Os compartimos el undécimo artículo de nuestra saga quincenal, titulado “LA RELACIÓN ENTRE INTELIGENCIA ARTIFICIAL Y DATOS PERSONALES EN EL REGLAMENTO DE IA” de Efrén Díaz Díaz. Responsable de las Áreas de Tecnología y Derecho Espacialdel Bufete Mas y Calvet. Estos artículos sobre el Reglamento Europeo de Inteligencia Artificial (RIA), escritos por los expertos en cada materia del Bufete Mas y Calvet , ayudan a entender y prevenir cómo afectará el RIA a cuestiones fundamentales que impactan la actividad y organización de las empresas y a las personas en el día a día.
Este artículo examina los desafíos éticos, legales y sociales que plantea la inteligencia artificial (IA) en su interacción con los datos personales, centrándose en el Reglamento (UE) 2024/1689. Este reglamento establece normas armonizadas para el diseño, desarrollo y uso de sistemas de IA en la Unión Europea, garantizando que sean confiables y respetuosos con los derechos fundamentales, incluyendo la privacidad y la protección de datos personales.
En el artículo se destaca la importancia de la gestión de riesgos, la transparencia y la calidad de los datos en los sistemas de IA clasificados como de alto riesgo. Estos sistemas deben cumplir con requisitos estrictos en cuanto a la gestión de riesgos, transparencia y calidad de los datos. Además, se subraya la necesidad de prácticas adecuadas de gestión y gobernanza de datos para asegurar que los conjuntos de datos utilizados sean pertinentes, representativos, libres de errores y completos.
El enfoque basado en el riesgo es fundamental para establecer normas vinculantes eficaces. Las Directrices éticas para una IA fiable de 2019 presentan siete principios éticos no vinculantes para garantizar la fiabilidad y el fundamento ético de la IA, incluyendo la acción y supervisión humanas, solidez técnica y seguridad, gestión de la privacidad y de los datos, transparencia, diversidad, no discriminación y equidad, bienestar social y ambiental, y rendición de cuentas.
En esta noticia también aborda la clasificación de un sistema de IA como de alto riesgo, que depende de las posibles consecuencias adversas para los derechos fundamentales protegidos por la Carta de Derechos Fundamentales de la UE. Los sistemas de IA de alto riesgo deben cumplir con varios requisitos esenciales para mitigar riesgos a la salud, seguridad y derechos fundamentales.
Finalmente, se destacan las medidas específicas destinadas a apoyar a las pymes y empresas emergentes en la implementación del Reglamento de IA, facilitando su participación en espacios controlados de pruebas, actividades de formación y sensibilización, y procesos de normalización. Con una regulación adecuada, la IA puede convertirse en una herramienta poderosa para mejorar la eficiencia y seguridad en diversos sectores, asegurando un futuro más seguro y sostenible.
1. Introducción
La inteligencia artificial representa una tecnología transformadora que redefine sectores económicos y sociales. Sin embargo, también plantea interrogantes sobre su impacto en derechos fundamentales, particularmente en lo referente a la protección de datos personales. Este artículo analiza las disposiciones clave del Reglamento (UE) 2024/1689 (en adelante, Reglamento de IA o RIA) en lo concerniente al tratamiento de datos personales y su interacción con el Reglamento General de Protección de Datos (RGPD).
En la difícil relación entre inteligencia artificial y datos personales en el Reglamento de IA, este estudio aborda los desafíos éticos, legales y sociales que plantea la inteligencia artificial (IA) en su interacción con los datos personales
El Reglamento (UE) 2024/1689 establece normas armonizadas para el diseño, desarrollo y uso de sistemas de IA en la Unión Europea, buscando garantizar que la IA sea confiable y respetuosa con los derechos fundamentales, incluyendo la privacidad y la protección de datos personales. Los sistemas de IA clasificados como de alto riesgo están sujetos a requisitos estrictos en cuanto a la gestión de riesgos, transparencia y calidad de los datos.
