AD 57/2021
Inteligencia Artificial y datos personales
Abstract:
En la actualidad el uso de la Inteligencia artificial ha crecido exponencialmente y su uso puede conllevar el tratamiento de datos personales. La Inteligencia Artificial consiste en la combinación de algoritmos establecidos con el objetivo de que las máquinas actúen o piensen como lo haría un ser humano[1].
Palabras clave:
- Inteligencia Artificial
- Datos personales
- Reglamento General de Protección de datos personales
- Derechos de los interesados
- Derecho fundamental.
Estos sistemas aprende a través de la experiencia, con el entrenamiento constante a través del Machine y el Deep Learning. Estos conceptos consisten en algoritmos que proporcionan a las máquinas la posibilidad de emprender decisiones propias y aprender de sus propios resultados. La principal diferencia entre ambos reside en que, mientras el Machine Learning trabaja con algoritmos de regresión o con árboles de decisión, el Deep Learning lo hace con redes neuronales[2], tratándose de un sistema más avanzado.
Uno de los principales problemas que nos encontramos a la hora de aplicar un sistema gobernado por una IA es el sesgo algorítmico que puede llegar a crear la máquina, y es que no termina de casar con el principio de legalidad, pues se puede llegar a producir una discriminación por el género o raza (como ocurrió en el caso de Tay[3], que discriminaba a los judíos), pues no se debe de olvidar que la IA se basa en el tratamiento masivo de datos proporcionados por los seres humanos.
Cuando se lleva a cabo el tratamiento de grandes cantidades de datos, estos suelen ser anonimizados con el objetivo de garantizar la privacidad de las personas, aunque siempre existe un riesgo. Con la técnica K-Anonimidad[4] se reducen esto riesgos. A través de esta técnica, la AEPD expuso que se permitía cuantificar hasta qué punto se preserva el anonimato.
Aun cuando haya existido un proceso de anonimización, se debe de llevar a cabo el cumplimiento de los principios relativos a la protección de los datos personales. Será necesario, por ejemplo, analizar el riesgo que se puede derivar de la reidentificación derivada de un proceso de anonimización.
El responsable o encargado del tratamiento deberá establecer medidas adecuadas para mitigar el peligro que conlleva la elaboración de perfiles y el uso de decisiones automatizadas que pueden dar lugar a riesgos para los derechos y libertades de los ciudadanos. Cabe recordar que los interesados tienen el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado[5], salvo que resulte necesaria para la celebración de un contrato, se encuentre autorizado por el Derecho de la Unión o de un Estado Miembro, o se haya concedido el consentimiento explícito. Es decir, se establece la necesidad de que, si la decisión que se va a tomar tiene efectos significativos sobre las personas, resultará necesario que intervengan en la toma de decisión personas físicas junto con los medios automáticos que se puedan emplear.
El Reglamento General de Protección de Datos establece que los responsables de tratamiento deben de hacer uso de una responsabilidad proactiva[6], siendo capaces de demostrar que han cumplido con la normativa en materia de protección de datos con la correspondiente evaluación de impacto.
El Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de estos Datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), determina la obligación de elaborar una evaluación de impacto cuando exista una probabilidad de causar un daño o entrañe un alto riesgo responde al principio de privacidad por diseño. Este concepto, según el artículo 25 RGPD consiste en lo siguiente: “Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.”
Es decir, se trata de incorporar, desde el primer momento, medidas técnicas y organizativas teniendo en cuenta las situaciones y anticipándose a ellas con el objetivo de cumplir con la normativa. Los pilares[7] bajo los que se origina este concepto son:
- Proactividad, no reactividad; preventividad, no correctividad. Con ello se quiere lograr anticiparse a las posibles circunstancias que puedan originarse y afecten a la privacidad de los usuarios estableciendo medidas proactivas, no esperando a que los riesgos se materialicen. Y tampoco actúa una vez producido el perjuicio.
