Conceptos erróneos de la Inteligencia Artificial
En 2022, la Agencia Española de Protección de Datos (AEPD) y el Supervisor Europeo de Protección de Datos publicaron «10 malentendidos sobre el aprendizaje automático» para aclarar interpretaciones erróneas comunes.
La Oficina del Comisionado de Información (ICO) del Reino Unido abordó recientemente malentendidos clave sobre la inteligencia artificial (IA) y su relación con la protección de datos, como parte de una respuesta más amplia a una consulta sobre IA generativa.
Comentarios sobre estos conceptos.
- El tratamiento «incidental» de datos personales sigue estando sujeto a la normativa de protección de datos.
Los desarrolladores de IA generativa deben evaluar con precisión y con antelación si sus modelos gestionan datos personales y, en caso afirmativo, garantizar el cumplimiento de la normativa aplicable.
Las organizaciones no deben asumir que un método específico de procesamiento de datos se ajusta a las expectativas razonables de las personas solo porque se considera una práctica común. El principio de transparencia exige que los responsables del tratamiento de datos informen a las personas de forma concisa y clara sobre el uso de sus datos personales, especialmente cuando se reutilizan para fines distintos a los previstos originalmente, como el entrenamiento de modelos de IA generativa.
- Que una práctica sea común no significa que sea legal.
El hecho de que muchas empresas utilicen ciertos datos no garantiza que cumplan con las expectativas de privacidad de los usuarios ni con la normativa vigente.
Esto es particularmente relevante cuando se trata del uso novedoso de datos personales para entrenar una IA generativa de manera invisible (p.ej., recabando los datos mediante web scraping y sin informar a los interesados) o años después de que alguien los proporcionara para un propósito diferente (cuando sus expectativas eran, por defecto, diferentes).
El principio de transparencia exige que los responsables del tratamiento informen de manera concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo sobre el uso de los datos personales, y en este caso, tal principio deberá aplicar al entrenamiento de los modelos y la reutilización de datos personales con fines distintos a los originalmente previstos.
- Los datos personales van más allá de la identificación directa.
No se debe cometer el error de pensar que la protección de datos solo se aplica a nombres o correos. Si la IA trata información que permite «singularizar» a un usuario (aunque no sepas su nombre), estás tratando datos personales y debes cumplir con la normativa.
No te confundas: El RGPD protege el «dato personal», no solo la PII (Personally Identifiable Information). ¿Estás entrenando modelos de IA? Centrarse solo en la PII es un error común que puede derivar en sanciones. Mientras que la PII suele referirse a identificadores directos, el dato personal abarca cualquier detalle que haga a una persona «identificable». En el ecosistema de la IA generativa, donde la reidentificación es un riesgo real, es vital aplicar la normativa a cualquier información vinculada a un individuo, no solo a sus datos básicos.
- ¿Por qué la jurisprudencia de los buscadores no sirve para la IA?
Muchas organizaciones cometen el error de aplicar las mismas reglas de protección de datos de los motores de búsqueda al desarrollo de IA. Sin embargo, la naturaleza de los modelos generativos es única, y su cumplimiento normativo debe analizarse bajo sus propias características y riesgos.
¿Cuál es el matiz clave? En los motores de búsqueda, el dato se indexa y se muestra. En la IA generativa, el dato se usa para «entrenar» y «generar», lo que cambia radicalmente la responsabilidad del desarrollador y los derechos de los usuarios.
- ¿Es la IA generativa un simple buscador? Por qué la justicia no opina lo mismo
Muchos desarrolladores intentan aplicar a la IA generativa la misma lógica legal que rige a los buscadores como Google. Sin embargo, existen diferencias críticas que impiden esta comparación directa. A diferencia de un motor de búsqueda, que solo indexa y muestra información, la IA sintetiza datos y genera contenido nuevo.
Además, los buscadores ofrecen mecanismos claros para el derecho de supresión, algo que la IA generativa aún no ha resuelto. En la UE, esto obliga a las empresas a realizar un análisis de riesgos desde cero bajo el RGPD, sin confiar en las sentencias del pasado.
- Los modelos de IA no son solo código: también contienen datos personales.
Es un error pensar que, tras el entrenamiento, los datos desaparecen. La IA generativa puede «memorizar» y reproducir información de personas reales, lo que activa inmediatamente todas las obligaciones del RGPD.
- El riesgo invisible de la IA: Datos personales que el modelo no olvida.
Aunque un modelo de IA no sea una base de datos tradicional, el ICO aclara que puede retener información personal de forma latente. Esto supone un reto crítico para cumplir con el RGPD, ya que si la información es recuperable, el desarrollador sigue siendo responsable.
Ignorar este hecho vulnera principios básicos de privacidad y complica la gestión de los derechos de los usuarios, quienes pueden exigir que su información no forme parte del «conocimiento» del modelo.
- Más allá de la privacidad: La protección de datos como eje de la regulación digital.
No podemos analizar la protección de datos de forma aislada. Su alcance se expande y se cruza con marcos de seguridad, propiedad intelectual y competencia, creando un estándar de cumplimiento integral para cualquier desarrollador de IA generativa.
- Los límites del RGPD: La protección de datos no es una herramienta de interpretación universal.
No cometas el error de acudir a la autoridad de protección de datos para validar la legalidad de tu IA en áreas como la propiedad intelectual o el derecho mercantil. Si bien el principio de licitud exige que los datos se traten conforme a la ley, la función de estas autoridades no es interpretar marcos ajenos.
Las organizaciones deben buscar asesoramiento específico para cada normativa, entendiendo que el cumplimiento del RGPD es solo una parte de la seguridad jurídica global de su proyecto de IA.
- Cómo la protección de datos conecta con el nuevo marco legal de la IA.
El cumplimiento del RGPD no es un compartimento estanco. Es fundamental entender cómo la protección de datos se entrelaza con el Reglamento de IA (AI Act) y otras normativas digitales para garantizar una seguridad jurídica integral.
- Sin excepciones: La IA generativa debe cumplir el RGPD al pie de la letra.
A medida que avanzamos, queda claro que no existe una «bula legal» para la inteligencia artificial. A pesar de los intentos de algunos desarrolladores por obtener un trato diferenciado, el ICO y la AEPD son tajantes: si hay datos personales, se aplica toda la normativa sin excusas.
Las organizaciones no pueden esperar exenciones; al contrario, están obligadas a integrar la protección de datos desde el diseño y por defecto. Las guías actuales son una hoja de ruta esencial para evitar sanciones y garantizar que la innovación no atropelle los derechos ciudadanos.
