El Comité Europeo de Protección de Datos (en adelante, “EDPB”, por sus siglas en inglés), ha publicado su Opinion 28/2024, sobre el tratamiento de datos personales por los sistemas de IA (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models).
En el marco de una consulta de la Autoridad Irlandesa, el Dictamen del EDPB se pronuncia sobre las siguientes cuestiones: A) cuándo pueden considerarse anónimos los modelos de IA, y los requisitos que deben reunir para ser considerados como tal; B) la utilización del interés legítimo como base jurídica para desarrollar o utilizar modelos de IA y, C) qué ocurre si un modelo de IA se desarrolla utilizando datos personales que se han tratado de forma ilícita.
- Modelos de IA anónimos: El Dictamen del EDPB establece que un modelo de IA solo puede considerarse anónimo si la probabilidad de identificar a las personas cuyos datos se usaron o de recuperar esos datos personales mediante consultas es insignificante, considerando los medios razonablemente previsibles. Asimismo, el EDPB propone en su Dictamen métodos orientativos, no vinculantes, ni exhaustivos para probar el anonimato de un sistema de IA.
- Interés legítimo como base jurídica: El Dictamen del EDPB establece que la determinación de la base jurídica del tratamiento corresponde, en todo caso, al Responsable del mismo, y que, en cualquier caso, el interés legítimo como base de licitud requiere las tres condiciones acumulativas siguientes: (i) la persecución de un interés legítimo por parte del responsable del tratamiento o de un tercero; (ii) que el tratamiento sea necesario para perseguir el interés legítimo; y (iii) que el interés legítimo no prevalezca sobre los intereses o los derechos y libertades fundamentales de los interesados.
- Modelos de IA desarrollados a través de datos personales utilizados de manera ilícita: El Dictamen del EDPB señala que serán las autoridades nacionales las que tengan discrecionalidad para valorar las infracciones derivadas del tratamiento ilícito de datos personales en el desarrollo de modelos de IA y para determinar las medidas adecuadas, necesarias y proporcionales según las circunstancias de cada caso.
