¿Quieres contactar con nosotros?
Introducción y antecedentes
La regulación de la inteligencia artificial (IA) ha sido una prioridad para la Unión Europea desde 2016, con hitos clave como el Libro Blanco de la IA en 2020 y la aprobación del Reglamento de IA (RIA) en 2024. Este reglamento, que adopta un enfoque de cumplimiento basado en el riesgo (risk-based approach), establece un marco jurídico pionero para garantizar el desarrollo ético y seguro de estas tecnologías en el mercado único europeo.
En particular, el surgimiento de aplicaciones de IA generativa, como ChatGPT, a partir finales de 2022, catalizó el debate público y regulatorio. Estas innovaciones, que captaron rápidamente la atención masiva y pusieron de manifiesto tanto su utilidad como sus riesgos, han acelerado de manera significativa la adopción de medidas para asegurar un desarrollo responsable y alineado con los valores europeos.
En este contexto, con el fin de lograr una armonización normativa a escala europea, la Autoridad de Protección de Datos Irlandesa solicitó al Comité Europeo de Protección de Datos (CEPD) la emisión de una Opinión sobre los modelos de IA y el tratamiento de datos personales, la cual fue adoptada el 17 de diciembre de 2024. A continuación, se presenta un resumen de las tres principales cuestiones analizadas por el CEPD.
Anonimización en modelos de IA
Con respecto a la primera consulta, se solicita al CEPD que aclare las circunstancias en las que un modelo de IA, que ha sido entrenado utilizando datos personales, puede considerarse anónimo. Asimismo, se solicita al CEPD que aclare qué pruebas y/o documentación deben tener en cuenta las Autoridades de Control al evaluar si un modelo de IA es anónimo.
En resumen, el CEPD considera que, para que un modelo de IA sea considerado anónimo, debe garantizarse que, utilizando medios razonables, (I) sea poco probable que se pueda obtener directamente (incluso de forma probabilística) información personal de las personas cuyos datos se usaron para entrenar el modelo de IA, y (II) sea también poco probable que se pueda obtener dicha información, ya sea intencionalmente o no, al hacer consultas al modelo de IA. Por defecto, las Autoridades de Control deberían asumir que los modelos de IA necesitan una evaluación cuidadosa de la probabilidad de identificar a una persona para determinar si el modelo de IA puede considerarse anónimo. Esta evaluación debe tener en cuenta todos los medios razonables que podrían usar el responsable del tratamiento u otras personas para identificar a personas físicas, e incluir también el posible (re)uso o divulgación no deseada del propio modelo de IA.
En relación con la segunda parte de la pregunta, el CEPD proporciona una lista no prescriptiva y no exhaustiva de posibles elementos que las Autoridades de Control pueden considerar al evaluar la afirmación de anonimización realizada por un responsable del tratamiento. Entre ellos se incluyen: el diseño del modelo de IA en relación con el anonimato; la efectividad de las medidas de anonimización; la calidad de las pruebas realizadas sobre el modelo de IA y su resistencia a ataques; y la documentación relativa a las operaciones de tratamiento.
Concluye el CEPD que, si una Autoridad de Control no puede confirmar, tras evaluar la reclamación de anonimato, incluida la documentación, que se tomaron medidas efectivas para anonimizar el modelo de IA, la Autoridad de Control estaría en posición de considerar que el responsable del tratamiento no ha cumplido con su obligación de responsabilidad proactiva bajo el artículo 5(2) del RGPD y por lo tanto, también se debe considerar el cumplimiento con otras disposiciones del RGPD.
Interés legítimo como base jurídica en IA
Con respecto a las consultas segunda, se solicita al CEPD que se pronuncie sobre la idoneidad del interés legítimo como base jurídica para el tratamiento de datos personales en el contexto del desarrollo y el despliegue de modelos de IA.
El CEPD recuerda que el RGPD no establece ninguna jerarquía entre las distintas bases jurídicas recogidas en el artículo 6(1) del RGPD. En este sentido, para determinar si un tratamiento de datos personales puede basarse en el artículo 6(1)(f) del RGPD relativo al interés legítimo, el responsable del tratamiento debe verificar cuidadosamente y documentar si se cumplen las tres condiciones acumulativas siguientes: (I) la persecución de un interés legítimo por parte del responsable del tratamiento o de un tercero (identificación del interés legítimo) (II) el tratamiento es necesario para perseguir dicho interés legítimo (análisis de necesidad) y (III) el interés legítimo no queda anulado por los intereses o derechos y libertades fundamentales de los interesados (test de ponderación).
Para un análisis más detallado sobre la interpretación y aplicación de estas condiciones, puede consultarse el artículo de PwC: “El CEPD publica sus directrices definitivas sobre el tratamiento de datos personales basado en el interés legítimo”, relativo a las Directrices del CEPD sobre el tratamiento de datos personales basado en interés legítimo publicadas el 9 de octubre de 2024.
