Nuevos retos en protección de datos: inteligencia artificial y Big Data

Publicado el 21-12-2022

En nuestra opinión, uno de los retos más grandes a los que va a tener que hacer frente la privacidad y la protección de datos, y que si no se hacen las cosas bien va a ser objeto de múltiples sanciones para los empresarios, es el uso de Inteligencia Artificial (IA) y Big Data.

Como es bien sabido, la Inteligencia Artifical (IA) es un conjunto de tecnologías que permiten a los ordenadores realizar tareas que implican una simulación de la inteligencia humana, incluida la toma de decisiones o el aprendizaje, mediante la recolección y análisis de grandes cantidades de datos (Big Data), entre los que puede haber datos personales.

Y es que la información es uno de los ejes que posibilitan el desarrollo de la sociedad, pero hay que velar siempre por que la recogida, almacenamiento, tratamiento etc. que se hace de esta, sea acorde a la legislación vigente en materia de protección de datos.

En particular, se hace imprescindible para evitar posibles sanciones el cumplir con los siguientes principios:

  • Legalidad y legitimidad: el tratamiento de los datos personales se hace conforme a lo establecido en la legislación vigente y el tratamiento de datos personales se realiza con pleno respeto de los derechos fundamentales de sus titulares. En este sentido, estaría prohibido el recopilar datos personales por medios ilícitos. Asimismo, el tratamiento de los datos debe fundarse en una de las seis bases legales establecidas en el artículo 6 del RGPD.
  • Consentimiento: para el tratamiento de datos personales se debe contar con el consentimiento del titular de dichos datos personales.
  • Finalidad: los datos personales no deben ser tratados para una finalidad distinta a la establecida en el momento de su recopilación.
  • Proporcionalidad: todo tratamiento de datos personales debe ser apropiado a la finalidad para la que éstos hubiesen sido recopilados, usando la información que sea imprescindible y suficiente, sin excesos.
  • Calidad: los datos personales que se tratan deben ser veraces, exactos y adecuados. Deben conservarse de forma tal que se garantice su seguridad y sólo por el tiempo necesario para cumplir con la finalidad del tratamiento.
  • Seguridad: el responsable y el encargado del tratamiento deben adoptar las medidas necesarias para garantizar la seguridad y confidencialidad de los datos personales que administran.
  • Nivel de protección adecuado: Para el flujo transfronterizo de datos personales, se debe garantizar un nivel suficiente de protección o, por lo menos, equiparable a lo previsto en el RGPD.
  • Minimización de datos: los datos personales deben ser adecuados, relevantes y limitados a lo que es necesario en relación con los fines para los cuales son procesados.

Asimismo, cobra especial relevancia la existencia de decisiones automatizadas, ya que en el RGPD se establece que “todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”.

De esto se desprende que el tratamiento de datos cuando se utiliza IA requiere de un procesamiento justo. En particular, lo que se pretende es que los sistemas de IA no produzcan sesgos.

Asimismo, va a ser muy relevante el cumplimiento normativo y la rendición de cuentas (“Accountability”). Y es que es imprescindible para evitar posibles sanciones el que aquellos que procesan datos personales establezcan una organización integral, políticas y procedimientos para garantizar que los datos personales se procesen de conformidad con el RGPD, y puedan demostrar esas políticas y procedimientos.

En este sentido, hay que mencionar que las autoridades de protección de datos han dirigido su atención a la IA y están proporcionando orientación específica sobre su uso responsable.

A modo de ejemplo, el Tribunal Provincial de la Haya dictaminó en febrero de 2020 que la aplicación “SyRI” que el gobierno holandés estaba utilizando para combatir el fraude fiscal, no cumplía con el Convenio Europeo de Derechos Humanos por desproporcionada, al usar más datos personales y tratarlos con IA de los necesarios respecto a los objetivos que buscaba alcanzar.

Asimismo, en febrero de 2020 un tribunal francés determinó que las escuelas que utilizaban tecnología de reconocimiento facial hacían un tratamiento de datos contrario al RGPD por desproporcionado.

Por último, hay que mencionar que la FTC estadounidense (Comisión Federal del Comercio) impuso a Facebook una sanción por valor de 5 mil millones de dólares por su gestión de la privacidad de los usuarios tras el escándalo de Cambridge Analytica. A través de encuestas aparentemente inofensivas en Facebook, se les pedían una serie de permisos a los usuarios, sin informar de qué datos se iban a recoger, cómo se iban a tratar, con qué finalidad y por quiénes, y se les acababa recogiendo información sobre la actividad del usuario, su ubicación y los contactos en la red. Unos 270 mil perfiles hicieron esta encuesta online, lo cual derivó en la recopilación de información de 50 millones de perfiles.

Este caso es un ejemplo claro de cómo se vulnera el principio de finalidad que rige el tratamiento de los datos personales, ya que, si bien Cambridge Analytica recababa el consentimiento para el tratamiento de datos personales para ciertos fines, la realidad era muy distinta, y la información que obtuvieron la desviaron para otros fines.

Y es que, como en este caso, el uso de IA y Big Data, cuando no se hace de manera correcta, puede servir para manipular psicológicamente a los usuarios.

El problema con la IA y el Big Data es que su valor reside precisamente en lo inesperado de los resultados que revelan. De esto se deriva que es posible que se recabe el consentimiento para tratar datos con una finalidad, y una vez procesados, el resultado al que se llega es distinto al que se pensaba inicialmente, y, por ende, la finalidad ha cambiado.

Otro problema derivado del anterior sería la reutilización de datos para finalidades distintas a las que se recabó el consentimiento. Una solución posible podría ser la anonimización de los datos, aunque esto no obsta para que, con las tecnologías ahora disponibles, pese a haber anonimizado los datos, estos sean reidentificables.