El Information Commissioner’s Office ha realizado una consulta pública con la finalidad de conocer cuáles son los distintos usos que distintos sectores hacen de la Inteligencia Artificial generativa, publicando sus conclusiones. Así, entre otras cuestiones, se recogen diversas aclaraciones sobre “malentendidos o conceptos erróneos” en relación con esta temática que pueden resultar de utilidad para los desarrolladores de estos sistemas de IA a efectos de cumplir con la normativa de protección de datos. La Agencia Española de Protección de Datos ha traducido y ha publicado dichas conclusiones en su página web.
Así, cabe destacar, entre otros, los siguientes errores:
- El tratamiento “incidental” de datos personales en el contexto del uso de sistemas o herramientas de Inteligencia Artificial sigue estando sujeto a la normativa de protección de datos, por cuanto constituye un tratamiento de datos personales. Esta afirmación se realiza por la autoridad de control debido a que los desarrolladores de IA generativa que participaron en la consulta pública alegaron que “no tenían la intención de tratar datos personales y que el procesamiento de este tipo de datos fue puramente incidental”.
- En un sentido similar, muchos desarrolladores afirmaron que sus modelos no conservaban datos personales. No obstante, la mayoría de los modelos sí almacenan la información con la que han sido entrenados, lo que tiene un notable impacto desde el punto de vista de protección de datos.
- El hecho de que un determinado tipo de tratamiento de datos pueda ser considerado como una “práctica común” no supone que esté dentro de las expectativas razonables de los afectados y que, por tanto, su tratamiento sea lícito. Es por ello por lo que se debe informar adecuadamente a estos afectados de todos los tratamientos de sus datos.
- No se debe aplicar directamente y por analogía, como realizaron muchos desarrolladores, “la jurisprudencia sobre el cumplimiento de la protección de datos en los motores de búsqueda al ámbito de la IA generativa”. Ello es así debido a que pueden existir diferencias entre ambos sistemas (como, por ejemplo, el hecho de que los motores de búsqueda tienen como finalidad clasificar y priorizar la información para ponerla a disposición de los usuarios —lo que no sucede con los sistemas de IA, cuyo objeto va más allá de esto— o que estos motores suelen permitir el ejercicio de derechos —lo que no ocurre tampoco con los sistemas de IA—) que impidan aplicar esta jurisprudencia en la mayoría de los supuestos.
- Si bien algunos desarrolladores han llegado a afirmar que “la IA generativa debería beneficiarse de un trato diferenciado respecto a la normativa de protección de datos”, se declara que, a día de hoy, no hay ninguna excepción en este sentido, por lo que, si se tratan datos personales, esta normativa resulta de aplicación, debiendo garantizarse la aplicación del principio de protección de datos desde el diseño y por defecto.
Puede acceder al artículo de la autoridad de control aquí.
