Observación general: afrontar las cuestiones correspondientes a la puesta en común de los datos personales
Home » IA » IA: el proceso paso a paso » Despliegue » Observación general: afrontar las cuestiones correspondientes a la puesta en común de los datos personales

En el momento de la distribución del sistema de IA, si éste incorpora datos personales, será necesario:

  • Suprimirlos o, por el contrario, justificar la imposibilidad de hacerlo, total o parcialmente por la degradación que supondría para el modelo (ver el apartado ‘Limitación de almacenamiento’ en el capítulo ‘Principios’).
  • Determinar la base jurídica legitimadora para llevar a cabo la comunicación de datos personales a terceros, especialmente si se trata de categorías especiales de datos (véase el apartado “Licitud” en la sección “Licitud, lealtad y transparencia”).
  • Informar a los interesados del tratamiento anterior.
  • Demostrar que se han aplicado las políticas de protección de datos por diseño y por defecto (especialmente la minimización de datos).
  • En función de los riesgos que pueda suponer para los interesados y teniendo en cuenta el volumen o las categorías de datos personales que se vayan a utilizar, debe considerarse la posibilidad de realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD).

En principio, una vez puesto en marcha el modelo, los datos de entrenamiento se eliminan del algoritmo y el modelo sólo tratará los datos personales a los que se aplique. El responsable podría conservar los datos del interesado para la personalización del servicio que ofrece la solución de IA. Sin embargo, una vez finalizado este servicio, estos datos deberán ser eliminados.

El desarrollador de la solución de IA debe asegurarse de que el algoritmo no incluya datos personales de forma oculta (o tomar las medidas necesarias si esto es inevitable). En cualquier caso, el desarrollador debe realizar una evaluación formal en la que se valore qué datos personales de los interesados podrían ser identificables. Esto puede ser complicado en ocasiones. Por ejemplo, algunas soluciones de IA, como las Vector Support Machines (VSM), podrían contener ejemplos de los datos de entrenamiento por diseño dentro de la lógica del modelo. En otros casos, se pueden encontrar patrones en el modelo que identifiquen a un individuo único. En todos estos casos, las partes no autorizadas pueden ser capaces de recuperar elementos de los datos de entrenamiento, o inferir quién estaba en ellos, analizando la forma en que se comporta el modelo.

En tales condiciones, podría ser difícil garantizar que los interesados puedan ejercer y cumplir sus derechos de acceso, rectificación y supresión. En efecto, “a menos que el interesado presente pruebas de que sus datos personales pueden inferirse del modelo, el responsable no podrá determinar si los datos personales pueden inferirse y, por tanto, si la solicitud tiene algún fundamento.” Sin embargo, los responsables del tratamiento deben tomar medidas periódicas para evaluar de forma proactiva la posibilidad de que los datos personales se infieran de los modelos a la luz de la tecnología más avanzada, de modo que se minimice el riesgo de divulgación accidental. Si estas acciones revelan una posibilidad sustancial de divulgación de datos, deberán aplicarse las medidas necesarias para evitarla (véase la sección “Integridad y confidencialidad” en el capítulo “Principios”).

Ir al contenido