Intel·ligència artificial: un mitjà per al tractament de dades personals


Manuel Castilleja Toscano     04/12/2025


Pel que fa al compliment de la normativa de protecció de dades (RGPD i LOPDGDD), qualsevol sistema que estigui basat en intel·ligència artificial (IA) hauria de tenir en compte, entre d'altres, les qüestions següents:

1. Sistemes que incorporen IA sense tractar dades personals

  • No tots els sistemes que incorporen IA suposen un tractament de dades personals (per exemple: model de predicció meteorològic que recull dades d'estacions distribuïdes en un territori determinat).
  • Si no suposa un tractament de dades personals no serà aplicable la normativa de protecció de dades (RGPD i LOPDGDD) però sí el Reglament d'Intel·ligència artificial (RIA) al sistema.

2. Sistemes que incorporen IA amb tractament de dades personals

  • Un sistema que incorpora IA no és en si mateix un tractament de dades personals, és una eina o un mitjà que permet tractar aquestes dades personals per a unes finalitats determinades.
  • Hi pot haver etapes del cicle de vida del sistema que incorpora IA (entrenament, validació, desplegament, explotació i retirada) en què es tractin dades personals i d'altres en què no, en què es tractin serà aplicable la normativa de protecció de dades.
  • Quan s'utilitzi IA per a la presa de decisions basades únicament en tractaments automatitzats (sense intervenció humana), inclosa l'elaboració de perfils, que produeixi efectes jurídics en una persona física o l'afecti significativament de manera similar, també se li aplicarà la normativa de protecció de dades.
  • Qualsevol sistema que incorpori IA en què es tractin de dades personals, haurà de complir amb tot allò exigit pel RGPD, que podríem resumir en els principis relatius al tractament de l'art. 5 RGPD.

PRINCIPIS RELATIUS AL TRACTAMENT

  • Licitud i lleialtat (art. 5.1.a RGPD)
    • Comptar amb una base jurídica de les arts. 6.1 RGPD que legitimi el tractament per als fins que es pretenen.
    • Si suposa una transferència internacional comptar amb alguna de les habilitacions perquè siguin lícites contemplades al Capítol V del RGPD.
    • Si es tracten dades de categoria especial fer-ho només amb alguna de les excepcions a la prohibició del tractament regulades a l'art. 9.2 RGPD.
    • Si suposen decisions basades únicament en tractaments automatitzats (sense intervenció humana), inclosa l'elaboració de perfils, que afecten persones físiques produint-li efectes jurídics o afectant-los significativament de manera similar, dur-les a terme només quan:
      • Estigui basada en el consentiment explícit de l'interessat.
      • Sigui necessària per a la realització o execució d'un contracte entre l'interessat i un responsable del tractament.
      • Estigui autoritzada per una llei que s'apliqui al responsable del tractament i que estableixi així mateix mesures adequades per salvaguardar els drets i les llibertats i els interessos legítims de l'interessat.

En els dos primers casos, el responsable del tractament adoptarà les mesures adequades per salvaguardar els drets i les llibertats i els interessos legítims de l'interessat, com a mínim el dret a obtenir intervenció humana per part del responsable, a expressar el seu punt de vista ia impugnar la decisió.

En tots tres casos les decisions no es basaran en les categories especials de dades personals, llevat que s'apliqui el 9.2 a) o g) RGPD, i s'hagin pres mesures adequades per salvaguardar els drets i les llibertats i els interessos legítims de l'interessat.

  • Transparència (art. 5.1.a RGPD)
  • Facilitar la informació relativa al tractament que exigeix ??l'art. 13 i/o 14 RGPD de manera que sigui accessible i fàcil d'entendre, i que s'utilitzi un llenguatge senzill i clar (art. 12 RGPD)
  • Limitació de la finalitat (art. 5.1.b RGPD)
  • No tratar los datos de manera incompatible con los fines para los que fueron recabados.
  • Minimitzación de dades (art. 5.1.c RGPD)
  • Tractar només les dades adequades, pertinents i limitades al que és necessari en relació amb les finalitats per a les quals han estat demanades i no s'han de tractar si el que es pretén pogués aconseguir raonablement per altres mitjans.
  • Exactitut (art. 5.1.d RGPD)
  • Les dades personals tractades han de ser exactes i, si cal, actualitzades; s'adoptaran totes les mesures raonables perquè se suprimeixin o rectifiquin sense dilació les dades personals que siguin inexactes respecte a les finalitats per a les quals es tracten.
  • Limitació del termini de conservació (art. 5.1.e RGPD)
  • No conservar les dades més temps del necessari per a les finalitats per a les quals van ser recollides. Cal garantir que el termini de conservació es limiti a un mínim estricte. Per garantir no es conserven més temps del necessari, el responsable del tractament ha d'establir terminis per suprimir-los o revisar-los periòdicament.
  • Integritat i confidencialitat (art. 5.1.f RGPD)
  • Garantir una seguretat adequada de les dades, inclosa la seva protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant laplicació de mesures tècniques o organitzatives apropiades.
  • Per a l'adopció d'aquestes mesures apropiades, que a més s'han de revisar i actualitzar quan calgui, cal analitzar i avaluar els riscos que el tractament d'aquestes dades personals suposi per a l'interessat (art. 24, 25 i 32 RGPD).
  • Quan el tractament suposi un alt risc per a linteressat, shaurà de dur a terme de manera prèvia a linici del mateix una avaluació dimpacte (EIPD) (art. 35 RGPD); si després de l'EIPD el risc continua sent alt i no es disposa de mesures per reduir-lo, cal consultar-lo a l'autoritat de control (AC) abans d'iniciar el tractament (art. 36 RGPD).
  • Quan es produeixi una bretxa de seguretat, a més de notificar-la a l'AC si suposa un risc per als interessats afectats i comunicar-la als mateixos afectats si aquest risc és alt, s'han d'adoptar noves mesures per posar remei a la bretxa i per mitigar els possibles efectes negatius que aquesta suposi (art. 33 i 34 RGPD).
  • Adoptar les mesures tècniques i organitzatives que es determinin de la gestió de riscos, i dins de les organitzatives, són obligatòries:
    • Quan dos o més responsables determinin conjuntament els fins i els mitjans del tractament (Corresponsables) determinaran de manera transparent i de mutu acord les seves responsabilitats respectives en el compliment de les obligacions imposades pel RGPD (art. 26 RGPD).
    • Quan l'organització estigui establerta fora de la UE però li sigui aplicable el RGPD, designarà per escrit un representant a la UE (art. 27 RGPD).
    • Només cal triar encarregats de tractament que ofereixin suficients garanties per aplicar mesures de manera que el tractament sigui conforme al RGPD, encàrrec que s'ha de regular a través d'un contracte (art. 28 RGPD).
    • Es donaran indicacions a través de polítiques i/o protocols a qualsevol persona que actuï sota l'autoritat de l'organització i tingui accés a dades personals perquè només tractin aquestes dades seguint instruccions de l'organització (art. 29 RGPD).
    • Cada organització ha de portar un registre de les activitats de tractament efectuades sota la seva responsabilitat i un altre de les efectuades per compte duna altra entitat (art. 30 RGPD).
    • Cooperar amb l'AC quan ho sol·licite en l'exercici de les seues funcions (art. 31 RGPD).
    • Designar un DPO sempre que es donin les circumstàncies en què la normativa hi obligui (art. 37, 38 i 39).
  • Responsabilitat proactiva (art. 5.2 RGPD)
    • No només hem de complir els principis anteriorment relacionats, sinó que a més hem de ser capaços de demostrar que els complim.