Imagen: Freepik
PATRICIA CARRERA SÁNCHEZ
Patricia Carrera
Letrada Asociada Senior

7 claves del Reglamento Europeo de Inteligencia Artificial y su impacto en la protección de datos

← Volver al blog
5/5 - (2 votos)
Devesa Abogados > Blog
PATRICIA CARRERA SÁNCHEZ
Patricia Carrera
Letrada Asociada Senior

La tecnología avanza a pasos agigantados. Una de las áreas más emocionantes, y también polémicas, es la inteligencia artificial (IA), que promete revolucionar cómo trabajamos, nos comunicamos y vivimos. Pero, como toda revolución, plantea grandes preguntas: ¿cómo garantizamos que los datos personales que use sean tratados de forma ética y segura? Aquí es donde entra en juego el Reglamento UE 2024/1689 sobre Inteligencia Artificial (en adelante RIA) que entró en vigor el pasado 1 de agosto de 2024 (si bien será de aplicación a los dos años) y su conexión con el Reglamento General de Protección de Datos (RGPD). En este artículo, analizamos el uso de la inteligencia Artificial y su impacto en la protección de datos.

IA y protección de datos: un tándem inseparable

La IA funciona gracias a los datos. Sin datos para entrenar los algoritmos, simplemente no puede aprender ni tomar decisiones. Sin embargo, cuando se trata de datos personales entramos en un terreno especialmente delicado. Aquí es donde la protección de datos y la IA se convierten en inseparables.

Por un lado, la IA busca aprovechar al máximo los datos para desarrollar soluciones innovadoras pero, por otro, el RGPD garantiza que ese uso sea ético, transparente y respetuoso con los derechos fundamentales de las personas.

El cumplimiento de ambas  normas es esencial para desarrollar sistemas de IA responsables.

Transparencia: principio clave del RGPD y del RIA

La transparencia es un principio clave tanto en el RGPD como en el RIA. Ambos establecen que las personas tienen derecho a comprender cómo se utilizan sus datos y cómo afectan a las decisiones que les conciernen.

El RGPD ya exige que las empresas informen de forma clara y sencilla sobre cómo manejan los datos personales. Esto incluye:

  1. Quién está utilizando los datos.

  2. Con qué finalidad.

  3.  Qué derechos tienen las personas.

El RIA amplía este concepto de transparencia al mundo de los algoritmos. No basta con explicar cómo se usan los datos; también hay que justificar cómo funciona la IA que los procesa. Esto incluye:

  1. Explicaciones sencillas y accesibles: Las empresas deben detallar de forma comprensible cómo y por qué un sistema de IA ha tomado una decisión.

  2. Información previa al usuario: Si una persona interactúa con un sistema de IA (como un chatbot), debe saber que está tratando con una máquina y no con un humano.

Consentimiento informado y explícito: nuevas exigencias

Según el RGPD, cualquier tratamiento de datos personales necesita una base legal, y el consentimiento informado y explícito es una de las más comunes. Sin embargo, cuando entra en juego la IA, el concepto de consentimiento adquiere una nueva dimensión debido a la complejidad y el impacto del uso de datos en estos sistemas., razón por la cual  el  RIA añade una capa de control:

  • Prohibición de ciertas prácticas incluso con consentimiento:  aunque el consentimiento es una base legal importante, el RIA prohíbe directamente algunos usos de IA, como:
  • Sistemas de identificación biométrica en tiempo real en espacios públicos con fines de vigilancia masiva.

  • Tecnologías que manipulen conductas o emociones para influir en decisiones de manera perjudicial.

  • Mayor claridad y detalle en aplicaciones de alto riesgo. Las aplicaciones de IA que procesen datos sensibles (como biometría o datos de salud) deben obtener un consentimiento aún más claro y detallado.

