Esteban López, abogado asociado del área de Derecho Digital del despacho Martínez-Echevarría Abogados, ha ofrecido en el V Webinar del Campus IA+Igual un completo análisis de las implicaciones legales del tratamiento de datos personales en el marco del nuevo Reglamento Europeo de Inteligencia Artificial (RIA), aprobado el 21 de mayo por el Consejo de la UE tras las correcciones al texto dado a conocer en marzo. Durante la sesión Protección de datos e inteligencia artificial: RGPD y RIA, el abogado ha explicado la compatibilidad de ambos textos legales, cómo se vislumbra el reparto de responsabilidades entre proveedores y empresas usuarias y cómo se implantará de forma gradual en los próximos 24 meses.
Contrariamente a la creencia de que la Inteligencia Artificial “se encuentra sin regular” o en una especie de “situación alegal», Esteban López ha aclarado que ya existe un marco normativo de obligado cumplimiento aplicable a esta tecnología, formado principalmente por el Reglamento General de Protección de Datos (RGPD), el Estatuto de los Trabajadores, el Copyright y DATA ACT, además del Código Penal o el Código Civil:
GDPR:
- Aplica si intervienen datos personales en el sistema IA.
- Importante realizar una PIA.
- Problemas con derechos de protección de datos.
- Recomendación: datos sintéticos.
Estatuto de los trabajadores:
- Artículo 64. Derechos de información y consulta y competencias:
- Información a la representación legal de los trabajadores de los parámetros, reglas e instrucciones en los que se basan los algoritmos o sistemas de inteligencia artificial que afectan a la toma de decisiones que pueden incidir en las condiciones de trabajo, el acceso y mantenimiento del empleo, incluida la elaboración de perfiles. También se incluyen los consentimientos explícitos y no extrapolables que han de firmar los trabajadores para cada uno que se le de al modelo.
Data Act:
- Productos conectados o servicios relacionados
- Afecta a los datos que generan los usuarios (incluidos metadatos).
- Ejercicio de acceso, portabilidad a los datos.
Copyright:
- Directiva sobre los derechos de autor y derechos afines en el mercado único digital, que marca los límites de la minería de texto.
- Real Decreto Legislativo 1/1996-Ley de Propiedad Intelectual, según el cual las obras de GenAI no están protegidas por derecho de autor ya que éstos sólo aplican a las personas físicas.
Un aspecto importante a tener en cuenta por todos aquellos que quieran introducir esta tecnología en su operativa organizacional es el de la obligación que impondrá el RIA de realizar una Evaluación de Impacto de Protección de Datos (PIA) previa al desarrollo y aplicación de modelos de IA, que permita “poder identificar riesgos y aplicar medidas de protección que permitan reducir aquéllos a la categoría de residuales”, ha explicado el experto en derecho digital. En este contexto de obligaciones, ha querido advertir que las que se derivan tanto del RGPD como de la RIA “no son pocas ni sencillas de cumplir y van a requerir de un trabajo minucioso y centrado”, asegura Esteban López; aún así, considera que han de deben verse como un procedimiento que les va a ayudar a tomar conciencia de cómo funciona algo que actúa en su nombre, con todas las implicaciones legales, éticas y reputacionales que ello conlleva.
El abogado de Martínez Echevarría ha vinculado el RIA con el Reglamento General de Protección de Datos de forma explícita porque la IA «trabaja con datos, y en el ámbito de la gestión de RR.HH. lo hace con datos personales». Al respecto surgen no pocas dudas:
- En el marco del RGPD, éstos deben ser recolectados con un propósito específico y sólo utilizados para ese fin, pero en la casuística de la IA Gen puede darse el caso de que el modelo algorítmico infiera aplicaciones distintas de la que fue programada y que ello derive en un uso no contemplado en el consentimiento expreso del interesado. ¿Cómo informar sobre ello?
- Según la base legitimadora, su art. 6 recoge que para tratar un dato personal de manera lícita ha de cumplirse el consentimiento, la ejecución del contrato, el interés público, etc. En un proceso de IA cada una de sus fases deberá contar con su propia base legitimadora independiente, que puede ser la misma pero que ha de ser tratada de manera separada. ¿Cómo materializar el proceso sin hacerlo en exceso complejo?
- En el GDPR se explica claramente cómo ha de ser el procedimiento para ejercer el derecho de rectificación o supresión de datos personales. ¿Cómo se van a ejercer dichos los derechos de rectificación con los datos de entrenamiento de la IA?
- Las PIAs o evaluaciones de impacto serán una fase fundamental no sólo a la hora de mitigar los riesgos con un plan de prevención sino también de cara a proporcionar la debida información a los representantes de los trabajadores. Desde el punto de vista de la protección de datos ha de ayudar a explicar el algoritmo desde el diseño, a entender cómo toma decisiones, cómo evita los sesgos en la toma de decisiones y cómo puede afectar a los derechos fundamentales de loas personas afectadas. ¿Cuál ha de ser el contenido de esa evaluación de impacto?
- Transferencia internacional de datos: ¿Se puede limitar el almacenamiento de datos de IA al espacio europeo? ¿Nuestro sistema podrá estar en varios servidores a la vez y no europeos? El RIA incluye la obligación de comunicar las brechas que se generen en el marco de esta tecnología pero si tienen relación con los datos personales ello entra en conflicto con la AEPD. Sabemos que la AESIA (Agencia Española de Inteligencia Artificial, será la autoridad encargada de construir desde cero los procedimientos a seguir. En el caso expuesto, ¿tendremos que duplicar los procedimientos en dos vías distintas?
