El pasado, 13 de enero de 2020, la Agencia Española de Protección de Datos (AEPD) publicó una nueva guía en su página web: “Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción”. El propósito del documento es servir como una ser “primera aproximación para la adecuación al Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) de productos y servicios que incluyan componentes de Inteligencia Artificial.”
La guía ofrece una perspectiva general y aborda, tanto los aspectos técnicos de los sistemas de IA como los normativos en materia de protección de datos, de forma elemental. No por eso, sin embargo se trata de un documento trivial. Muy al contrario, permite conocer el punto de vista de nuestro supervisor acerca de cuestiones de gran calado en lo que al uso de este tipo de sistemas se refiere.
En una primera lectura de la guía, lo primero que llama la atención es la claridad con que la AEPD afirma que quien adopte una solución que incorpore IA no puede escudarse en la carencia de información o el desconocimiento técnico para evadir su responsabilidad a la hora de auditar y decidir la adecuación del sistema a las exigencias del RGPD. Es decir, frente a la AEPD, no cabe trasladar la responsabilidad al desarrollador/ proveedor de la herramienta, ni mucho menos, al propio sistema de IA. Aunque la AEPD reconoce que cuando la IA pasa de ser un elemento experimental a un producto, sería recomendable introducir sistemas de certificación y sellos o marcas de protección, a la hora de aproximarse a un producto o servicio basado en IA, es el usuario (el cliente) quien tiene el deber de auditar los tratamientos derivados de dicho uso. Una llamada de atención tanto a usuarios como a desarrolladores, que, no obstante, no quedan exentos de responsabilidad frente a sus clientes si sus sistemas no son respetuosos con la privacidad.
En cuanto al deber de informar, la AEPD aclara que debe facilitarse información que permita entender el comportamiento del tratamiento. Aunque dependerá del tipo de componente IA utilizado, la AEPD facilita un ejemplo del nivel de detalle al que hay que descender que puede servir como “aviso a navegantes”, tanto para desarrolladores como para usuarios, que conforme al criterio expresado en la guía deben referirse a cuestiones tales como: (i) el detalle de los datos empleados para la toma de decisión, (ii) la importancia relativa que cada uno de ellos tiene en la toma de decisión, (iii) la calidad de los datos de entrenamiento y el tipo de patrones utilizados, entre otros. Es decir, debe facilitarse información mucho más detallada que la que a día de hoy se puede encontrar, con carácter general, en los avisos de privacidad de este tipo de herramientas.
Realiza la guía, asimismo, un repaso de todos los derechos de protección de datos y aclara que será preciso incluir un modelo de gobernanza de la información que sea efectivo, que permita la trazabilidad de la información para poder identificar al responsable y hacer posible el ejercicio de dichos derechos, incluido el deber de bloquear los datos. Cuando se refiere al derecho de portabilidad, indica expresamente que los usuarios deben tener en cuenta la necesidad de atender este derecho tanto en las fases de concepción y diseño del tratamiento como en la selección del componente IA. Así pues, la portabilidad y, en general, la privacidad se configura como un elemento clave para los desarrolladores de componentes de IA.
Merece la pena destacar, en cuanto a la toma de decisiones individuales automatizadas, que la AEPD señala que, con relación al tratamiento de datos de menores, la prohibición que se establece en el Considerando 71 del RGPD no tiene un carácter absoluto, pudiendo darse excepciones cuando resulte imprescindible para proteger el bienestar del menor y se implementen las garantías adecuadas. La declaración expresa de la AEPD respecto a la naturaleza de los Considerandos como normas interpretativas y no estrictamente vinculantes, por ajustada a derecho, no deja de ser una buena noticia para todos, en especial, ahora que la actividad supervisora de la Agencia comienza a repuntar.
Por otra parte, la AEPD presta también gran atención a la necesidad de dar cumplimiento, en el marco de los tratamientos que incorporan elementos de IA, a los principios que informan el RGPD. Se detiene especialmente en el principio de minimización de datos. La AEPD establece expresamente que los datos recabados con fines de entrenamiento han de ser depurados de toda la información no estrictamente necesaria para llevar a cabo tal actividad (el entrenamiento del modelo). Asimismo, se refiere a su aplicación en el momento de la distribución, y facilita un catálogo de diferentes técnicas de minimización de datos para las aplicaciones de Inteligencia Artificial, algunas específicas para ML. Echamos en falta en este apartado alguna reflexión sobre sistemas de IA más avanzados, basados en redes neuronales que aprenden de forma automática cuando se les facilitan enormes volúmenes de información.
Respecto al principio de transparencia, la AEPD aclara que una información veraz sobre la eficiencia, las capacidades y las limitaciones reales de los sistemas de IA evitará la creación de falsas expectativas, en los usuarios y los interesados, que puedan ocasionar una mala interpretación de las inferencias que se realizan en el marco del tratamiento.
Finalmente, destaca la AEPD, respecto al principio de responsabilidad proactiva, la necesidad de implementar registros y de auditar los tratamientos que tengan lugar como consecuencia del uso de IA, a lo largo de su ciclo de vida, incluyendo su retirada, en las mismas condiciones que un entorno real de explotación. La guía facilita en este punto el catálogo de cuestiones a analizar para evaluar/ auditar estos tratamientos, haciendo especial hincapié en la necesidad de aplicar un enfoque basado en el riesgo sobre el que determinar la oportunidad de llevar a cabo evaluaciones de impacto sobre la privacidad.
A nuestro modo de ver, esta “primera introducción” de la AEPD a los tratamientos de datos personales en entornos de IA no sólo fija una posición regulatoria clara, sino también límites y responsabilidades para desarrolladores, usuarios e interesados, que, de ahora en adelante, cuentan con una herramienta útil a fin de conocer el alcance de sus obligaciones en lo que al cumplimiento de la normativa de protección de datos se refiere. Quedamos a la espera del “primer capítulo”…