- Privacidad como configuración predeterminada. Es decir, los datos de los usuarios se encuentran siempre protegidos fijando criterios de recogida limitados a las finalidades que se persiguen, restringiendo los accesos a los datos personales, definiendo los plazos de conservación y estableciendo barreras tecnológicas. Consecuencia de ello, no se requerirá ningún tipo de acción por parte del interesado para proteger su privacidad. La privacidad se mantiene intacta permanentemente de manera predeterminada.
- Privacidad desde el diseño, como núcleo del proceso y no como una capa protectora más. Constituye una parte esencial del producto o servicio que se esté llevando a cabo sin afectar a la funcionalidad.
- Funcionalidad total. Con este concepto se trataba de buscar un equilibrio entre los intereses de las partes do
ónde todos obtuvieran un beneficio, aunque sus intereses fuesen contrarios. - Privacidad operativa desde el principio hasta el final, estando operativa durante todo el ciclo de vida de los datos. Con esto se pretende que la privacidad se encuentre presente en todo el ciclo de vida que se pueda dar.
- Visibilidad y transparencia. De manera que los interesados puedan comprobar que los datos están siendo tratados de conformidad con el RGPD y que se establecen los mecanismos necesarios para comunicar alguna infracción en caso de que fuese necesario con el objetivo de que exista confianza y resulte verificable el sistema.
- Privacidad de los usuarios, mantener el respeto por sus datos gestionando y garantizando sus derechos y libertades. Para ello todo aquello que se diseñe o cree debe tener como piedra angular al usuario para ofrecer así el máximo nivel de protección posible. El usuario debe disponer siempre del control de la gestión, por lo que se debe facilitar información completa para que éste pueda otorgar su consentimiento de manera libre, especifica, informada e inequívocamente.
Con ello se busca lograr la máxima protección del usuario en cuanto a sus datos personales.
Cuando se lleve a cabo el uso de IA se deberá realizar una evaluación de impacto de la privacidad[8], mencionada anteriormente, tratando de determinar de manera anticipada y preventiva los posibles riesgos que puedan surgir para llevar a cabo el tratamiento de datos personales habiendo estudiado los potenciales riesgos a los que pueden verse sometidos los derechos y libertades de los usuarios afectados.
Si tras esta evaluación se observase que el riesgo para el tratamiento de esos datos resulta muy elevado, se deberá consultar a la autoridad de control.
Además, los usuarios interesados podrán ejercer los derechos recogidos en el Reglamento:
- Derecho de acceso. Consiste en que una persona pueda solicitar la información acerca del tratamiento que está llevando a cabo de sus datos el responsable del tratamiento, lo que incluye: una copia de los datos personales objeto de tratamiento, fines del tratamiento, categoría de los datos personales, destinatarios, si existen o no decisiones automatizadas, las garantías implementadas, etc. (artículos 15 RGPD y 13 LOPDGDD).
- Derecho de rectificación. Por el que se deberán de modificar los datos, sin dilación alguna, que sean inexactos o incompletos
,con el objetivo de garantizar la certeza de la información tratada. Con este derecho se mantiene el principio de calidad de los datos (artículos 16 RGPD y 14 LOPDGDD).
- Derecho de oposición. El interesado puede ejercitar este derecho cuando el tratamiento tenga como objetivo la mercadotecnia directa, cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos, cuando el interesado tenga intereses, derechos que imperen, salvo que prevalezcan los del responsable del tratamiento y cuando el legislador europeo muestre su rechazo por el hecho de ser valorados por máquinas que lleven a cabo una decisión automatizada (artículos 21 y 22 RGPD y 18 LOPDGDD).
- Derecho de supresión. El usuario podrá ejercitar este derecho que conlleva la supresión en el menor tiempo posible cuando los datos personales ya no sean necesarios para el tratamiento que se lleve a cabo, cuando se hayan tratado ilícitamente, cuando deban de cumplir con una obligación establecida por la UE, cuando sean datos de menores y cuando la revocación u oposición hayan sido efectivas.
