"La Junta Europea de Protección de Datos publica una opinión sobre cómo los desarrolladores de IA pueden cumplir con el GDPR en el uso de datos personales para modelos de IA"

December 18, 2024 / Pablo

“La Junta Europea de Protección de Datos publica una opinión sobre cómo los desarrolladores de IA pueden cumplir con el GDPR en el uso de datos personales para modelos de IA”

La Junta Europea de Protección de Datos (EDPB) publicó el miércoles una opinión sobre cómo los desarrolladores de inteligencia artificial (IA) pueden utilizar datos personales para crear y desplegar modelos de IA, como los grandes modelos de lenguaje (LLMs), sin infringir las leyes de privacidad de la Unión Europea. Esta Junta es clave en la aplicación de estas leyes y sus opiniones son importantes para la regulación.

La opinión de la EDPB aborda varios temas, como si los modelos de IA pueden considerarse anónimos (lo que significaría que no se aplicarían las leyes de privacidad), si se puede usar una base legal de “intereses legítimos” para procesar datos personales de manera legal en el desarrollo y despliegue de modelos de IA (lo que significaría que no se necesitaría el consentimiento de las personas), y si los modelos de IA desarrollados con datos procesados ilegalmente pueden ser desplegados legalmente.

La cuestión de qué base legal es adecuada para los modelos de IA y asegurar su cumplimiento con el Reglamento General de Protección de Datos (GDPR) sigue siendo un tema candente. Ya hemos visto que ChatGPT de OpenAI ha tenido problemas en este aspecto. No cumplir con las reglas de privacidad podría resultar en multas de hasta el 4% de la facturación anual global y/o órdenes para cambiar el funcionamiento de las herramientas de IA.

Casi un año atrás, la autoridad de protección de datos de Italia encontró preliminarmente que el chatbot de OpenAI infringe el GDPR. Desde entonces, se han presentado otras quejas contra esta tecnología en Polonia y Austria, enfocándose en aspectos como la base legal para procesar datos, la tendencia a inventar información y la incapacidad de corregir declaraciones erróneas sobre personas.

El GDPR establece reglas sobre cómo se pueden procesar los datos personales de manera legal y otorga derechos de acceso a los datos para las personas, como solicitar una copia de los datos que se tienen sobre ellas, eliminar datos y corregir información incorrecta. Sin embargo, para los chatbots de IA que confabulan (o “alucinan”, como se dice en la industria), estas solicitudes no son triviales.

A pesar de que las herramientas de IA generativa han enfrentado múltiples quejas bajo el GDPR, la aplicación de las normas ha sido limitada. Las autoridades de protección de datos de la UE están lidiando con cómo aplicar reglas de protección de datos bien establecidas a una tecnología que requiere grandes cantidades de datos para su entrenamiento. La opinión de la EDPB está destinada a ayudar a los organismos de supervisión en su toma de decisiones.

La Comisión de Protección de Datos de Irlanda (DPC), que solicitó la opinión de la EDPB, sugirió que esta opinión permitirá una regulación proactiva y efectiva de los modelos de IA en la región. También apoyará la interacción de la DPC con las empresas que desarrollan nuevos modelos de IA antes de que se lancen en el mercado de la UE.

La opinión ofrece orientación a los reguladores sobre cómo abordar la IA generativa y también a los desarrolladores sobre cómo podrían evaluar la legalidad del procesamiento de datos. Sin embargo, el mensaje principal es que no habrá una solución única para la incertidumbre legal que enfrentan.

Por ejemplo, en cuanto a la anonimidad de los modelos, la Junta define que un modelo de IA debe ser “muy poco probable” que identifique directa o indirectamente a las personas cuyos datos se utilizaron para crearlo. La opinión enfatiza que esto debe evaluarse “caso por caso”.

El documento también proporciona una lista no exhaustiva de métodos que los desarrolladores de modelos podrían usar para demostrar anonimidad, como seleccionar fuentes de datos que eviten la recolección de datos personales, minimizar datos durante la preparación previa al entrenamiento, y aplicar técnicas de preservación de la privacidad.

Esto indica que las decisiones de diseño y desarrollo que tomen los desarrolladores de IA podrían influir en las evaluaciones regulatorias sobre la aplicación del GDPR a un modelo en particular. Solo los datos verdaderamente anónimos, donde no hay riesgo de reidentificación, quedan fuera del alcance de la regulación.

Antes de la opinión de la EDPB, hubo debates sobre la anonimidad de los modelos de IA, pero la Junta deja claro que la anonimidad no está garantizada y se requieren evaluaciones caso por caso. También se analiza si se puede usar una base de interés legítimo para el desarrollo y despliegue de IA, lo cual es importante porque hay pocas bases legales disponibles en el GDPR y la mayoría no son adecuadas para la IA.

El interés legítimo probablemente será la base elegida por los desarrolladores de IA, ya que no requiere obtener el consentimiento de cada individuo cuyos datos se procesan. La opinión sugiere que los modelos de IA podrían cumplir con todos los criterios para depender de una base de interés legítimo, como el desarrollo de un modelo de IA para un servicio de agente conversacional.

Para evaluar la necesidad del procesamiento, se debe considerar si se logra el propósito legal y si hay formas menos intrusivas de lograrlo, prestando atención a si la cantidad de datos personales procesados es proporcional al objetivo. La tercera prueba debe tener en cuenta las circunstancias específicas de cada caso, prestando especial atención a los riesgos para los derechos fundamentales de los individuos.

La opinión también menciona medidas para mitigar riesgos asociados con la recolección de datos de la web, que presentan “riesgos específicos”. Además, se discute cómo los reguladores deberían abordar los modelos de IA entrenados con datos procesados ilegalmente. La Junta recomienda que se tengan en cuenta las circunstancias de cada caso individual.

Sin embargo, la opinión parece ofrecer una especie de salida para los modelos de IA que pueden haberse construido sobre bases legales inestables, siempre que tomen medidas para asegurar que los datos personales estén anonimizados antes de la fase de despliegue. En tales casos, siempre que el desarrollador demuestre que la operación posterior del modelo no implica el procesamiento de datos personales, el GDPR no se aplicaría.

Lukasz Olejnik, un consultor independiente, advirtió que se debe tener cuidado para no permitir abusos sistemáticos. “Es una posible divergencia interesante de la interpretación de las leyes de protección de datos hasta ahora”, dijo. La opinión no limita a las autoridades de protección de datos nacionales, pero se espera que consideren esta opinión en sus decisiones.

Pablo

"YouTube se une a CAA para proteger a celebridades y creadores de la IA en su plataforma #AliadosCreativos"

"OpenAI cambia su estructura a una junta sin fines de lucro para mantener su independencia en la investigación de inteligencia artificial"

Categorías

Now Reading: “La Junta Europea de Protección de Datos publica una opinión sobre cómo los desarrolladores de IA pueden cumplir con el GDPR en el uso de datos personales para modelos de IA”