Directrices sobre la Inteligencia Artificial (IA) generativa

El pasado lunes 3 de junio, el Supervisor Europeo de Protección de Datos (EDPS, por sus siglas en inglés) publicó sus directrices sobre la Inteligencia Artificial (IA) generativa[1]. Estas directrices buscan proporcionar orientaciones prácticas para que las instituciones europeas puedan cumplir con sus respectivas obligaciones en materia de protección de datos al usar o desarrollar este tipo de sistemas de IA.

Las directrices enfatizan la importancia de identificar y mitigar riesgos lo largo del ciclo de vida de los sistemas de IA, realizar las correspondientes Evaluaciones de Impacto de Protección de Datos cuando sean necesarias y asegurar la licitud en relación con el tratamiento de los datos a través del sistema de IA, incluyendo aquellas transferencias internacionales de datos que pudieran realizarse.

En estas directrices, el EDPS destaca la necesidad de respetar determinados principios fundamentales como la minimización de datos, exactitud, lealtad y la no discriminación. Las directrices resaltan que las instituciones europeas deberán implementar medidas para evitar el sesgo, proporcionar información suficiente a los interesados y facilitar el ejercicio de derechos que pueden presentar retos técnicos, como el de acceso o rectificación, manteniendo la trazabilidad del tratamiento de datos en el modelo y los conjuntos de datos. El Supervisor también resalta el importante rol de los delegados de protección de datos a la hora de asesorar sobre el adecuado cumplimiento en materia de protección de datos y la relevancia de mantener un adecuado nivel de seguridad, lo que requerirá controles específicamente adaptados a las vulnerabilidades de un sistema de IA.

Entre algunos de los aspectos más relevantes, puede destacarse:

• Data scraping: el EDPS advierte sobre el uso de técnicas de scraping para recoger datos públicamente disponibles con fines de entrenar sistemas de IA, señalando que estas prácticas suponen la recogida de datos sin el conocimiento de los interesados, en contra de sus expectativas y utilizándose un fin distinto al de su tratamiento original. Además, de acuerdo con el Supervisor, estas prácticas también pueden incumplir con principios como el de exactitud o minimización de datos.
• Licitud: en relación al principio de licitud, el EDPS hace una mención específica al consentimiento, indicando que es una base de legitimación que debe considerarse cuidadosamente en el contexto del entrenamiento de sistemas de IA, dados los requisitos vinculados al consentimiento y las circunstancias que conlleva su retirada.

Por otro lado, el Supervisor también menciona el interés legítimo y el delicado equilibrio entre los intereses legítimos y los derechos de los interesados que supone esta base de legitimación, señalando que las instituciones europeas tienen la responsabilidad de asegurar que sus proveedores de sistemas de IA generativa cumplen adecuadamente con las condiciones de usar esta base de legitimación.

En definitiva, las directrices instan a las instituciones de la UE a extremar las precauciones, llevar a cabo una planificación y evaluaciones de riesgos rigurosas, implementar garantías sólidas y realizar una monitorización continua cuando utilicen sistemas de IA generativa que traten datos personales.

[1] https://www.edps.europa.eu/system/files/2024-06/24-06-03_genai_orientations_en.pdf

Eduardo Oliveros

Senior GRC Consultant en Govertis