El artículo analizará conceptos clave como «sistema de IA», «responsable del despliegue», «dato biométrico», «identificación biométrica», «categorización biométrica», y «sistema de reconocimiento de emociones». Estos conceptos son fundamentales para entender la regulación y aplicación de la IA en el contexto de la protección de datos personales.
El enfoque basado en el riesgo es esencial para establecer normas vinculantes eficaces. Las Directrices éticas para una IA fiable de 2019 presentan siete principios éticos no vinculantes para garantizar la fiabilidad y el fundamento ético de la IA, incluyendo la acción y supervisión humanas, solidez técnica y seguridad, gestión de la privacidad y de los datos, transparencia, diversidad, no discriminación y equidad, bienestar social y ambiental, y rendición de cuentas.
La clasificación de un sistema de IA como de alto riesgo depende de las posibles consecuencias adversas para los derechos fundamentales protegidos por la Carta de Derechos Fundamentales de la UE. Los sistemas de IA de alto riesgo deben cumplir con varios requisitos esenciales para mitigar riesgos a la salud, seguridad y derechos fundamentales.
Los datos de alta calidad y el acceso a estos son esenciales para garantizar el funcionamiento adecuado de muchos sistemas de IA, especialmente aquellos de alto riesgo. Es crucial implementar prácticas adecuadas de gestión y gobernanza de datos para asegurar que los conjuntos de datos utilizados para el entrenamiento, validación y prueba sean pertinentes, representativos, libres de errores y completos.
El derecho a la intimidad y a la protección de datos personales debe garantizarse a lo largo de todo el ciclo de vida de los sistemas de IA. Se aplican los principios de minimización de datos y de protección de datos desde el diseño y por defecto, establecidos en el Derecho de la Unión en materia de protección de datos.
El artículo 59 del Reglamento regula el uso de datos personales previamente recabados con otros fines para el desarrollo, entrenamiento y prueba de sistemas de IA en espacios controlados, siempre que se cumplan estrictas condiciones y se garantice el respeto a los derechos fundamentales y a las normativas de protección de datos.
El artículo 62 establece medidas específicas destinadas a apoyar a las pymes y empresas emergentes en la implementación del Reglamento de IA, facilitando su participación en espacios controlados de pruebas, actividades de formación y sensibilización, y procesos de normalización. Además, se considera la reducción de tasas para la evaluación de conformidad y el desarrollo de herramientas centralizadas de apoyo.
Se culminará el estudio realizado con la extracción de las principales conclusiones prácticas aplicables principalmente a empresas.
2. El Reglamento de IA y la protección de datos de carácter personal
El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de Inteligencia Artificial, RIA)[1], contiene una regulación sobre protección de datos de carácter personal complementaria a la recogida en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE[2] (Reglamento general de protección de datos, RGPD).
El Reglamento de IA establece normas armonizadas para el diseño, desarrollo y uso de sistemas de IA en la Unión Europea. Este marco busca garantizar que la IA sea confiable y respetuosa con los derechos fundamentales, incluyendo el derecho a la privacidad y la protección de datos personales. Los sistemas de IA clasificados como de alto riesgo están sujetos a requisitos estrictos en cuanto a la gestión de riesgos, transparencia y calidad de los datos.
La Inteligencia Artificial (IA) se ha convertido en un motor clave de transformación en numerosos sectores de la economía y en múltiples dimensiones de la sociedad, con un impacto que trasciende las fronteras nacionales dentro de la Unión Europea (UE). Su capacidad para desplegarse y circular de manera transfronteriza plantea tanto oportunidades como retos regulatorios. En este contexto, algunos Estados miembros han comenzado a desarrollar normativas nacionales para asegurar que los sistemas de IA sean fiables, seguros y estén alineados con las obligaciones relativas a los derechos fundamentales. No obstante, la coexistencia de marcos regulatorios divergentes entre los Estados miembros podría fragmentar el mercado interior, reduciendo la seguridad jurídica para los operadores que desarrollan, importan o utilizan sistemas de IA.
