Inicio > Tecnologías digitales > Gestión de SI > Protección de datos: los RPD se enfrentan a los retos de la IA

Protección de datos: los RPD se enfrentan a los retos de la IA

Publicado el 30 de abril de 2024
Compartir esta página :

El auge de la IA en las empresas está teniendo un gran impacto en la protección de los datos personales: chatbots, recomendaciones de productos, selección automática de candidatos para la contratación... estas herramientas basadas en IA plantean cuestiones sobre la confidencialidad y la seguridad de los datos, así como la parcialidad del tratamiento. Y además del RGPD, la entrada en vigor del reciente reglamento europeo sobre inteligencia artificial (AI Act) impone nuevas obligaciones legales. ¿Cómo puede el delegado de protección de datos (DPO) hacer frente a estos retos?

Artículo de ilustración Datos personales: los RPD ante el reto de la IA

La inteligencia artificial (IA) está experimentando un crecimiento sin precedentes. Ofrece posibilidades revolucionarias para las organizaciones, pero suscita una serie de preocupaciones en materia de protección de datos.

El responsable de la protección de datos (RPD) está en el centro de este reto. Es responsable de aplicar Reglamento Europeo de Protección de Datos (RGPD) dentro de la organización para la que ha sido nombrado, deberá tener en cuenta las nuevas Derecho de la IA (Ley AI) votado por el Parlamento Europeo el 13 de marzo de 2024.

El primer reto del RPD: evaluar los riesgos relacionados con los datos

IA, y más concretamente IA Generativa (IAG), se basan en la explotación masiva de datos para entrenar modelos algorítmicos, los famosos grandes modelos lingüísticos (LLM). Esta recogida y tratamiento de datos plantea una serie de preocupación por la privacidad, el consentimiento informado y la seguridad de los datos.

Los datos personales también deben cumplir la principio de minimización. La CNIL lo define así: los datos deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que se tratan.

Además, los sistemas de IA pueden ampliar o amplificar los sesgos presentes en los datos de entrenamiento, amenazando así los principios de equidad y no discriminación.

Por ejemplo, el conjuntos de datos de entrenamiento utilizadas para alimentar los sistemas de reconocimiento facial se componen principalmente de retratos de personas blancas. Por tanto, estos sistemas tienen menos probabilidades de reconocer a las personas de color.

Los RPD deben estar atentos a riesgos inherentes a la IAtales como :

  • Reidentificación de personas a partir de datos supuestamente anónimos 
  • El uso de datos sensibles (sexo, origen étnico, opiniones políticas, etc.) para entrenar modelos.
  • Seguimiento y selección de personas con fines de publicidad basada en el comportamiento
  • Decisiones automatizadas con un impacto significativo en las personas (contratación, crédito, etc.)

Segundo reto para el RPD: garantizar el cumplimiento del RGPD para la IA

Más allá de los riesgos, los DPO se enfrentan a desafíos operativos para garantizar que los sistemas de IA cumplan con el GDPR. Los principales retos son:

- Evaluación de la necesidad y proporcionalidad del tratamiento de datos para los sistemas de IA

- Realización de evaluaciones de impacto sobre la protección de datos (AIPD) para tratamientos de alto riesgo

- La aplicación de medidas técnicas y organizativas adecuadas (protección de datos en la fase de diseño, etc.).

- Gestión de los derechos de los interesados (acceso, rectificación, oposición, etc.) en el contexto de la IA

- Supervisión y control de subcontratistas implicados en el desarrollo o uso de la IA

La Ley de IA: un nuevo marco regulador

En respuesta a los retos que plantea la IA, la Unión Europea ha propuesto la Ley de IA, un reglamento destinado a establecer normas armonizadas para el desarrollo, la comercialización y el uso de sistemas de IA "fiables". Esta propuesta legislativa introduce varios conceptos clave que tendrán un impacto significativo en el papel de los RPD.

Clasificación del riesgo de IA

La Ley de IA clasifica los sistemas de IA en cuatro niveles de riesgo: inaceptable, alto, limitado y mínimo. Los RPD tendrán que ser capaces de identificar el nivel de riesgo de los sistemas de IA utilizados por su organización y establecer los requisitos correspondientes.

Pirámide de riesgos de la Ley de IA
La pirámide de riesgos definida por el Reglamento AI
©Alexandre Salque/ORSYS

Requisitos de los sistemas de IA de alto riesgo

Para los sistemas de IA considerados de "alto riesgo", por ejemplo, sistemas de reconocimiento facial, sistemas de calificación crediticia, etc., la Ley de IA impone requisitos estrictos durante todo el ciclo de vida del sistema, como:

  • Realización de evaluaciones de riesgos y pruebas de conformidad
  • La aplicación de sistemas de gestión de riesgos y controles humanos
  • Elaboración de registros de actividad detallados
  • Designación de una persona responsable de supervisar el cumplimiento del sistema

Estos requisitos implicarán una estrecha colaboración entre los RPD, los equipos de desarrollo y los expertos en IA.

Derechos de las personas afectadas

La Ley de AI refuerza los derechos de las personas al concederles, en particular, el derecho a ser informadas cuando interactúan con un sistema de AI y el derecho a impugnar las decisiones tomadas por estos sistemas. Los RPD tendrán que velar por que se respeten estos derechos y establecer los procedimientos adecuados.

Un papel más importante para las autoridades de supervisión

La Ley de IA otorga a las autoridades supervisoras (como las autoridades de protección de datos) nuevas competencias para inspeccionar, controlar y sancionar los sistemas de IA que incumplan la normativa. Los RPD tendrán que colaborar estrechamente con estas autoridades, incluida la CNIL, y garantizar una documentación rigurosa de sus actividades relacionadas con la IA.

Perspectivas de futuro para los RPD

Con el auge de la IA y la aparición de normativas como la Ley de IA, el papel de los RPD está cambiando y se está volviendo más estratégico que nunca. Deberán colaborar estrechamente con los equipos técnicos, jurídicos y operativos para integrar la protección de datos y los requisitos normativos desde el diseño y la implantación de los sistemas de IA.

Los RPD tendrán que desarrollar una profunda experiencia en el campo de la IA, que abarque tanto los aspectos técnicos como los jurídicos y éticos. Desempeñarán un papel clave en la sensibilización y formación de los equipos, así como en la promoción de una cultura de protección de datos y de IA responsable dentro de su organización.

En resumen, los RPD están en el centro de los retos de protección de datos asociados a la IA. Su capacidad para anticiparse a los riesgos, colaborar con las distintas partes interesadas y adaptarse a los cambios normativos será crucial para que su organización pueda aprovechar plenamente las ventajas de la IA, salvaguardando al mismo tiempo los derechos y libertades fundamentales de las personas.

Nuestro experto

Formado por periodistas especializados en informática, gestión y desarrollo personal, el equipo editorial de ORSYS Le mag [...].

ámbito de formación

formación asociada