Nueva consulta pública de la CNIL sobre el desarrollo de sistemas de inteligencia artificial

El pasado 2 de julio se publicó una nueva consulta pública de la autoridad de control francesa en materia de protección de datos, la CNIL (Commission Nationale de l’Informatique et des Libertés), tratando distintos temas sobre Inteligencia Artificial (IA) y privacidad. Esta vez con un especial foco en la posibilidad de utilizar la base de legitimación del interés legítimo especialmente en las fases de desarrollo de sistemas de IA así como también en el uso del web scraping como ingesta de datos para tales desarrollos.

Destacamos a continuación algunas consideraciones que resultan interesantes sobre el criterio que parece que adopta la CNIL en el tratamiento de datos personales en sistemas de IA:

• Señala la dificultad para obtener consentimiento de los individuos a gran escala o cuando no se recogen los datos directamente de los mismos.
• Admite, que a priori, los siguientes intereses, como “legítimos” para el desarrollo de sistemas de IA:
  • Investigación científica.
  • Facilitar acceso público a determinada información.
  • Desarrollar nuevas funcionalidades para usuarios de un servicio.
  • Disponer de un asistente conversacional para asistir a los usuarios.
  • Mejorar un producto o incrementar el rendimiento de un servicio.
  • Desarrollar un sistema de IA para detectar comportamientos o contenido fraudulento.

Resulta también interesante su posición sobre el web scraping, donde la autoridad aboga por establecer un marco legal que regule esta práctica. En este sentido, admite que en ocasiones efectivamente ha considerado prohibidas tales prácticas del web scraping por falta de marco legal y, en otras ocasiones, ha admitido dichas prácticas, a pesar de falta de marco legal, si bien con estrictas garantías y salvaguardas.

Siendo consciente la Autoridad Francesa de la falta, de momento, de un marco legal sobre el web scraping, indica que deben adoptarse de forma obligatoria las siguientes medidas:

• Definición previa de los criterios de recogida de datos y aplicación de filtros para excluir la recolección de datos innecesarios.
• Aún recogiendo datos innecesarios conforme los criterios anteriores, disponer de medidas para su supresión inmediata.

Otras medidas adicionales que señala para balancear el impacto con los derechos y libertades de los interesados, destacamos:

• Exclusión por defecto de la recogida de datos de determinadas páginas web (por ejemplo, por razón del nivel de sensibilidad de las mismas, páginas para adultos, etc.).
• Exclusión por defecto de recogida en páginas web que se opongan expresamente al web scraping para el desarrollo de datasets para el entreno de IA.
• Proporcionar a los interesados opciones para oponerse al uso de sus datos para tales finalidades.
• Aplicación de medidas de anonimización y seudonimización inmediatamente tras la recogida de datos.
• Evitar combinaciones de datos basados en identificadores individuales.

Finalmente, plantea la CNIL la posibilidad de crear un listado de organizaciones que traten datos recogidos a través de web scraping para el desarrollo de IA, especialmente a efectos de identificar las compañías que usan tales técnicas y facilitar información y medios a los interesados para el ejercicio de sus derechos.

Más información en: https://www.cnil.fr/en/artificial-intelligence-cnil-opens-new-public-consultation-development-ai-systems

Jordi Morera
Govertis, parte de Telefónica Tech