Frente a este desafío, es esencial establecer un nivel elevado y coherente de protección en toda la UE. Un enfoque uniforme no solo garantizaría la fiabilidad de los sistemas de IA, sino que también evitaría las disparidades regulatorias que obstaculizan la libre circulación, la innovación y la adopción de esta tecnología en el mercado interior. Con base en el artículo 114 del Tratado de Funcionamiento de la Unión Europea (TFUE), el establecimiento de obligaciones uniformes para los operadores permitirá proteger de manera homogénea los fines imperiosos de interés general y los derechos fundamentales de las personas, y promover al mismo tiempo un entorno propicio para la innovación tecnológica.
El Reglamento de IA aborda, además, aspectos específicos relacionados con la protección de las personas frente al uso de sistemas de IA en actividades sensibles, como la identificación biométrica remota y la evaluación de riesgos de personas físicas con fines de cumplimiento del Derecho. En estas áreas, se introducen restricciones específicas para garantizar el respeto de los derechos fundamentales, sustentándose en el artículo 16 del TFUE. Este enfoque busca regular el tratamiento de datos personales en el contexto del uso de la IA, con especial atención a los riesgos inherentes a los sistemas de identificación y categorización biométrica.
Así, el Considerando 9 del Reglamento de IA parte del siguiente marco normativo:
Deben establecerse normas armonizadas aplicables a la introducción en el mercado, la puesta en servicio y la utilización de sistemas de IA de alto riesgo en consonancia con el Reglamento (CE) n.o 765/2008 del Parlamento Europeo y del Consejo (7), la Decisión n.o 768/2008/CE del Parlamento Europeo y del Consejo (8) y el Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo (9) (en lo sucesivo, «nuevo marco legislativo»). Las normas armonizadas que se establecen en el presente Reglamento deben aplicarse en todos los sectores y, en consonancia con el nuevo marco legislativo, deben entenderse sin perjuicio del Derecho vigente de la Unión, en particular en materia de protección de datos, protección de los consumidores, derechos fundamentales, empleo, protección de los trabajadores y seguridad de los productos, al que complementa el presente Reglamento.
El derecho a la protección de datos personales está garantizado por normativas de la Unión Europea, como los Reglamentos (UE) 2016/679 y 2018/1725[3], la Directiva (UE) 2016/680[4] y la Directiva 2002/58/CE[5], que también protege la privacidad y confidencialidad de las comunicaciones. Estas leyes establecen un marco para el tratamiento responsable de datos, incluidos los que combinan información personal y no personal. El Reglamento sobre IA no modifica estas normativas ni las competencias de las autoridades de supervisión, y mantiene las obligaciones de proveedores y responsables en relación con el tratamiento de datos personales. Asimismo, garantiza que los interesados conserven sus derechos, como los relacionados con decisiones automatizadas y elaboración de perfiles. Las normas armonizadas del Reglamento buscan facilitar el ejercicio de estos derechos y proteger otros derechos fundamentales, como así corrobora el Considerando 10 del Reglamento IA:
Dichos actos legislativos de la Unión constituyen la base para un tratamiento de datos sostenible y responsable, también cuando los conjuntos de datos contengan una combinación de datos personales y no personales. El presente Reglamento no pretende afectar a la aplicación del Derecho de la Unión vigente que regula el tratamiento de datos personales, incluidas las funciones y competencias de las autoridades de supervisión independientes competentes para vigilar el cumplimiento de dichos instrumentos. Tampoco afecta a las obligaciones de los proveedores y los responsables del despliegue de sistemas de IA en su papel de responsables o encargados del tratamiento de datos derivadas del Derecho de la Unión o nacional en materia de protección de datos personales en la medida en que el diseño, el desarrollo o el uso de sistemas de IA impliquen el tratamiento de datos personales.
