CEPD: Dictamen sobre com els principis del RGPD donen suport a una IA responsable


Manuel Castilleja Toscano     19/12/2024


DICTAMEN 28/2024 SOBRE ELS MODELS D'IA: ELS PRINCIPIS DEL RGPD RECOLZEN LA IA RESPONSABLE

Accés al Dictamen a la pàgina del CEPD: https://www.edpb.europa.eu/news/news/2024/edpb-opinion-ai-models-gdpr-principles-support-responsible-ai_en

El Comitè Europeu de Protecció de Dades (CEPD/EDPB) a sol·licitud de l'Autoritat de Control Irlandesa d'acord amb l'art. 64.2 RGPD, ha emès un dictamen sobre l'ús de dades personals per al desenvolupament i la implantació de models d'intel·ligència artificial (IA), en què s'aborda:

1) Quan i com es poden considerar anònims els models d'IA.

El dictamen assenyala que si un model d'IA és anònim s'ha d'avaluar cas per cas per les autoritats de control (AC). Perquè un model sigui considerat anònim, ha de ser molt improbable que:

  • Permet identificar directament o indirectament les persones les dades de les quals es van utilitzar per crear el model, i
  • Que es puguin extreure aquestes dades personals del model mitjançant consultes.

El dictamen inclou una llista no prescriptiva i no exhaustiva de mètodes per acreditar l'anonimització.

2) Si l'interès legítim es pot utilitzar com a base jurídica per desenvolupar o utilitzar models d'IA i, si escau, com s'aplicaria.

Proporciona consideracions generals que les AC han de tenir en compte en avaluar si l'interès legítim és una base jurídica adequada per tractar dades personals en el desenvolupament i la implementació de models de IA.

Un test o prova de tres passos (finalitat, necessitat i equilibri) ajuda a avaluar l'ús de l'interès legítim com a base jurídica.

El CEPD ofereix com a exemples que es poden basar en l'interès legítim, ja que poden ser beneficiosos per a les persones si es demostra que el tractament és estrictament necessari i es respecta l'equilibri de drets:

  • Un agent conversacional per assistir usuaris.
  • L'ús d'IA per millorar la ciberseguretat.

L'opinió també inclou una sèrie de criteris per ajudar les AC a avaluar si les persones poden esperar raonablement certs usos de les vostres dades personals. Aquests criteris inclouen:

  • Si les dades personals eren públiques o no.
  • La naturalesa de la relació entre l'interessat i el responsable del tractament
  • La naturalesa del servei.
  • El context en què es van demanar les dades personals.
  • La font de procedència de les dades personals.
  • Els possibles usos futurs del model.
  • Si els interessats són conscients que les vostres dades personals estan disponibles en línia.

Si la prova d'equilibri mostra que el tractament no s'ha de fer a causa de l'impacte negatiu a les persones, les mesures de mitigació poden limitar aquest impacte negatiu.

El dictamen inclou una llista no exhaustiva d'exemples d'aquestes mesures atenuants, que poden ser de caràcter tècnic, o facilitar a les persones l'exercici dels seus drets o augmentar la transparència.

3) Què passa si es desenvolupa un model d'IA utilitzant dades personals tractades il·lícitament.

Desenvolupar un model d'IA amb dades personals tractades il·lícitament podria tenir un impacte en la legalitat del seu desplegament, llevat que el model hagi estat degudament anonimitzat.

Tenint en compte l'abast de la sol·licitud de l'AC irlandesa, la gran diversitat de models d'IA i la seva evolució ràpida, el dictamen pretén oferir orientacions sobre diversos elements que es poden utilitzar per dur a terme una anàlisi cas per cas.