En el caso de una base de datos que sirva para entrenar o validar una herramienta de IA, existe una obligación especialmente relevante de informar a los interesados de que sus datos podrían dar lugar a la toma de decisiones automatizadas o a la elaboración de perfiles sobre ellos, a menos que los responsables puedan garantizar que la herramienta no producirá en modo alguno estas consecuencias. La elaboración de perfiles es especialmente problemática en el desarrollo de IA. Esto se debe a una sencilla razón: el proceso de elaboración de perfiles es “a menudo invisible para el interesado. Funciona creando datos derivados o inferidos sobre las personas, es decir, “nuevos” datos personales que no han sido proporcionados directamente por los propios interesados. Los individuos tienen diferentes niveles de comprensión y pueden encontrar difícil entender las complejas técnicas que implican los procesos de elaboración de perfiles y de toma de decisiones automatizadas.” Así, “si el responsable del tratamiento prevé un “modelo” en el que toma únicamente decisiones automatizadas que tienen un gran impacto sobre las personas, basadas en perfiles elaborados sobre ellas, y no puede basarse en el consentimiento de la persona, en un contrato con ella o en una ley que lo autorice, el responsable no debe proceder.” El riesgo para los derechos, intereses y libertades de la persona es un factor muy importante que debe considerarse siempre. No es lo mismo un perfil que se realiza para tomar una decisión sobre el gusto de alguien por las series de televisión, que el que se elabora para aprobar su póliza de seguro médico. Así pues, si el tratamiento presenta riesgos para los derechos y libertades fundamentales de las personas, los responsables deben garantizar que pueden hacer frente a estos riesgos y cumplir los requisitos.

Si el tratamiento y/o la toma de decisiones automatizada se producen, los interesados deben ser informados adecuadamente sobre ese tratamiento y el funcionamiento del algoritmo. En otras palabras, su derecho a la información debe ser satisfecho en aplicación del principio de licitud, lealtad y transparencia. Esto significa que, como mínimo, los responsables del tratamiento deben informar al interesado de que “están llevando a cabo este tipo de actividad, proporcionarle información significativa sobre la lógica implicada y el significado y las consecuencias previstas de la elaboración de perfiles para el interesado.”

La información sobre la lógica de un sistema y las explicaciones de las decisiones deben proporcionar a los individuos el contexto necesario para decidir si desean solicitar una intervención humana y por qué motivos. En algunos casos, unas explicaciones insuficientes pueden hacer que los individuos recurran a otros derechos innecesariamente, o que retiren su consentimiento. Las solicitudes de intervención, la expresión de opiniones o las impugnaciones tienen más probabilidades de producirse si las personas no comprenden suficientemente cómo se ha llegado a la decisión.

Por último, el responsable del tratamiento debe recordar siempre que, según el apartado 3 del artículo 22, las decisiones automatizadas que afectan a categorías especiales de datos personales sólo están permitidas si el interesado ha dado su consentimiento, o si se llevan a cabo sobre una base jurídica legitimadora (véase la sección “Acción y supervisión humanas”). Esta excepción se aplica no sólo cuando los datos observados entran en esta categoría, sino también si la alineación de diferentes tipos de datos personales puede revelar información sensible sobre las personas o si los datos inferidos entran en esa categoría.  En todos estos casos, debemos hablar de tratamiento de categorías especiales de datos personales. De hecho, un estudio capaz de inferir categorías especiales de datos está sujeto a las mismas obligaciones legales en virtud del RGPD que si se hubieran tratado datos personales sensibles desde el principio. Si la elaboración de perfiles infiere datos personales que no fueron proporcionados por el interesado, los responsables del tratamiento deben asegurarse de que el tratamiento no es incompatible con la finalidad original, de que han identificado una base legal para el tratamiento de los datos de categoría especial y de que informan al interesado sobre el tratamiento. 

Cuadro 17: Ejemplo de inferencia de categorías especiales de datos Una investigación demostró en 2011 que los registros digitales de comportamiento fácilmente accesibles: los “me gusta” de Facebook, podían utilizarse para predecir automáticamente y con precisión una serie de atributos personales muy sensibles, como la orientación sexual, la etnia, las opiniones religiosas y políticas, los rasgos de personalidad, la inteligencia, la felicidad, el consumo de sustancias adictivas, la separación de los padres, la edad y el sexo. El análisis se basó en un conjunto de datos de más de 58.000 voluntarios que proporcionaron sus “me gusta” de Facebook, perfiles demográficos detallados y los resultados de varias pruebas psicométricas. El modelo discriminó correctamente entre hombres homosexuales y heterosexuales en el 88% de los casos, entre afroamericanos y caucásicos en el 95%, y entre demócratas y republicanos en el 85%. En el caso del rasgo de personalidad “Franqueza”, la precisión de la predicción se aproximó a la de un test de personalidad estándar. Los autores ofrecen ejemplos de asociaciones entre atributos y “me gusta” y discuten las implicaciones para la personalización y la privacidad en línea.

La realización de un EIPD es obligatoria si existe un riesgo real de elaboración de perfiles o de toma de decisiones automatizadas no autorizadas. El artículo 35, apartado 3, letra a), del RGPD establece la necesidad de que el responsable del tratamiento lleve a cabo un EIPD en el caso de una evaluación sistemática y amplia de los aspectos personales relativos a las personas físicas que se base en el tratamiento automatizado, incluida la elaboración de perfiles, y en la que se basen decisiones que produzcan efectos jurídicos sobre la persona física o que la afecten significativamente de manera similar. Los responsables del tratamiento deben ser conscientes de que, en la actualidad, cada país ha presentado sus listas de cuándo se requiere una EIPD a la OEPD. Si el responsable del tratamiento se encuentra en el EEE, esta lista también debe verificarse localmente.

Según el artículo 37, apartado 1, letra b), y apartado 5 del RGPD, los responsables del tratamiento designarán un delegado de protección de datos cuando “las actividades principales del responsable o del encargado del tratamiento consistan en operaciones de tratamiento que, por su naturaleza, alcance y/o fines, requieran un seguimiento regular y sistemático de los interesados a gran escala”. Los responsables del tratamiento también deben mantener un registro de todas las decisiones tomadas por un sistema de IA como parte de sus obligaciones de responsabilidad y documentación. Esto también debe incluir si un individuo solicitó la intervención humana, expresó cualquier opinión, impugnó la decisión, y si una decisión ha sido modificada como resultado (Véase la sección “Responsabilidad proactiva” en el capítulo “Principios”.).

Algunas acciones adicionales que pueden ser muy útiles para evitar la toma de decisiones automatizada son las siguientes:

• Considerar los requisitos del sistema necesarios para apoyar una supervisión humana significativa desde la fase de diseño. En particular, los requisitos de interpretabilidad y el diseño eficaz de la interfaz de usuario para apoyar las supervisión e intervención humanas.
• Diseñar e impartir la formación y el apoyo adecuados para los agentes humanos a cargo de la supervisión.
• Dar al personal la autoridad, los incentivos y el apoyo adecuados para abordar o elevar las preocupaciones de los individuos y, si es necesario, anular la decisión del sistema de IA.