Por otro lado, en relación con las fases de desarrollo y despliegue de los modelos de IA, el CEPD ofrece algunos ejemplos de medidas que pueden implementarse para mitigar los riesgos identificados en el test de ponderación derivados del tratamiento de datos propios y de terceros (incluidos los riesgos relacionados con las prácticas de web scarping), y que deben ser consideradas por la Autoridad de Control al evaluar modelos específicos de IA caso por caso.
Consecuencias del tratamiento ilícito de datos
Con respecto a la tercera consulta, se solicita al CEPD que se pronuncie sobre las consecuencias del tratamiento ilícito de datos personales durante la etapa de desarrollo, en la licitud del tratamiento posterior o del funcionamiento del modelo de IA.
En relación con esta pregunta, el CEDP aborda tres escenarios, donde las diferencias radican en si los datos personales tratados para desarrollar el modelo de IA se mantienen en el modelo y/o si el tratamiento posterior es realizado por el mismo responsable del tratamiento u otro diferente:
(I) Un responsable del tratamiento utiliza datos personales de forma ilícita para desarrollar el modelo de IA, los datos se mantienen en el modelo y luego el mismo responsable trata estos datos (por ejemplo, en la etapa de despliegue).
El CEPD concluye que la consideración de si las fases de desarrollo y despliegue del modelo de IA implican finalidades separadas (y por lo tanto constituyen actividades de tratamiento distintas) y en qué medida la falta de base legal para el tratamiento inicial impacta en la licitud del tratamiento posterior deberá valorarse caso por caso, dependiendo de su contexto específico.
(II) El responsable del tratamiento utiliza datos personales ilícitamente para desarrollar el modelo de IA, los datos se mantienen en el modelo, pero luego son tratados por otro responsable al desplegar el modelo.
En este sentido, el CEPD señala que las Autoridades de Control deben evaluar la licitud del tratamiento realizado por (I) el responsable del tratamiento que originalmente desarrolló el modelo de IA; y (II) el responsable del tratamiento que adquirió el modelo de IA y trata los datos por sí mismo.
Por otro lado, deben tener en cuenta si el responsable del tratamiento que despliega y usa el modelo de IA realizó una evaluación adecuada, como parte de sus obligaciones de responsabilidad proactiva para demostrar el cumplimiento del artículo 5(1)(a) y el artículo 6 del RGPD, para verificar que el modelo de IA no fue desarrollado mediante el tratamiento ilícito de datos personales.
(III) El responsable del tratamiento usa datos personales de manera ilícita para desarrollar el modelo de IA, luego asegura que el modelo sea anonimizado antes de que el mismo responsable u otro inicie un nuevo tratamiento de datos personales en el contexto del despliegue y uso del modelo.
El CEPD establece que, si se demuestra que la operación de despliegue, tras la anonimización del modelo de IA, no implica el tratamiento de datos personales, el RGPD no sería aplicable, y la ilegalidad del tratamiento inicial no afectaría la licitud de la operación posterior del modelo. Sin embargo, el CEPD resalta que una simple afirmación de anonimización no es suficiente para excluir al modelo de la aplicación del RGPD, y que las Autoridades de Control deben evaluar cada caso de manera individual.
En cambio, cuando el responsable del tratamiento trate datos personales obtenidos durante la fase de despliegue, tras la anonimización del modelo, el RGPD sí se aplicaría en relación con esas actividades de tratamiento. En estos casos, la licitud del tratamiento realizado durante la fase de despliegue no se verá afectada por la ilegalidad del tratamiento inicial, siempre y cuando se cumplan los requisitos establecidos por el RGPD para ese tratamiento posterior.
Conclusiones
El CEPD concluye que un modelo de IA puede considerarse anónimo únicamente cuando el riesgo de identificación sea insignificante, lo que requiere una evaluación caso por caso. Asimismo, reconoce que el interés legítimo puede ser una base legal válida requiriendo una evaluación en tres fases: identificación del interés legítimo, análisis de necesidad del tratamiento y test de ponderación entre los intereses del responsable y los derechos de los usuarios. Finalmente, si un modelo de IA se desarrolla con datos personales tratados de manera ilícita, esto podría afectar la legalidad de su despliegue, a menos que el modelo haya sido debidamente anonimizado. En definitiva, la Opinión refuerza la idea de que el RGPD ofrece un marco sólido para fomentar una IA responsable, equilibrando la innovación tecnológica con la protección de los derechos fundamentales.
Artículo elaborado por Samanta Murillo Geiser, manager especialista de Regulación Digital de PwC Tax & Legal, y Marta Ametller i Teixidor, senior associate especialista de Regulación Digital de PwC Tax & Legal.
Contacta con nosotros
