Inteligencia Artificial y datos personales. – A definitivas

Inteligencia Artificial y datos personales

Abstract:

En la actualidad el uso de la Inteligencia artificial ha crecido exponencialmente y su uso puede conllevar el tratamiento de datos personales. La Inteligencia Artificial consiste en la combinación de algoritmos establecidos con el objetivo de que las máquinas actúen o piensen como lo haría un ser humano[1].

Palabras clave:

Estos sistemas aprende a través de la experiencia, con el entrenamiento constante a través del Machine y el Deep Learning. Estos conceptos consisten en algoritmos que proporcionan a las máquinas la posibilidad de emprender decisiones propias y aprender de sus propios resultados. La principal diferencia entre ambos reside en que, mientras el Machine Learning trabaja con algoritmos de regresión o con árboles de decisión, el Deep Learning lo hace con redes neuronales[2], tratándose de un sistema más avanzado.

Uno de los principales problemas que nos encontramos a la hora de aplicar un sistema gobernado por una IA es el sesgo algorítmico que puede llegar a crear la máquina, y es que no termina de casar con el principio de legalidad, pues se puede llegar a producir una discriminación por el género o raza (como ocurrió en el caso de Tay[3], que discriminaba a los judíos), pues no se debe de olvidar que la IA se basa en el tratamiento masivo de datos proporcionados por los seres humanos.

Cuando se lleva a cabo el tratamiento de grandes cantidades de datos, estos suelen ser anonimizados con el objetivo de garantizar la privacidad de las personas, aunque siempre existe un riesgo. Con la técnica K-Anonimidad[4] se reducen esto riesgos. A través de esta técnica, la AEPD expuso que se permitía cuantificar hasta qué punto se preserva el anonimato.

Aun cuando haya existido un proceso de anonimización, se debe de llevar a cabo el cumplimiento de los principios relativos a la protección de los datos personales. Será necesario, por ejemplo, analizar el riesgo que se puede derivar de la reidentificación derivada de un proceso de anonimización.

El responsable o encargado del tratamiento deberá establecer medidas adecuadas para mitigar el peligro que conlleva la elaboración de perfiles y el uso de decisiones automatizadas que pueden dar lugar a riesgos para los derechos y libertades de los ciudadanos. Cabe recordar que los interesados tienen el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado[5], salvo que resulte necesaria para la celebración de un contrato, se encuentre autorizado por el Derecho de la Unión o de un Estado Miembro, o se haya concedido el consentimiento explícito. Es decir, se establece la necesidad de que, si la decisión que se va a tomar tiene efectos significativos sobre las personas, resultará necesario que intervengan en la toma de decisión personas físicas junto con los medios automáticos que se puedan emplear.

El Reglamento General de Protección de Datos establece que los responsables de tratamiento deben de hacer uso de una responsabilidad proactiva[6], siendo capaces de demostrar que han cumplido con la normativa en materia de protección de datos con la correspondiente evaluación de impacto.

El Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de estos Datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), determina la obligación de elaborar una evaluación de impacto cuando exista una probabilidad de causar un daño o entrañe un alto riesgo responde al principio de privacidad por diseño. Este concepto, según el artículo 25 RGPD consiste en lo siguiente: “Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento,  así  como  los  riesgos de  diversa probabilidad y  gravedad  que  entraña el  tratamiento para  los  derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de  tratamiento como en  el  momento del  propio tratamiento,  medidas técnicas y  organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.”

Es decir, se trata de incorporar, desde el primer momento, medidas técnicas y organizativas teniendo en cuenta las situaciones y anticipándose a ellas con el objetivo de cumplir con la normativa. Los pilares[7] bajo los que se origina este concepto son:

Con ello se busca lograr la máxima protección del usuario en cuanto a sus datos personales.

Cuando se lleve a cabo el uso de IA se deberá realizar una evaluación de impacto de la privacidad[8], mencionada anteriormente, tratando de determinar de manera anticipada y preventiva los posibles riesgos que puedan surgir para llevar a cabo el tratamiento de datos personales habiendo estudiado los potenciales riesgos a los que pueden verse sometidos los derechos y libertades de los usuarios afectados.

Si tras esta evaluación se observase que el riesgo para el tratamiento de esos datos resulta muy elevado, se deberá consultar a la autoridad de control.

Además, los usuarios interesados podrán ejercer los derechos recogidos en el Reglamento:

Aunque esta supresión no resultará posible cuando el tratamiento devenga necesario para ejercer el derecho a la libertad de expresión e información, para cumplir con una obligación legal, por razones de interés público en el ámbito de la salud pública, cuando sea necesario para el ejercicio de las reclamaciones o tenga fines de archivos en interés público, fines de investigación científica, históricos o fines estadísticos (artículos 17 RGPD y 15 LOPDGD).

Por lo que, en definitiva, durante ese periodo de tiempo no podrán ser tratados salvo que cuente con el consentimiento del interesado, resulte necesario para el ejercicio de reclamaciones, para proteger los derechos de otra persona o existan razones de interés público.

Y se deberá de cumplir, por supuesto, con los principios recogidos en el artículo 5 del RGPD, recomendándose a las empresas que realicen un análisis previo donde se analice la tipología de los datos que van a ser tratados, se organicen esos datos de manera coherente, se establezcan protocolos de verificación periódicamente y se recojan la menor cantidad de datos posibles.

           En definitiva, observamos como la protección de los datos personales se mantiene, no queda desplazada a un segundo plano por el uso de sistemas gobernados por Inteligencia artificial, ya que cabe recordar que la protección de los datos personales está reconocida como derecho fundamental[9].

David Navarrete

20 de abril de 2021

Bibliografía:

[6] Artículo 5.2 RGPD.

[7] “Guía de Privacidad desde el Diseño”, Agencia Española de Protección de Datos, octubre de 2019 (https://www.aepd.es/sites/default/files/2019-11/guia-privacidad-desde-diseno.pdf).

[8] Artículo 35 RGPD.

[9] Sentencia 290/2000, de 30 de noviembre, del Tribunal Constitucional.

David Navarrete

Graduado en Derecho por la Universidad Complutense de Madrid

Estudiante de Máster de acceso a la profesión de abogado y Máster en Derecho de las Nuevas Tecnologías.

Miembro del proyecto de investigación de innovación docencia: “El aprendizaje-
servicio como metodología de aprendizaje jurídico-pedagógico: la reinserción de
presos a través de la justicia restaurativa” de la Universidad Complutense.

Autor de la novela “La noche no entiende de luces” y de distintas publicaciones
jurídicas.

Participante seleccionado para Legal Challenge 2019 en Herbert Smith Freehills y para Bootcamp sectorial de seguros Madrid, adquiriendo en este último, premio individual en la resolución del caso.

Contacto: dnavarreteutrera@gmail.com
Twitter: @davidutrera1997
Linkedin: David Manuel Navarrete Utrera