Dictamen del CEPD, sobre el tratamiento de datos personales en el desarrollo y uso de modelos de IA

Nota informativa escrita por el área de Protección de Datos de ECIJA Madrid.

El Dictamen 28/2024 del CEPD aborda cuestiones clave relacionadas con el tratamiento de datos personales en el desarrollo y uso de modelos de IA, proporcionando directrices relevantes para la aplicación del RGPD.

Lo que necesitas saber: 

• Aunque el modelo no esté diseñado para proporcionar datos personales, la información del conjunto de datos de entrenamiento puede ser extraíble o inferible, por lo que deberán aplicarse medidas para evitar la identificación de los interesados y realizar pruebas regulares para evaluar la resistencia del modelo frente a posibles ataques.
• Es fundamental realizar una evaluación exhaustiva de la licitud del tratamiento de datos personales en todas las fases del desarrollo e implementación de modelos de IA.
• El interés legítimo puede ser una base de legitimación adecuada para el tratamiento de datos en los modelos de IA, si bien deberá evaluarse caso por caso, realizando y documentado el ejercicio de ponderación de los intereses perseguidos y los derechos de los interesados.
• Si la fase de desarrollo carece de una base legal adecuada para el tratamiento de los datos, ello podría invalidar el tratamiento posterior en la fase de implementación del modelo. En estos casos, si se detecta una vulneración de los derechos de los interesados, las autoridades de control pueden llevar a cabo acciones correctivas, tales como imponer una sanción, una limitación del uso de manera temporal, o incluso requerir el borrado de parte o del total de la base de datos utilizada durante la fase de desarrollo del modelo de IA.

I. Contexto y objetivos

El Dictamen del EDPB atiende a las consultas trasladadas por la Autoridad de Control Irlandesa acerca del tratamiento de datos en el desarrollo e implementación de modelos de Inteligencia Artificial (IA) y aborda tres aspectos principales: (i) la anonimización de los modelos de IA, (ii) el uso del interés legítimo como base legal para el tratamiento de los datos personales utilizados, y (iii) las consecuencias legales de un tratamiento de datos personales ilícito en fases previas al desarrollo del modelo de IA.

Siendo consciente de la importancia que tienen las cuestiones planteadas por la Comisión de Protección de Datos de Irlanda (“DPC” por sus siglas en inglés) en el marco de la protección de datos personales, el organismo europeo adoptó el pasado 17 de diciembre el Dictamen 28/2024 sobre determinados aspectos de la protección de datos relacionados con el tratamiento de datos personales en el contexto de modelos de IA.

El texto incluye una serie de consideraciones generales destinadas, no solo a promover una aplicación uniforme de la normativa, sino también a recordar a responsables y encargados del tratamiento la obligación de cumplir con los principios del Reglamento General de Protección de Datos (RGPD), en especial el de responsabilidad proactiva.

II. Consideraciones sobre la anonimización de modelos de IA

Con respecto a la primera de las preguntas planteadas por la DPC relativa a las circunstancias en las que un modelo de IA entrenado con datos personales puede considerarse anónimo, el CEPD subraya que debe realizarse una valoración caso por caso, dado que no todos los modelos que utilizan datos personales pueden ser clasificados automáticamente como anónimos.

Descarga el PDF completo más abajo.