  • Evaluaciones de impacto: anticipación de riesgos

En el mundo de la IA, donde los sistemas procesan grandes cantidades de datos y pueden tomar decisiones automáticas con importantes repercusiones, la planificación y prevención son esenciales. Aquí es donde las Evaluaciones de impacto entran en juego. Tanto el RGPD como el RIA exigen este tipo de análisis para identificar riesgos y garantizar que las tecnologías de IA se usen de manera segura y ética.

Se trata de una herramienta que permite anticipar y minimizar los efectos negativos de la IA en los derechos de las personas, especialmente en lo relacionado con la privacidad y la protección de datos.

El RGPD presenta las Evaluaciones de Impacto en la Protección como un requisito obligatorio cuando una tecnología o sistema supone un alto riesgo para los derechos y libertades de las personas.

El RIA da un paso con Evaluaciones de Impacto específicas para sistemas de inteligencia artificial, especialmente aquellos que sean clasificados como de alto riesgo.

Categorías de riesgo: mayor enfoque en el riesgo

Tanto el RGPD como el RIA comparten un enfoque basado en la gestión del riesgo como eje central de su aplicación; ambos regulan la interacción de la tecnología con los derechos fundamentales, y lo hacen a través de un análisis exhaustivo de los riesgos que dichas tecnologías pueden suponer.

Como novedad, el RIA clasifica los sistemas de IA en cuatro niveles de riesgo, cada uno con sus obligaciones respectivas y restricciones:

  1. Riesgo inaceptable: prohibidos por su impacto sobre derechos fundamentales, como sistemas de puntuación social o manipulación subliminal.

  2. Riesgo alto: sujetos a estrictos requisitos normativos, como IA utilizada en contratación laboral, educación, sanidad o justicia.

  3. Riesgo limitado: Requieren mayor transparencia hacia el usuario, como chatbots o sistemas de IA que interactúan con personas.

  4. Riesgo mínimo: No sujetos a obligaciones específicas, como videojuegos o filtros de imagen.

Derechos de los ciudadanos: control y protección

El RGPD ya garantiza derechos como el acceso, rectificación y supresión (derecho al olvido) de nuestros datos personales, derecho a la portabilidad, derecho de oposición o limitación de tratamiento  y derecho a no ser objeto de decisiones automatizadas. El RIA refuerza estos derechos al:

  • Exigir la supervisión humana: En sistemas de alto riesgo, debe garantizarse la intervención humana en las decisiones críticas. 

  • No discriminación: El RIA prohíbe que los sistemas de IA discrimen basándose en datos de entrenamiento sesgados o configuraciones injustas, protegiendo a los ciudadanos de decisiones perjudiciales.

Sanciones: multas millonarias

Tanto el RGPD como el RIA imponen estrictos requisitos a las empresas que procesan datos personales o desarrollan e implementan sistemas IA. Ignorar estas normativas puede salir muy caro, literalmente: las multas por incumplimiento pueden alcanzar cifras millonarias, además de provocar un daño irreparable a la reputación de las organizaciones.

¿Qué establece el RGPD en cuando a sanciones?

Las multas pueden llegar hasta el 4% del volumen de negocio global anual de la empresa o 20 millones de euros, lo que sea mayor.

¿Qué multas contempla el RIA?

  • Multas de hasta 35 millones de euros o, si el infractor es una empresa, de hasta el 7% de su volumen de negocio mundial total correspondiente al ejercicio financiero anterior, si esta cuantía fuese superior.

  • Algunas infracciones pueden tener multas inferiores pero significativas, de hasta 15 millones de euros o el 3% del volumen de negocio global.

Conclusión: un futuro más seguro y ético

La llegada del RIA supone un hito en la regulación tecnológica. Junto con el RGPD, establece las bases para una innovación responsable que respete la privacidad y los derechos fundamentales.

Si su empresa trabaja con IA, este es el momento de revisar sus procesos, implementar evaluaciones de riesgo y asegurarse de cumplir con ambas normativas.

¿Necesita asesoramiento? Acceda a nuestra área relacionada con la protección de datos:

Protección de Datos

5/5 - (2 votos)
Contacta / Contact us