El European Data Protection Board (EDPB), o Comité Europeo de Protección de Datos, que es la entidad que agrupa a las agencias de protección de datos de los Estados miembros de la UE, ha publicado esta semana un informe donde se analizan las múltiples complejidades y particularidades del desarrollo de modelos de inteligencia artificial modernos. Lo más interesante, sin embargo, es que en el documento se plantea la posibilidad de permitir el uso de datos personales sin el consentimiento de sus titulares para entrenar modelos, siempre y cuando la aplicación final no revele ninguna de esa información privada.
El documento es la respuesta a una petición realizada el pasado mes de septiembre por la Autoridad de Protección de Datos de Irlanda (DPC) en la búsqueda de una armonización regulatoria a nivel europeo. La DPC pidió al CEPD que respondiera a la siguiente pregunta: «¿Se considera que el modelo de IA final, que ha sido entrenado utilizando datos personales, en todos los casos no cumple con la definición de datos personales (según lo establecido en el Artículo 4(1) del RGPD)?”.
El grupo ha reconocido ahora que existen matices en torno a los datos personales. Por ejemplo, señaló el informe del CEPD, puede haber una diferencia si los datos personales han sido puestos a disposición pública y si “las personas son realmente conscientes de que sus datos personales están en línea”.
Probablemente, la parte más significativa del informe reconoce que, en ocasiones, los datos personales, incluso sin consentimiento explícito, aún pueden ser utilizados en el entrenamiento y estar en cumplimiento con las normas del RGPD de la Unión Europea (UE), siempre que no surjan datos especialmente sensibles en las respuestas dadas por el producto final.
Para garantizar un uso ético de los datos personales en el desarrollo de la IA, el CEPD ha establecido un marco claro. Las empresas deben demostrar que tienen un interés legítimo justificado, que el procesamiento de datos es estrictamente necesario y que los derechos de las personas están protegidos. La transparencia es clave: las personas deben ser informadas sobre cómo se usan sus datos. Aunque el CEPD proporciona directrices, la evaluación final de cada caso corresponde a las autoridades nacionales de protección de datos.
