Dado que cada vez se emplean con más asiduidad (y en todo tipo de sectores) técnicas y tecnologías o sistemas capaces de analizar el entorno y de forma autónoma llevar a cabo acciones que permitan alcanzar objetivos específicos, la AEPD publicó el pasado jueves 13 de febrero Una aproximación para la adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial (la “Guía“), cuyo objetivo no es otro que abordar las inquietudes que el uso de esta tecnología genera en relación con la protección de datos personales, y repasar los aspectos más importantes que deben tenerse en cuenta a la hora de diseñar productos y servicios que entrañen tratamientos de datos basados en Inteligencia Artificial (IA).

De la lectura de dicho documento pueden extraerse determinados aspectos clave que han de ser evaluados necesariamente a lo largo de todo el ciclo de vida del sistema de IA (desde su fase de concepción y análisis hasta la de retirada del componente) y el tratamiento en el que éste se integra.

A continuación recogemos aquellos puntos que, desde nuestro punto de vista, pueden revestir un mayor interés para responsables y encargados del tratamiento (p.ej. desarrolladores), así como para los propios usuarios:

1. Existencia de una base legitimadora para llevar a cabo el tratamiento de datos personales empleando componentes o sistemas de IA.

El primer elemento a considerar ya desde la fase de creación de un componente de IA o un tratamiento que plantee la utilización de un componente de IA es la identificación de una base jurídica legitimadora. De no encontrarse ninguna, no deberá realizarse el tratamiento.

La base legitimadora podrá variar en función de la etapa del ciclo de vida del sistema de IA, siendo las más habituales: ejecución contractual (o aplicación de medidas pre-contractuales), interés legítimo y consentimiento. Asimismo, habrá de prestarse especial atención a las categorías de datos objeto de tratamiento y el uso que de los mismos se desee efectuar ya que es posible que resulten de aplicación restricciones adicionales (p.ej. tratamiento de categorías especiales de datos en decisiones automatizadas y para la elaboración de perfiles).

El tratamiento de datos personales habrá de restringirse a aquellos fines determinados, explícitos y legítimos que el responsable del tratamiento identifique.

Por último, mencionar que en caso de emplearse conjuntos de datos de terceros, habrá de comprobarse previamente la legitimidad de la fuente de datos adquirida.

2. Obligación de informar a los interesados. Transparencia.

Habrá de facilitarse a los interesados la información relativa al tratamiento en línea con lo dispuesto en los artículos 13 y 14 RGPD. Dicha información podrá proporcionarse siguiendo un modelo por capas, en línea con lo que establece la LOPDGDD.

En particular, la Guía reitera la obligación de facilitar aquella información que permita comprender el comportamiento del tratamiento cuando éste esté sometido a decisiones automatizadas o comprenda la elaboración de perfiles (p.ej. detalle de los datos empleados para la toma de decisión y plazo de uso de los mismos, importancia relativa de cada dato en la toma de decisión, perfilados realizados y sus implicaciones, existencia o no de supervisión humana cualificada, etc.).

3. Proporcionar los mecanismos necesarios para que los interesados puedan ejercitar sus derechos.

Resulta esencial que el responsable del tratamiento establezca mecanismos y procedimientos adecuados para poder atender las solicitudes de ejercicio de derechos que reciba.

En aquellos casos en los que concurra más de un responsable del tratamiento o bien intervenga un encargado, será necesario implementar modelos de gobernanza que permitan trazar correctamente la información e identificar en cada momento a la entidad responsable del tratamiento para hacer efectivos tales derechos.

Si bien es cierto que se incorporan breves referencias a cada uno de los derechos, resaltamos especialmente:

(i) derecho de supresión:

Los datos recogidos para la etapa de entrenamiento de la solución o sistema de IA han de ser eliminados, salvo que se justifique la necesidad o legitimidad de mantenerlos.

Asimismo, en el momento de distribución de la solución IA, será necesario: (a) suprimir los datos de los interesados (o justificar la imposibilidad de hacerlo) en parte o en su totalidad; (b) determinar la base legitimadora para la comunicación de datos a terceros; (c) informar a los interesados; (d) demostrar que se ejecutaron las medidas de privacidad por defecto y desde el diseño; y (e) realizar una evaluación de impacto para la protección de datos.

(ii) derecho a no ser sometido a decisiones automatizadas, incluida la elaboración de perfiles, cuando no haya intervención humana, y se produzcan efectos jurídicos o ésta afecte de forma similar y significativa al interesado, salvo que concurra alguna de las excepciones previstas por la norma:

En aquellos casos en los que se permita la toma de decisiones automatizadas y el tratamiento se base en el consentimiento explícito del interesado, el responsable habrá de proporcionar alternativas viables y equivalentes a la decisión automatizada, debiendo garantizar igualmente que no se introducen sesgos en las decisiones que afecten o perjudiquen los intereses del afectado en caso de que este opte por no ser sometido a la misma.

Se establece como buena práctica la opción de supervisión humana en tratamientos basados en IA, y en general en aquellos que impliquen la toma de decisiones automatizadas.

4. Incorporar, en virtud del principio de responsabilidad proactiva, las garantías necesarias que permitan gestionar el riesgo para los derechos y libertades de los interesados.

A la hora de efectuar el análisis de riesgos, será necesario:

(i) identificar amenazas y evaluar el nivel de riesgo intrínseco existente (p.ej. el que se deriva del sesgo o discriminación en sistemas de toma de decisiones, los que se derivan con relación al contexto social, los que se derivan de la novedad de la solución IA y su implementación, re-identificación de datos, ataques por imitación de patrones conocidos, etc.);

(ii) gestionar el riesgo identificado mediante la implementación de medidas técnicas y organizativas que resulten adecuadas y proporcionadas para lograr su eliminación o, al menos, mitigación en lo que se refiere a impacto y probabilidad de que dichos riesgos se materialicen (p.ej. minimizar la cantidad de datos tratados en cada fase; emplear estrategias de eliminación temprana de datos en la solución IA; agregar datos para reducir el nivel de detalle de los mismos; ocultar interrelaciones entre los datos; mejorar la información facilitada a los interesados; información, formación y auditorías del personal que interviene; empleo de métricas y técnicas de depuración y trazabilidad que permitan garantizar la exactitud de los datos, etc.); y

(iii) evaluar el riesgo residual remanente tras haber implementado las medidas mitigadoras de forma que pueda mantenerse controlado.

En aquellos casos en los que los niveles de riesgo asociados al tratamiento sean elevados (p.ej. elaboración de perfiles basados en tratamientos automatizados sobre los que se tomen decisiones que produzcan efectos jurídicos o afecten significativamente a las personas físicas), deberá efectuarse una evaluación de impacto de la privacidad con carácter previo a la ejecución del tratamiento.

Del mismo modo, habrá de valorarse la necesidad y proporcionalidad del tratamiento respecto de su finalidad (esto es, si la finalidad perseguida puede alcanzarse mediante otro tipo de solución que presente un rendimiento aceptable y un menor nivel de riesgo).

De todo lo expuesto anteriormente puede desprenderse que, el uso de sistemas y soluciones IA conforme a lo dispuesto en materia de protección de datos pasa necesariamente por efectuar un exhaustivo análisis de cada uno de sus componentes de forma que pueda garantizarse que a lo largo de todo su ciclo de vida se respetan todos y cada uno de los principios sobre los que pivota nuestro sistema de protección de datos.