Ir al contenido
Legal Artículo

Protección de Datos e IA: Nuevos Retos Jurídicos

Nuevos retos jurídicos en la intersección entre protección de datos e inteligencia artificial: bases jurídicas del RGPD para datos de entrenamiento, decisiones automatizadas bajo el artículo 22, EIPDs y obligaciones del Reglamento de IA de la UE.

6 min de lectura

Tema: proteccion de datos e inteligencia artificial

La convergencia entre la protección de datos personales y el desarrollo de sistemas de inteligencia artificial plantea importantes nuevos retos jurídicos. El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales de España (LOPDGDD) se aplican plenamente a los sistemas de IA que tratan datos personales, pero el nuevo Reglamento de IA introduce requisitos adicionales que crean un marco de doble cumplimiento.

Bases jurídicas para el tratamiento en sistemas de IA

Muchos sistemas de IA se alimentan de grandes volúmenes de datos personales para su entrenamiento. La base jurídica más habitual es el interés legítimo (artículo 6.1.f del RGPD), aunque su aplicación requiere un test de ponderación que los sistemas de IA masivos pueden no superar. El consentimiento informado exige que el interesado comprenda cómo se utilizarán sus datos en un contexto de IA, lo cual puede resultar complejo cuando el modelo se entrena con datos históricos o se actualiza de forma continua.

Para los datos de categorías especiales —datos de salud, datos biométricos, opiniones políticas o religiosas— el RGPD exige adicionalmente una condición del artículo 9.2, lo que en la práctica limita considerablemente el entrenamiento de modelos de IA con este tipo de datos sin consentimiento explícito o una base jurídica específica.

Decisiones automatizadas y elaboración de perfiles

El artículo 22 del RGPD regula el derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado. Las empresas que utilizan IA para tomar decisiones con efectos significativos sobre las personas (crédito, empleo, seguros, acceso a servicios) deben garantizar una intervención humana significativa, la transparencia del proceso y la posibilidad de impugnación. En la práctica, esto implica disponer de un mecanismo de revisión por una persona física —no meramente formal— que sea capaz de modificar realmente el resultado algorítmico.

La Agencia Española de Protección de Datos (AEPD) ha publicado directrices específicas sobre IA y protección de datos en las que afirma que la intervención humana debe ser real y no meramente simbólica: un operador que simplemente valida el resultado del algoritmo sin capacidad de revisión efectiva no satisface el requisito del artículo 22.

Evaluaciones de Impacto en la Protección de Datos (EIPD)

Cuando el tratamiento de datos en un sistema de IA pueda conllevar un alto riesgo para los derechos y libertades de las personas físicas, debe realizarse una Evaluación de Impacto en la Protección de Datos (EIPD) antes de que comience el tratamiento. El Reglamento de IA añade sus propias evaluaciones de conformidad para los sistemas de alto riesgo, lo que puede suponer una doble carga de cumplimiento.

Los sistemas de IA de alto riesgo según el Reglamento de IA incluyen, entre otros: los sistemas de gestión de infraestructuras críticas, la IA en educación y formación profesional, los sistemas de selección de personal, los sistemas de calificación crediticia, los sistemas utilizados en la administración de justicia y los sistemas de identificación biométrica. Para todos ellos, la empresa debe documentar el diseño del sistema, los conjuntos de datos utilizados, las medidas de supervisión humana y los resultados de las pruebas de solidez.

El papel del Delegado de Protección de Datos (DPD) en entornos de IA

Las empresas obligadas a designar un DPD en virtud del artículo 37 del RGPD —incluidas las que realizan tratamientos a gran escala de datos de categorías especiales o elaboración sistemática de perfiles— deben involucrar a su DPD en el diseño y la auditoría de los sistemas de IA desde el principio. Este principio de privacidad por diseño reviste especial importancia cuando un sistema de IA se adquiere a un proveedor externo: el acuerdo de encargo del tratamiento debe reflejar las obligaciones del artículo 28 del RGPD, y el cliente debe verificar que el proveedor cumple el Reglamento de IA.

Transparencia e información a los usuarios

El RGPD exige que los interesados sean informados de forma clara sobre el uso de sus datos, incluido si se utilizan para la toma de decisiones automatizadas. Las cláusulas de privacidad de muchas empresas continúan siendo deficientes en este sentido. La información debe incluir la lógica aplicada, la importancia del tratamiento y las consecuencias previstas para el interesado. El considerando 71 del RGPD proporciona orientación interpretativa sobre el nivel de detalle exigido.

Sanciones y supervisión

Las infracciones graves del RGPD —incluidas las relacionadas con sistemas de IA— pueden acarrear multas de hasta 20 millones de euros o el 4% de la facturación anual global. El Reglamento de IA añade su propio régimen sancionador con multas de hasta 30 millones de euros o el 6% del volumen de negocios global para las infracciones más graves (uso de sistemas de IA prohibidos). La AEPD actúa como autoridad supervisora nacional para ambos marcos regulatorios en lo que respecta a las cuestiones de protección de datos.

Pasos prácticos para las empresas que implantan IA

Para las empresas que ya utilizan o planean implantar sistemas de IA, el plan de cumplimiento recomendado comprende: en primer lugar, identificar todas las herramientas de IA en uso (incluidas las soluciones SaaS de terceros que incorporan funcionalidades de IA) y clasificarlas por nivel de riesgo conforme al marco del Reglamento de IA; en segundo lugar, revisar todos los acuerdos de tratamiento de datos con proveedores de IA para asegurarse de que contienen las cláusulas del artículo 28 del RGPD y las obligaciones de conformidad del Reglamento de IA; en tercer lugar, actualizar las cláusulas internas de privacidad para describir cualquier toma de decisiones automatizada; y en cuarto lugar, realizar una EIPD para cada actividad de tratamiento de alto riesgo identificada en el ejercicio de mapeo.

Este proceso no tiene por qué resultar gravoso si se aborda de forma sistemática. Muchas organizaciones descubren que la infraestructura de cumplimiento RGPD existente —Registros de Actividades de Tratamiento, EIPDs de sistemas preexistentes, procedimientos de gestión de proveedores— proporciona una base sólida que puede extenderse para cubrir los requisitos específicos de IA con adiciones focalizadas, en lugar de reconstruirla desde cero.

En BMC asesoramos en materia de protección de datos e inteligencia artificial. Conozca nuestros servicios de protección de datos.

bm.consulting

¿Tienes dudas sobre tu situación fiscal?

Cuéntanoslas en nuestra primera conversación. Sin letra pequeña, sin compromiso.

AEAT Colaborador Social 4.9/5 en Google · 47 reseñas 30+ nacionalidades atendidas
Email
Contacto