Orientaciones del EDPS sobre IA generativa y protección de datos: principales conclusiones
Por Alejandro Calvo
El pasado 3 de junio de 2024, el Supervisor Europeo de Protección de Datos (“SEPD”) publicó sus Orientaciones sobre el uso de la Inteligencia Artificial Generativa (“IAG”) por las Instituciones de la Unión Europea (“IUE”), proporcionando consejos prácticos a las IUE para garantizar el cumplimiento de las obligaciones en materia de protección de datos al utilizar o desarrollar sistemas de IAG.
En el presente post, sintetizaremos las principales conclusiones del citado documento.
Uso responsable de la IAG
Las IUE, al igual que las organizaciones públicas y privadas, deben considerar cuidadosamente cuándo y cómo utilizar la IAG de manera responsable y beneficiosa para el interés público. Esto implica ponderar y evaluar los beneficios potenciales, así como los riesgos asociados a los derechos fundamentales y libertades de las personas.
Supervisión y controles en el ciclo de vida de la IAG
La supervisión periódica y la aplicación de controles en todas las fases del ciclo de vida de una solución de IAG son esenciales. Estos controles deben verificar, entre otras cosas, que no haya tratamiento de datos personales en los casos en que el modelo no esté destinado a ello. La implementación de medidas de verificación y validación ayuda a asegurar que los sistemas de IAG no comprometan la privacidad y los datos personales de los individuos.
Organización y gobernanza de la IAG
Desde el punto de vista organizativo, la implantación y gobernanza de sistemas de IAG no debe ser un esfuerzo unipersonal. Debe existir un diálogo continuo entre todas las partes implicadas (Delegados de Protección de Datos, asesoría jurídica, IT, ciberseguridad, etc.), asegurando un enfoque colaborativo y holístico que permita garantizar que todas las fases del ciclo de vida del sistema de IAG se gestionen adecuadamente y cumplen con el marco legal en materia de protección de datos.
Identificación y gestión de riesgos
Los riesgos asociados al tratamiento de datos personales mediante un sistema de IAG deben identificarse y abordarse a lo largo de todo su ciclo de vida Esto incluye la realización de evaluaciones de impacto de protección de datos antes de su implementación (privacidad desde el diseño) y su monitorización continua, de cara a evaluar y gestionar los riesgos identificados.
Diseño de conjuntos de datos
El diseño meticuloso de conjuntos de datos estructurados, utilizados en sistemas de IAG que priorizan la calidad sobre la cantidad, es esencial. Estos conjuntos de datos deben someterse a un proceso de entrenamiento rigurosamente supervisado y a una monitorización periódica. La exactitud y fiabilidad de los datos son imperativas para asegurar la eficacia y la seguridad de los sistemas de IAG.
Principios de exactitud y minimización de los datos
A pesar de los esfuerzos por garantizar la exactitud de los datos, los sistemas de IAG siguen siendo propensos a resultados inexactos que pueden repercutir en los derechos y libertades fundamentales de las personas, poniendo en riesgo los principios de exactitud y minimización de los datos establecidos por el RGPD.
Para salvaguardar la exactitud de los datos, debe evaluarse cuidadosamente su precisión durante todo el ciclo de vida de los sistemas de IAG y considerando el impacto potencial de cualquier inexactitud y tomando las medidas adecuadas para su mitigación.
Por ello, es crucial evaluar cuidadosamente la precisión de los datos durante todo el ciclo de vida de los sistemas de IAG, considerando el impacto potencial de cualquier inexactitud y tomando las medidas adecuadas para su mitigación, especialmente mediante la implementación de procedimientos de control y supervisión continua que permitan asegurar que los datos utilizados sean siempre precisos y actualizados, minimizando así el riesgo de errores que puedan afectar negativamente a los individuos.
Transparencia y protección de los derechos individuales
Es imperativo garantizar que los individuos reciban información clara y comprensible sobre el procesamiento de sus datos personales al utilizar sistemas de IAG, fomentando su transparencia. Esto incluye detalles sobre la recopilación, las actividades de procesamiento y el funcionamiento del sistema de IAG. La transparencia es esencial para mitigar riesgos y asegurar que los individuos estén bien informados y mantengan el control sobre sus datos.
Asimismo, en el contexto de sistemas de IAG empleados en la toma de decisiones automatizadas, deberá evaluarse minuciosamente su impacto en los derechos de los individuos, e implementar las salvaguardias necesarias para su protección, garantizando en todo momento la posibilidad de explicar la lógica de las decisiones adoptadas y la supervisión humana de la IAG.
Minimización y mitigación de sesgos
La implementación de procedimientos y mejores prácticas para la minimización y mitigación de sesgos debe ser prioritaria en todas las etapas del ciclo de vida de los sistemas de IAG. Esto abarca la supervisión y auditoría continua para identificar y corregir los sesgos que puedan surgir tanto en los datos de entrenamiento como en los algoritmos empleados.
Conclusión
Las orientaciones del SEPD establecen un marco necesario para el uso seguro y ético de la IA generativa, abordando las amenazas significativas a los derechos y libertades fundamentales y el riesgo de pérdida de control sobre los datos personales.
Si bien se encuentran dirigidas a las IUE, también sirven como referencia para las entidades privadas que desarrollan o utilizan IAG, facilitando el cumplimiento del marco legal vigente en materia de protección de datos.