Carlos B Fernández. Desde la aparición de los sistemas de IA generativa a finales de 2022, la Comisión Nacional de la Informática y las Libertades francesa (CNIL) había recibido numerosas consultas sobre la aplicación del Reglamento general de protección de datos (RGPD) (LA LEY 6637/2016) a la inteligencia artificial (IA).
Por ello, ya en mayo de 2023, la CNIL publicó su “plan IA”, poniendo en marcha una iniciativa para aclarar algunas de las principales cuestiones planteadas.
Según se explicó entonces, el análisis de estos sistemas muestra que su desarrollo es compatible con la protección de la privacidad de las personas. Es más, tener en cuenta este imperativo permitirá el desarrollo de sistemas, herramientas y aplicaciones éticos fieles a los valores europeos.
Ahora, a fin de que las partes interesadas cuenten con elementos claros y prácticos para informar las decisiones estratégicas sobre el desarrollo o uso de la IA que deberán tomar en los próximos meses, la CNIL ha presentado un conjunto de recomendaciones específicas sobre el desarrollo de estos sistemas con pleno respeto de los datos personales.
Estas recomendaciones de la CNIL sirven para apoyar a los actores del ecosistema de la IA en sus esfuerzos por cumplir con la legislación sobre protección de datos personales y proporcionan respuestas concretas, ilustradas con ejemplos, a las cuestiones legales y técnicas relacionadas con la aplicación del RGPD a la IA.
Estas recomendaciones se desarrollaron después de una serie de reuniones con actores públicos y privados para recoger sus preguntas sobre el tema, así como de una consulta pública de dos meses. De este modo, las partes interesadas (empresas, investigadores, académicos, asociaciones, asesoramiento jurídico y técnico, sindicatos, federaciones, etc.) pudieron expresarse y permitir a la CNIL proponer recomendaciones lo más cercanas posible a sus cuestiones y a la realidad de los usos de la IA.
Los puntos abordados en estas primeras recomendaciones permiten en particular:
• determinar el régimen jurídico aplicable al tratamiento de datos utilizados en el entrenamiento de los sistemas de IA
• definir un propósito para dicho sistema;
• determinar la calificación jurídica de los actores en el proceso;
• definir una base jurídica para el tratamiento de los datos personales utilizados ;
• realizar pruebas y verificaciones en caso de reutilización de datos personales;
• realizar un análisis de impacto si es necesario;
• tener en cuenta la protección de datos al elegir el diseño del sistema;
• tener en cuenta la protección de datos en la recogida y gestión de datos.
Con algo más de detalle, las recomendaciones se orientan a:
1. Determinar el régimen jurídico aplicable
Se trata de ayudar a determinar el régimen jurídico aplicable al tratamiento de datos personales en la fase de desarrollo de los sistemas de IA.
2. Definir un propósito
Un sistema de IA basado en la explotación de datos personales debe desarrollarse con un “propósito”, es decir, un objetivo bien definido.
Esto permite enmarcar y limitar los datos personales utilizados para su entrenamiento y validación, para no almacenar ni procesar datos innecesarios.
Este objetivo debe determinarse o establecerse tan pronto como se defina el proyecto. También debe ser explícito, es decir, conocido y comprensible. Finalmente, debe ser legítimo, es decir compatible con las misiones de la organización.
A veces se objeta que el requisito de definir un propósito es incompatible con el entrenamiento de la IA, que puede desarrollar características imprevistas. La CNIL considera que no es así y que la exigencia de definir una finalidad debe adaptarse al contexto de la IA, sin desaparecer.
Se trata, en particular, de definir los objetivos teniendo en cuenta las especificidades del desarrollo de los sistemas de IA.
3. Determinar la calificación legal de los proveedores de sistemas de IA.
Desde el punto de vista de la protección de datos, identificar al responsable del tratamiento, corresponsable o subcontratista.
4. Garantizar que un tratamiento de datos dispone de una base legal, incluso en el caso de reutilización de datos
El desarrollo de sistemas de inteligencia artificial que contengan datos personales deberá tener una base legal que le autorice a procesar estos datos. El RGPD enumera 6 posibles bases jurídicas: consentimiento, cumplimiento de una obligación legal, ejecución de un contrato, ejecución de una misión de interés público, protección de intereses vitales, búsqueda de un interés legítimo.
Según la base legal aplicada, las obligaciones y los derechos de las personas pueden variar, por lo que es importante determinarlo previamente e indicarlo en la política de confidencialidad de datos.
Además, si se planea reutilizar una base de datos personal, debe asegurarse de que sea legal. Esto depende de los métodos de recopilación y de la fuente de los datos en cuestión. El responsable del tratamiento deberá, realizar determinadas comprobaciones adicionales para garantizar que este uso es legal.
Se trata de ayudar a determinar las obligaciones aplicables en cada caso, en función de la responsabilidad y de los métodos de recogida o reutilización de datos.
5. Realizar un análisis de impacto si es necesario
La Evaluación de Impacto de la Protección de Datos (PIA) es un proceso que permite mapear y evaluar los riesgos del procesamiento sobre la protección de datos personales y establecer un plan de acción para reducirlos a un nivel aceptable. En particular, le llevará a definir medidas de seguridad para proteger los datos.
La CNIL explica cómo y en qué casos realizar un análisis de impacto de la protección de datos (PIA), teniendo en cuenta los riesgos específicos del desarrollo de modelos de IA.
6. Incluir la protección de datos en el diseño del sistema de IA
Para asegurar el desarrollo de un sistema de IA que respete la protección de datos, es necesario realizar una consideración previa a la hora de diseñar el sistema.
7. Protección de datos en la recopilación y gestión de datos.
La CNIL proporciona buenas prácticas para seleccionar datos y limitar su tratamiento con el fin de entrenar un modelo eficiente respetando los principios de protección de datos desde el diseño y por defecto.
Los siguientes pasos
En los próximos meses, la CNIL completará estas primeras recomendaciones con otras fichas relativas, en particular, a la base jurídica del interés legítimo, la gestión de los derechos, la información de los interesados, la anotación y la seguridad durante la fase de desarrollo. Este trabajo también estará sujeto a consulta pública.