Entrenamiento de sistemas de IA con datos personales sin consentimiento

Como se ha visto recientemente con publicaciones tales como la Declaración 3/2024 del Comité Europeo de Protección de Datos, el tratamiento de datos personales es un elemento intrínseco a muchos sistemas de inteligencia artificial (IA).

A pesar de la relevancia de cumplir con el marco normativo en materia de protección de datos en todo el ciclo de vida de un sistema de inteligencia artificial, pueden observarse noticias acerca de empresas que están «entrenando su IA» con datos personales sin que los usuarios tengamos el mínimo conocimiento de dicha práctica y, por tanto, sin que haya legitimación para el tratamiento de nuestros datos de carácter personal.

Uno de los casos más notorios (el de una red social que entrenaba sus sistemas de IA con los mensajes publicados por los usuarios) ha llevado a la organización austriaca NOYB (acrónimo de None of your business, «No es asunto tuyo», en inglés) a interponer reclamaciones ante las Agencias de Protección de Datos de ocho países europeos, incluido España.

Por otro lado, en Brasil se han tomado fotografías de menores perfectamente identificados en espacios públicos (niños jugando en la playa), sin tener ningún conocimiento de la utilización de su imagen, con la única finalidad de entrenamiento de sistemas IA.

Estos datos de carácter personal pueden ser utilizados, además, de manera maliciosa, ya que permiten crear los denominados deepfakes, mostrando imágenes falsas que parecen ser reales, y que ponen a niños en situación de riesgo de explotación.

El Reglamento de Inteligencia Artificial determina de manera expresa que su aplicación se realizará de manera conjunta con el Reglamento Europeo de Protección de Datos cuando se realicen tratamientos de datos personales en el ciclo de vida de los sistemas IA.

Carmen López Belda
Govertis, parte de Telefónica Tech.