Anonimización y cumplimiento en el entrenamiento de IA sin vulnerar la protección de datos

Por Patricia Manso, abogada especializada en Derecho Corporativo y Tecnológico

Web: www.patriciamanso.com

LinkedIn: https://www.linkedin.com/in/patriciamanso/

En España el tratamiento de datos de usuarios que no sean personales (como datos de tráfico o compras anonimizados) para el desarrollo y entrenamiento de sistemas de inteligencia artificial no está sujeto a la normativa de protección de datos personales, pero sí requiere cumplir principios generales de licitud, transparencia, minimización y seguridad. Las empresas deben garantizar que los datos utilizados:

1. No son susceptibles de la aplicación de la normativa de protección de datos. Según la normativa de protección de datos podemos categorizar los datos en las siguientes tipologías:

• Datos personales: Información que identifica o puede identificar a una persona física. Incluye tanto la identificación directa (nombre, DNI) como indirecta (IP, hábitos de consumo).

• Datos seudonimizados: Siguen siendo datos personales, pero se han transformado para que solo puedan vincularse a una persona mediante información adicional separada y protegida.

• Datos anonimizados: Han sido tratados de forma irreversible, no es posible identificar a ninguna persona, ni directa ni indirectamente.

• Datos no personales: No se refieren a individuos identificados o identificables. Por lo tanto y bajo este prisma solo los datos no personales o anonimizados no estarían sujetos a la normativa de protección de datos en el entrenamiento de sistemas de IA. La cuestión sería que debemos asegurarnos de que los datos han sido anonimizados de forma robusta y que no existe riesgo de reidentificación, porque de ser posible la reversión del proceso de anonimización los datos anonimizados pasarían a ser datos personales y para el tratamiento de estos necesitaríamos base legítima. Esto es sin perjuicio que cualquier proceso de anonimización de datos debe ser diseñado desde el principio, documentado y revisado de forma constante (Real Decreto 817/2023). Sin embargo, me gustaría señalar que aquí estamos partiendo de una premisa y es que los datos nos han sido suministrados de forma anonimizada, porque si la empresa recoge los datos y luego los anonimiza para entrenar sus sistemas de IA si debería cumplir con la normativa de protección de datos, ya que esos datos serían datos personales hasta el proceso de anonimización. En este escenario, que es el mayoritario, las empresas en el momento de la recogida de los datos deberían obtener un consentimiento específico, granular e informado para la recogida, uso en sistemas de IA y posible cesión a terceros, cumpliendo con Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD) . La Agencia Española de Protección de Datos también ha subrayado (Rs NºPS-00334-2022 de 29 de agosto de la AEPD; Rs Nº AI-00166-2022 de 14 de abril de 2023 de la AEPD) la importancia de que el consentimiento sea expreso y verificable, especialmente en el contexto digital y de inteligencia artificial. Sin este consentimiento o sin una base legitimadora el tratamiento de datos sería ilícito y expone al responsable a sanciones administrativas muy graves.

2. Cumplen con los principios de minimización, seguridad y anonimización, incluso cuando no se trate de datos personales. Aunque se trate de datos no personales, debemos tratar los datos mínimos y necesarios para la finalidad perseguida, aplicar medidas técnicas y organizativas adecuadas para proteger la información, incluyendo sistemas de encriptación y controles de acceso y monitorizar continuamente la eficacia de los procesos por la introducción constante de datos. (Resolución Nº PS-00214-2022 de Agencia Española de Protección de Datos, 29 de Noviembre de 2022). Estas medidas constituyen buenas prácticas que pueden proteger a las empresas frente a riesgos legales, reputacionales y de seguridad.

3. Han sido obtenidos de modo lícito y transparente. Las empresas deben asegurarse de que los datos no personales o anonimizados han sido obtenidos de forma legítima, respetando los derechos de los titulares de las obras (en su caso) y, que los interesados conocen el uso que se va a realizar de los datos. De la misma forma, las empresas deben analizar un análisis integral de los posibles marcos regulatorios aplicables, en función de la tipología de los datos, con especial atención a la normativa de secretos empresariales, que les pudiera ser de aplicación. Si la obtención de los datos se ha producido de terceros es muy recomendable la firma de un acuerdo de transferencia de datos anonimizados que cubra todos los posibles riesgos legales en el uso de dichos datos.

Conclusiones:

El desarrollo y entrenamiento de sistemas de inteligencia artificial en España utilizando datos de usuarios que no son personales, pero sí de tráfico o compras, implica riesgos legales que van más allá de la protección de datos personales. Las empresas deben garantizar que los datos utilizados sean de alta calidad, pertinentes y representativos, y que se adopten medidas para proteger la intimidad de los sujetos, incluso cuando los datos no sean identificativos. Además, si estos datos constituyen secretos empresariales, su protección y uso indebido pueden dar lugar a acciones legales bajo la ley de Secretos Empresariales. Por otro lado, la responsabilidad por daños causados por sistemas de IA sigue siendo un riesgo relevante, especialmente si no se cumplen los requisitos de seguridad o no se mantienen registros adecuados que permitan rastrear el origen de los datos y el funcionamiento del sistema. La dificultad de demostrar la causalidad entre los datos de entrenamiento y el comportamiento de la IA puede complicar la defensa en caso de reclamaciones por daños. En consecuencia, las empresas deben implementar medidas técnicas, organizativas y jurídicas para mitigar estos riesgos y cumplir con la normativa aplicable.