3. Conceptos relevantes en la aplicación de la Inteligencia Artificial
En la regulación contenida en el RIA, el concepto de «sistema de IA» debe definirse claramente en el Reglamento y alinearse con los trabajos de organizaciones internacionales para garantizar la seguridad jurídica y facilitar la convergencia internacional. La definición debe basarse en las características principales de los sistemas de IA, como su capacidad de inferencia, que les permite obtener resultados como predicciones y recomendaciones. Los sistemas de IA pueden funcionar con distintos niveles de autonomía y adaptarse mediante autoaprendizaje. Pueden usarse de manera independiente o como componentes de un producto, ya sea integrado o no.
El concepto de «responsable del despliegue» se refiere a cualquier persona física o jurídica que utilice un sistema de IA bajo su propia autoridad, excluyendo el uso personal no profesional. El Considerando 13 del RIA destaca que, dependiendo del tipo de sistema de IA, el uso del sistema puede afectar a personas distintas del responsable del despliegue.
El «dato biométrico» se interpreta según las definiciones de varios reglamentos de la UE y puede usarse para autenticación, identificación o categorización de personas, así como para el reconocimiento de emociones.
Concretamente, el concepto debe interpretarse a la luz del concepto de «datos biométricos» tal como se define en el artículo 4, punto 14, del Reglamento (UE) 2016/679:
14) «datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;
La «identificación biométrica» (Considerando 15 del RIA) es el reconocimiento automatizado de características humanas para determinar la identidad de una persona comparando sus datos biométricos con una base de datos, excluyendo sistemas destinados solo a la verificación biométrica:
el reconocimiento automatizado de características humanas de tipo físico, fisiológico o conductual, como la cara, el movimiento ocular, la forma del cuerpo, la voz, la entonación, el modo de andar, la postura, la frecuencia cardíaca, la presión arterial, el olor o las características de las pulsaciones de tecla
Según el Considerando 16 del RIA, la «categorización biométrica» implica clasificar a personas en categorías específicas basadas en sus datos biométricos, excluyendo características accesorias vinculadas a otros servicios:
Estas categorías específicas pueden referirse a aspectos como el sexo, la edad, el color del pelo, el color de los ojos, los tatuajes, los rasgos conductuales o de la personalidad, la lengua, la religión, la pertenencia a una minoría nacional o la orientación sexual o política.
El «sistema de identificación biométrica remota» (Considerando 17 del RIA) identifica a personas sin su participación activa, generalmente a distancia, y excluye sistemas de verificación biométrica. Los sistemas «en tiempo real» realizan la identificación instantáneamente, mientras que los sistemas «en diferido» lo hacen con demora.
El «sistema de reconocimiento de emociones» (Considerando 18 del RIA) distingue o deduce emociones o intenciones a partir de datos biométricos, excluyendo la detección de estados físicos como el dolor o el cansancio, y expresiones obvias a menos que se usen para deducir emociones:
El concepto se refiere a emociones o intenciones como la felicidad, la tristeza, la indignación, la sorpresa, el asco, el apuro, el entusiasmo, la vergüenza, el desprecio, la satisfacción y la diversión. No incluye los estados físicos, como el dolor o el cansancio, como, por ejemplo, los sistemas utilizados para detectar el cansancio de los pilotos o conductores profesionales con el fin de evitar accidentes. Tampoco incluye la mera detección de expresiones, gestos o movimientos que resulten obvios, salvo que se utilicen para distinguir o deducir emociones. Esas expresiones pueden ser expresiones faciales básicas, como un ceño fruncido o una sonrisa; gestos como el movimiento de las manos, los brazos o la cabeza, o características de la voz de una persona, como una voz alzada o un susurro.
4. Enfoque basado en el riesgo y Directrices éticas para una IA fiable
El enfoque basado en el riesgo es fundamental para establecer normas vinculantes eficaces, como recuerda el Considerando 27 del RIA. Las Directrices éticas para una IA fiable de 2019, elaboradas por el Grupo independiente de expertos d
