Protección Data

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Usos de sistemas de IA generativa en el sector público

La inteligencia artificial generativa crea contenidos nuevos (textos, imágenes, música y vídeos) a partir de cantidades masivas de datos existentes, imitando patrones y estructuras aprendidas de sus datos de entrenamiento. 

El Supervisor Europeo de Protección de Datos (SEPD) publicó, el 3 de junio de 2024, las Primeras Orientaciones del SEPD para garantizar el cumplimiento de la protección de datos cuando se utilizan sistemas de IA generativa» dirigidas a las instituciones, órganos, oficinas y agencias de la Unión Europea (EUI, por sus siglas en inglés).

El objetivo es asegurar que el tratamiento de datos personales por las EUI en el uso de sistemas de IA generativa se ajusta al Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº 45/2001 y la Decisión nº 1247/2002/CE.

El SEPD afirma que «no hay ningún obstáculo, en principio, para que las EUI puedan desarrollar, implementar y utilizar sistemas de IA generativa en la prestación de servicios públicos, siempre que las normas lo permitan y se cumplan todos los requisitos legales aplicables, especialmente considerando la responsabilidad especial del sector público para garantizar el pleno respeto de los derechos y libertades fundamentales de las personas al utilizar las nuevas tecnologías».

Para garantizar el cumplimiento de la protección de datos personales, las orientaciones del SEPD giran en torno a cuatro ejes:

1.- El papel crucial del Delegado de Protección de Datos

En el contexto de la implementación por parte de los EUI de sistemas de IA generativa, los DPD juegan un papel crucial para asegurar la licitud en el tratamiento de datos personales; así, cuando un desarrollador o proveedor afirme que su sistema no procesa datos personales (por ejemplo, porque use datos anonimizados o datos sintéticos), el DPD investigará acerca de los controles que se han establecido para garantizarlo. Asimismo, comprobará que existe una base legal que ampare el tratamiento de datos personales (por ejemplo: el consentimiento de los interesados, el interés legítimo del responsable del tratamiento, el cumplimiento de una obligación legal o el ejercicio de poderes públicos establecidos por el Derecho de la Unión). También asesorará al responsable en las evaluaciones de impacto en la protección de datos que se realicen, entre sus funciones de asesoramiento.

Es evidente que los DPD deberán realizar un esfuerzo en formación para comprender cómo funcionan los sistemas de IA generativa. En caso contrario, su labor de asesoramiento resultará imposible.

2.- Principios de minimización y exactitud de los datos en relación con los sistemas de IA

El principio de minimización de datos significa que los responsables del tratamiento garantizarán que los datos personales objeto de tratamiento sean adecuados, pertinentes y se limiten a lo necesario en relación con los fines para los que se procesan, evitando el tratamiento  indiscriminado de datos personales.

El SEPD destaca que es una idea errónea pensar que el principio de minimización de datos personales no tiene cabida en el contexto de la inteligencia artificial.

En cuanto al principio de exactitud, los datos personales empleados serán exactos y estarán actualizados, de forma que el responsable del tratamiento deberá eliminar los datos personales que sean inexactos.

Cuando los EUI utilicen un sistema proporcionado por un tercero deben obtener garantías contractuales sobre los procedimientos utilizados para garantizar la exactitud de los datos utilizados. Esto incluye procedimiento de recopilación de datos y de preparación como anotación, etiquetado, enriquecimiento y agregación, así como identificación de posibles lagunas y problemas que puedan afectar a la precisión.

3.- Información a los interesados

Unas políticas adecuadas de información y transparencia pueden ayudar a mitigar los riesgos para las personas. Esto implica contar con información completa sobre las actividades de procesamiento realizadas en las diferentes etapas de desarrollo, incluido el origen de los conjuntos de datos, el procedimiento de curación/etiquetado, así como cualquier información asociada al tratamiento.

Ciertos sistemas, como los chatbots pueden requerir requisitos de transparencia específicos, incluida la información a las personas de que están interactuando con un sistema de inteligencia artificial sin intervención humana.

Dado que el derecho a la información incluye la obligación de proporcionar a las personas, en casos de elaboración de perfiles y decisiones automatizadas, información significativa sobre la lógica de dichas decisiones, así como su significado y posibles consecuencias para las personas, es importante que el EUI mantenga información actualizada, no sólo sobre el funcionamiento de los algoritmos utilizados, sino también sobre los conjuntos de datos de procesamiento.

4.- Decisiones automatizadas

El RGPD prohíbe las decisiones automatizadas sin intervención humana, incluida la elaboración de perfiles, que produzcan efectos legales o significativos en los interesados, salvo que exista una necesidad contractual, consentimiento o autorización en virtud del Derecho de la Unión o de los Estados miembros. En cualquier caso, estas excepciones deben ir acompañadas de medidas para salvaguardar los derechos y libertades de los interesados, quedando prohibido el tratamiento de las categorías especiales de datos, a menos que se cuente con su consentimiento.

El SEPD destaca la importancia de garantizar las protecciones individuales, como el derecho a obtener intervención humana, a expresar el propio punto de vista y a impugnar la decisión. El SEPD advierte también de los riesgos específicos y de los daños potenciales de los sistemas de IA generativa en el contexto de la toma de decisiones automatizada, en particular sobre las poblaciones vulnerables y los niños.

Asimismo, el SEPD recomienda a las EUI comprobar y supervisar periódicamente los resultados del sistema para detectar sesgos, así como evitar confiar excesivamente en los resultados proporcionados por sistemas que pueden generar sesgos de automatización y de confirmación.

5.- Seguridad de los datos

El uso de sistemas generativos de IA puede amplificar los riesgos de seguridad existentes o crear otros nuevos, incluso generando nuevas fuentes y canales de transmisión de riesgos sistémicos en el caso de modelos ampliamente utilizados.

En comparación con los sistemas tradicionales, los riesgos de seguridad específicos de la IA generativa pueden derivar de datos de entrenamiento poco confiables, la complejidad de los sistemas, la opacidad y los problemas para llevar a cabo las tareas adecuadas.

El SEPD insta a las EUI a adoptar medidas adecuadas para salvaguardar sus derechos y libertades, integrando controles específicos adaptadas a las vulnerabilidades conocidas de dichos sistemas.

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).