El Comité Europeo de Protección de Datos emite un dictamen sobre el procesamiento de datos durante la implementación de modelos de IA

El organismo de privacidad de la Unión Europea intervino en cuestiones emergentes relacionadas con la legalidad de GenAI. La junta exploró las lagunas que los desarrolladores de IA podrían aprovechar para procesar datos personales sin contravenir la legislación vigente.  

El Comité Europeo de Protección de Datos planteó dudas sobre la base legal para que los desarrolladores de IA procesen datos personales de los usuarios. En un dictamen publicado el 17 de diciembre, el Comité abordó diversas cuestiones de aplicación general en cumplimiento del artículo 64(2) del RGPD.  

La junta de privacidad de la Unión Europea analiza cuestiones relacionadas con la protección de datos y el despliegue de la IA 

El Comité Europeo de Protección de Datos (CEPD) emitió su dictamen a petición de la autoridad de control irlandesa. El Comité señaló que, en virtud del Reglamento General de Protección de Datos (RGPD), tiene la facultad legal de emitir un dictamen sobre asuntos que afectan a más de un Estado miembro de la Unión Europea. 

La agencia destacó las solicitudes presentadas por el organismo irlandés en relación con el tratamiento de datos personales durante las fases de desarrollo e implementación de la Inteligencia Artificial (IA). Centró su dictamen en cuatro cuestiones relacionadas con la protección de datos en la Unión Europea. 

Las cuestiones incluyeron cuándo y cómo un modelo de IA puede considerarse anónimo y cómo los responsables del tratamiento pueden demostrar la necesidad de un interés legítimo en su implementación. La junta también exploró las consecuencias del procesamiento ilícito de datos durante la fase de desarrollo de un modelo de IA en su funcionamiento posterior. 

Respecto a la cuestión de cuándo y cómo se puede determinar el anonimato de un modelo de IA, el organismo declaró que una autoridad local competente debería tomar dicha determinación caso por caso. El comité expresó que no considera anónimos todos los modelos de IA entrenados con datos personales. 

El organismo recomendó que las autoridades nacionales de supervisión evalúen la documentación pertinente que proporciona el responsable del tratamiento para determinar el anonimato de un modelo. Añadió que los responsables del tratamiento también deberían tomar las medidas pertinentes para limitar la recopilación de datos personales durante el entrenamiento y mitigar posibles ataques.

Sobre la cuestión del interés legítimo como base jurídica apropiada para el procesamiento de datos personales durante el despliegue de modelos de IA, la Junta dejó en manos de los responsables del tratamiento la determinación de la base jurídica apropiada para el procesamiento de dichos datos. 

El CEPD hizo hincapié en la prueba de tres pasos para determinar el interés legítimo por parte de los organismos supervisores. Los pasos incluyen ladentdel interés legítimo real y el análisis de su necesidad. Los responsables del tratamiento también deben evaluar si el interés legítimo se equilibra con los derechos y libertades de los interesados. 

Al evaluar las consecuencias, el organismo remitió la discreción a las autoridades supervisoras de los respectivos estados. Añadió que las autoridades supervisoras deberían elegir las consecuencias adecuadas según las circunstancias de cada escenario. 

La Comisión de Protección de Datos de Irlanda comenta el dictamen del CEPD sobre la regulación del modelo de IA 

La Comisión de Protección de Datos de Irlanda respondió en un comunicado señalando que el dictamen promovería una regulación eficaz y coherente de los modelos de IA en la UE. El comisario Dale Sunderland comentó:

También respaldará la colaboración del DPC con las empresas que desarrollan nuevos modelos de IA antes de su lanzamiento al mercado de la UE, así como la gestión de las numerosas quejas relacionadas con la IA que se han presentado ante el DPC.

Dale Sunderland 

Según informes, en los últimos meses se han presentado quejas contra OpenAI, el creador de ChatGPT. La Autoridad de Protección de Datos de Polonia cuestionó el año pasado el cumplimiento del RGPD por parte del desarrollador de IA. 

La autoridad alegó que OpenAI ignoró requisitos como la consulta previa con los reguladores cuando existía riesgo de filtración de datos personales. El regulador señaló que OpenAI lanzó ChatGPT sin consultar a los reguladores locales, contraviniendo así las directrices del RGPD. 

La Garante italiana también ordenó a OpenAI que dejara de procesar datos personales en 2023 antes de abordar los problemas que habíadenten la plataforma de la empresa. Destacó que la compañía con sede en San Francisco carecía de medidas para impedir que los menores accedieran a la tecnología, tal como exige la ley. 

La autoridad reguladora advirtió que el incumplimiento de las directrices podríatracsanciones, incluido un cuatro por ciento de la facturación anual o veinte millones de euros, lo que fuera mayor.