La inteligencia artificial (IA) se ha convertido en una tecnología omnipresente, utilizada en cada vez más sectores, desde el marketing y la salud hasta la contratación y los servicios financieros. Sin embargo, el uso generalizado de la IA plantea numerosas cuestiones sobre la privacidad y la protección de datos personales. El Reglamento General de Protección de Datos (GDPR), un estándar europeo reconocido a nivel global, desempeña un papel clave para garantizar que el desarrollo y la aplicación de tecnologías basadas en IA respeten los derechos fundamentales de las personas afectadas.
En una era en la que los algoritmos pueden procesar enormes cantidades de información en tiempo récord, el principal desafío es encontrar un equilibrio entre la innovación y el cumplimiento de las normativas legales. ¿Cómo pueden las empresas utilizar la IA sin infringir el GDPR? ¿Qué derechos tienen las personas cuyos datos son procesados?
El tratamiento de datos personales mediante inteligencia artificial (IA) debe basarse en una base legal, de conformidad con el artículo 6 del Reglamento 679/2016, como el consentimiento explícito, el interés legítimo o la ejecución de un contrato. Por ejemplo, si un sistema de IA se usa para personalizar ofertas de marketing, el usuario debe ser informado claramente sobre cómo se utilizan sus datos y debe dar su consentimiento explícito para este propósito.
El entrenamiento de modelos de IA a menudo implica el uso de grandes volúmenes de datos personales, lo que plantea problemas de privacidad. Según el artículo 9 del GDPR, está prohibido el uso de datos sensibles (como información sobre salud, origen étnico u opiniones políticas) sin una base jurídica válida. Además, la anonimización de datos es esencial para reducir los riesgos. Por ejemplo, si una empresa desarrolla un modelo de reconocimiento facial y utiliza imágenes de una base de datos pública que incluye datos personales identificables, la empresa debe anonimizar la información u obtener el consentimiento de las personas.
Por lo tanto, las empresas que utilizan IA tienen la obligación de realizar evaluaciones de impacto sobre la protección de datos (DPIA), conforme al artículo 35 del GDPR, e implementar medidas de seguridad adecuadas para proteger los datos personales. La auditoría de algoritmos es esencial para identificar posibles errores que puedan generar resultados discriminatorios.
La IA también plantea desafíos en cuanto al respeto de los derechos de los interesados, mencionados en los artículos 15-21 del Reglamento. Las personas deben tener acceso a información clara sobre cómo se procesan sus datos y deben poder solicitar la eliminación de su información de los sistemas de IA. Además, las decisiones automatizadas con impacto significativo, como la denegación de un crédito, requieren intervención humana para garantizar la equidad.
El cumplimiento del GDPR impone costos adicionales para el desarrollo de tecnologías de IA, como el diseño de sistemas que minimicen la recopilación de datos (Privacy by Default) y la integración de la protección de datos desde la fase de diseño (Privacy by Design). Además, las empresas deben documentar y demostrar su conformidad. Este desafío afecta a las compañías que desarrollan aplicaciones basadas en IA, obligándolas a diseñar funcionalidades que recopilen solo los datos estrictamente necesarios para sus objetivos.
En la práctica, muchas empresas han sido sancionadas por el uso inadecuado de sistemas de IA, como la utilización de datos biométricos para reconocimiento facial, considerada un riesgo inaceptable según la legislación que regula la IA. Los sistemas de monitoreo biométrico en tiempo real en espacios públicos están prohibidos, ya que pueden afectar significativamente los derechos y libertades fundamentales de los individuos. Evaluar el comportamiento de los ciudadanos para asignar una puntuación social que influya en su acceso a diversos servicios públicos o privados también puede ser una práctica problemática.
Por ello, la “Ley de Inteligencia Artificial” (AI Act) complementa el GDPR al establecer reglas claras para el uso de la IA en la UE. El AI Act clasifica las aplicaciones de IA en función de los riesgos e introduce requisitos estrictos para los sistemas de “alto riesgo”, como el reconocimiento facial utilizado por las autoridades, los sistemas de IA en el ámbito médico o los de contratación automatizada, que deberán cumplir tanto con el GDPR como con los requisitos del AI Act.
Para obtener más información o realizar consultas adicionales, no dude en ponerse en contacto con nosotros:
➡ Teléfono: (+4) 031 426 0745
📧 Correo electrónico: office@grecupartners.ro
Estamos aquí para ayudar y brindar apoyo legal para todas sus necesidades. Esperamos con interés hablar con usted.
Abogada Mihaela Murariu
