento reguladas en el art. 9.2 RGPD.
- Si suponen decisiones basadas únicamente en tratamientos automatizados (sin intervención humana), incluida la elaboración de perfiles, que afectan a personas físicas produciéndole efectos jurídicos o afectándoles significativamente de modo similar, llevarlas a cabo solo cuando:
- Esté basada en el consentimiento explícito del interesado.
- Sea necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento.
- Esté autorizada por una Ley que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
En los dos primeros casos el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
En los tres casos las decisiones no se basarán en las categorías especiales de datos personales salvo que se aplique el 9.2 a) o g) RGPD, y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
- Transparencia (art. 5.1.a RGPD)
- Facilitar la información relativa al tratamiento que exige el art. 12 y/o 14 RGPD de manera que sea accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro (art. 12 RGPD)
- Limitación de la finalidad (art. 5.1.b RGPD)
- No tratar los datos de manera incompatible con los fines para los que fueron recabados.
- Minimización de datos (art. 5.1.c RGPD)
- Tratar solo los datos adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que han sido recabados y no se deben tratar si lo que se pretende pudiera lograrse razonablemente por otros medios.
- Exactitud (art. 5.1.d RGPD)
- Los datos personales tratados deben ser exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
- Limitación del plazo de conservación (art. 5.1.e RGPD)
- No conservar los datos más tiempo del necesario para los fines para los que fueron recabados. Se debe garantizar que se limite a un mínimo estricto su plazo de conservación. Para garantizar no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica.
- Integridad y confidencialidad (art. 5.1.f RGPD)
- Garantizar una seguridad adecuada de los datos, incluida su protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
- Para la adopción de esas medidas apropiadas, que además se deben revisar y actualizar cuando sea necesario, será preciso analizar y evaluar los riesgos que el tratamiento de esos datos personales suponga para el interesado (art. 24, 25 y 32 RGPD).
- Cuando el tratamiento suponga un alto riesgo para el interesado, se deberá llevar a cabo de manera previa al inicio del mismo una evaluación de impacto (EIPD) (art. 35 RGPD); si tras la EIPD el riesgo continúa siendo alto y no se dispone de medidas para reducirlo, se deberá consultar a la autoridad de control (AC) antes de iniciar el tratamiento (art. 36 RGPD).
- Cuando se produzca una brecha de seguridad, además de notificarla a la AC si supone un riesgo para los interesados afectados y comunicarla a los propios afectados si este riesgo es alto, se deben adoptar nuevas medidas para poner remedio a la brecha y para mitigar los posibles efectos negativos que suponga la misma (art. 33 y 34 RGPD).
- Adoptar las medidas técnicas y organizativas que se determinen de la gestión de riesgos, y dentro de las organizativas, son obligatorias:
- Cuando dos o más responsables determinen conjuntamente los fines y los medios del tratamiento (Corresponsables) determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el RGPD (art. 26 RGPD).
- Cuando la organización esté establecida fuera de la UE pero le sea de aplicación el RGPD, designará por escrito un representante en la UE (art. 27 RGPD).
- Se deben elegir solo encargados de tratamiento que ofrezcan suficientes garantías para aplicar medidas de manera que el tratamiento sea conforme al RGPD, encargo que debe regularse a través de un contrato (art. 28 RGPD).
- Se darán indicaciones a través de políticas y/o protocolos a cualquier persona que actúe bajo la autoridad de la organización y tenga acceso a datos personales, para que solo traten dichos datos siguiendo instrucciones de la organización (art. 29 RGPD).
- Cada organización debe llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad y otro de las efectuadas por cuenta de otra entidad (art. 30 RGPD).
- Cooperar con la AC cuando lo solicite en el desempeño de sus funciones (art. 31 RGPD).
- Designar un DPO siempre que se den las circunstancias en las que la normativa obligue a ello (art. 37, 38 y 39).
- Responsabilidad proactiva (art. 5.2 RGPD)
- No solo debemos cumplir con los principios anteriormente relacionados, sino que además debemos ser capaces de demostrar que los cumplimos.