Guía de adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial

• Autor: Agencia Española de Protección de Datos

Adecuación al RGPD de

tratamientos que

incorporan Inteligencia

Artificial.

Una introducción

Febrero de 2020

Página: 2 de 53

RESUMEN EJECUTIVO

Este documento tiene como objetivo ser una primera aproximación para la adecuación al

Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) de productos y

servicios que incluyan componentes de Inteligencia Artificial. Bajo la etiqueta “Inteligencia

Artificial”, o IA, subyacen muchos tipos de soluciones que emplean distintas técnicas,

destacando entre ellas las basadas en aprendizaje automático. La IA ha se ha convertido en

un componente más de los tratamientos de datos realizados por los responsables y que, en

muchos casos, aparece en forma de soluciones desarrolladas por terceros. La Inteligencia

Artificial genera muchas dudas entre los usuarios, investigadores, especialistas, autoridades

y la industria con relación a aspectos de cumplimiento normativo, respeto a los derechos de

los interesados y seguridad jurídica de todos los intervinientes. Estas dudas representan una

dificultad para el correcto desarrollo tecnológico.

El presente documento no pretende realizar un repaso exhaustivo a lo establecido en el

RGPD, pero sí abordar las dudas planteadas en el marco de protección de datos de carácter

personal y señalar los aspectos más relevantes en la relación IA-RGPD que deben ser

tenidos en cuenta desde el diseño y en la implementación de tratamientos que incluyan IA.

En el documento se prestará especial atención, entre otros, a la legitimación para el

tratamiento, la información y transparencia, el ejercicio de derechos, las decisiones

automatizadas, la exactitud, la minimización de datos, la evaluación de impacto y el análisis

de la proporcionalidad del tratamiento. El texto está dirigido a responsables que incluyan

componentes de IA en sus tratamientos, así como desarrolladores, encargados u otros, que

den soporte a dichos tratamientos.

Palabras clave: Inteligencia artificial, IA, RGPD, LOPDGDD, derechos, privacidad, ética,

protección de datos, diseño, evaluación de impacto, aprendizaje automático, machine

learning, ML, decisiones automatizadas, minimización, transparencia, exactitud, sesgo.

Página: 3 de 53

ÍNDICE

I. INTRODUCCIÓN AL MARCO IA Y PROTECCIÓN DE DATOS 5

A. Técnicas de IA 5

B. Tratamientos con componentes de IA 6

C. Protección de datos y la dimensión ética 7

D. Definiciones en el RGPD 8

Objeto del RGPD 8

Dato personal 8

Seudonimización y anonimizacion 9

Categorías especiales de datos 9

Tratamiento 9

Perfilado 10

Decisiones automatizadas 10

Usuarios de la solución IA 10

Responsable 11

Corresponsable 11

Encargado 11

Excepción doméstica 11

E. Ciclo de vida de un solución IA 11

F. Tratamientos de datos personales usando IA 12

G. Evaluación de las soluciones IA 15

H. Breve resumen de obligaciones que establecen el RGPD 15

II. ROLES, RELACIONES Y RESPONSABLES 17

III. CUMPLIMIENTO 20

A. Legitimación y limitación del tratamiento 20

Interés legítimo 22

Categorías especiales 22

Tratamientos con fines compatibles 23

B. Información 23

Información significativa sobre la lógica aplicada 24

C. Generalidades sobre los ejercicios de derechos 24

D. Derecho de Acceso 25

E. Derechos de Supresión 25

Limitaciones a la supresión. 26

F. Bloqueo de los datos 26

G. Derecho de Rectificación 27

H. Portabilidad 27

I. Toma de decisiones basadas únicamente en un tratamiento automatizado 28

IV. GESTIÓN DEL RIESGO PARA LOS DERECHOS Y LIBERTADES 30

A. Evaluación del Nivel de Riesgo 30

B. La Evaluación de Impacto de la Privacidad - EIPD 31

C. Transparencia 33

Durante la etapa de entrenamiento 33