Aunque esta supresión no resultará posible cuando el tratamiento devenga necesario para ejercer el derecho a la libertad de expresión e información, para cumplir con una obligación legal, por razones de interés público en el ámbito de la salud pública, cuando sea necesario para el ejercicio de las reclamaciones o tenga fines de archivos en interés público, fines de investigación científica, históricos o fines estadísticos (artículos 17 RGPD y 15 LOPDGD).
- Derecho de limitación. Este derecho fue incorporado por el RGPD, y consiste en que el interesado puede solicitar una paralización del tratamiento de los datos de manera temporal, lo que podrá tener lugar cuando
:el interesado impugne la exactitud de los datos o se haya opuesto, proporcionando un periodo de tiempo al responsable para verificarlo; si el tratamiento es lícito y el usuario no está interesado en que se supriman los datos; o los necesite para el ejercicio de cualquier reclamación.
Por lo que, en definitiva, durante ese periodo de tiempo no podrán ser tratados salvo que cuente con el consentimiento del interesado, resulte necesario para el ejercicio de reclamaciones, para proteger los derechos de otra persona o existan razones de interés público.
- Derecho a la portabilidad de los datos. Con este nuevo derecho (fue incluido también en los artículos 20 del RGPD y 17 de la LOPDGD) se trata de que los usuarios puedan transferir todos sus datos de manera automatizada a otro operador en un formato estructurado.
Y se deberá de cumplir, por supuesto, con los principios recogidos en el artículo 5 del RGPD, recomendándose a las empresas que realicen un análisis previo donde se analice la tipología de los datos que van a ser tratados, se organicen esos datos de manera coherente, se establezcan protocolos de verificación periódicamente y se recojan la menor cantidad de datos posibles.
En definitiva, observamos como la protección de los datos personales se mantiene, no queda desplazada a un segundo plano por el uso de sistemas gobernados por Inteligencia artificial, ya que cabe recordar que la protección de los datos personales está reconocida como derecho fundamental[9].
David Navarrete
20 de abril de 2021
Bibliografía:
- REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
- https://www.bbc.com/mundo/noticias/2016/03/160325_tecnologia_microsoft_tay_bot_adolescente_inteligencia_artificial_racista_xenofoba_lb
- https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-recomendaciones-para-aquellos-que-realicen
- Sentencia 290/2000, de 30 de noviembre, del Tribunal Constitucional.
[1] https://www.iberdrola.com/innovacion/que-es-inteligencia-artificial.
[2] https://blog.bismart.com/es/diferencia-machine-learning-deep-learning.
[3] Puede consultarse en:
[4] Véase en: https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-recomendaciones-para-aquellos-que-realicen
[5] Artículo 22 RGPD.
[6] Artículo 5.2 RGPD.
[7] “Guía de Privacidad desde el Diseño”, Agencia Española de Protección de Datos, octubre de 2019 (https://www.aepd.es/sites/default/files/2019-11/guia-privacidad-desde-diseno.pdf).
[8] Artículo 35 RGPD.
[9] Sentencia 290/2000, de 30 de noviembre, del Tribunal Constitucional.

David Navarrete
Graduado en Derecho por la Universidad Complutense de Madrid
Estudiante de Máster de acceso a la profesión de abogado y Máster en Derecho de las Nuevas Tecnologías.
Miembro del proyecto de investigación de innovación docencia: “El aprendizaje-
servicio como metodología de aprendizaje jurídico-pedagógico: la reinserción de
presos a través de la justicia restaurativa” de la Universidad Complutense.
Autor de la novela “La noche no entiende de luces” y de distintas publicaciones
jurídicas.
Participante seleccionado para Legal Challenge 2019 en Herbert Smith Freehills y para Bootcamp sectorial de seguros Madrid, adquiriendo en este último, premio individual en la resolución del caso.
Contacto: dnavarreteutrera@gmail.com
Twitter: @davidutrera1997
Linkedin: David Manuel Navarrete Utrera
Pingback: Inteligencia Artificial y datos personales. – A definitivas – México Posible