La imparcialidad es un concepto esencial en la protección de datos (véase la subsección “Imparcialidad” en la sección “Legalidad, imparcialidad y transparencia” de los “Principios”, así como “Derechos de los interesados”, ambas dentro de la Parte II de estas Directrices), que difícilmente puede alcanzarse sin ser conscientes de que el desarrollo de herramientas de IA puede perjudicar los intereses, derechos y libertades de los interesados. Por eso tiene sentido garantizar que se apliquen las salvaguardias adecuadas, no sólo para evitar consecuencias injustas, sino también para proporcionar a los interesados derechos exigibles que garanticen una protección adecuada contra el tratamiento injusto.

En esta sección, exploramos cómo los derechos clave reconocidos por el GDPR se aplican al marco de desarrollo de la IA. Para ello, nos centraremos en algunos derechos especialmente relevantes en este ámbito: (a) derecho a la información (b) derecho de acceso; (c) derecho a la portabilidad de los datos; (d) derecho de rectificación; y (e) derecho de supresión; y (f) derecho de oposición.

Sin embargo, antes de considerar esta posibilidad, los investigadores deben comprobar si su investigación podría considerarse investigación científica con arreglo al artículo 89 del RGPD. Esto es sumamente importante: si este es el caso, la legislación de la UE o de los Estados miembros puede prever excepciones a los derechos contemplados en los artículos 15, 16, 18 y 21 (dirección, rectificación, restricción y oposición – e, indirectamente, portabilidad). Dichas excepciones están sujetas a las condiciones y garantías contempladas en el apartado 1 del artículo 89, en la medida en que dichos derechos puedan hacer imposible o perjudicar gravemente la consecución de los fines específicos, y dichas excepciones sean necesarias para el cumplimiento de dichos fines (véase la sección “Protección de datos e investigación científica” en los “Conceptos principales”, Parte II de las presentes Directrices).

a) Derecho a la información

Según el artículo 13 del RGPD, antes de tratar los datos personales, el responsable del tratamiento debe proporcionar a los interesados información completa sobre el tratamiento y sus derechos en un formato comprensible. Si “el responsable del tratamiento tiene la intención de tratar posteriormente los datos personales para un fin distinto de aquel para el que se recogieron los datos personales, el responsable del tratamiento facilitará al interesado, antes de dicho tratamiento posterior, información sobre ese otro fin y cualquier otra información pertinente” (artículo 13, apartado 3).

No obstante, los responsables del tratamiento están exentos de facilitar información a los interesados si: la facilitación de dicha información resulta imposible; supone un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos; o la obligación de facilitar información puede hacer imposible o perjudicar gravemente la consecución de los objetivos de dicho tratamiento. En tales circunstancias, los responsables del tratamiento deben tomar las medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, incluida la puesta a disposición del público de la información. No obstante, esta excepción está condicionada a la adopción de las garantías impuestas por el artículo 89 (véase el apartado “Protección de datos e investigación científica” de la sección “Conceptos principales” de la Parte II de las presentes directrices).

b) Derecho de acceso

El derecho de los interesados a acceder a sus datos debe estar garantizado en todas las etapas del ciclo de vida de una herramienta de IA. Se anima a los responsables del tratamiento a que apliquen las medidas técnicas adecuadas para garantizar que el interesado pueda acceder fácilmente a dichos datos. De hecho, el artículo 15 del RGPD otorga al interesado el derecho a obtener detalles de cualquier dato personal utilizado para la elaboración de perfiles, incluidas las categorías de datos utilizadas para construir un perfil. Además, de conformidad con el artículo 15, apartado 3, el responsable del tratamiento tiene la obligación de facilitar los datos utilizados para crear el perfil, así como el acceso a la información sobre el perfil y los detalles sobre los segmentos en los que se ha incluido al interesado. Del mismo modo, el considerando 63 del RGPD establece que “siempre que sea posible, el responsable del tratamiento debe poder proporcionar acceso remoto a un sistema seguro que permita a los interesados acceder directamente a sus datos personales”. Esto incluye los datos observados, derivados e inferidos. ^[1]

Cuadro 7. La cuestión de los datos inferidos Una de las cuestiones más urgentes a las que nos enfrentamos en el ámbito de la IA es la situación concreta de los datos inferidos. Se trata de datos que no son facilitados por los interesados, sino que se les “atribuyen” a partir de datos disponibles, ya sean de las mismas personas o de otras. A veces, estos datos inferidos proporcionan información sobre una persona identificable. Independientemente de que esta información sea exacta o no, estos datos deben considerarse datos personales y, por tanto, se les aplica el RGPD. En consecuencia, deben respetarse estrictamente los derechos de los interesados, incluido el derecho de acceso a dichos datos.[2] No obstante, como se expone en otra parte de estas Directrices, los datos inferidos no están incluidos en el derecho a la portabilidad (véase “Derecho a la portabilidad” en la sección “Derechos del interesado” de la Parte II de estas Directrices).

Uno de los principales problemas que plantea el tratamiento de la IA y los macrodatos es que el derecho de acceso puede, en ocasiones, chocar con el interés de una empresa en mantener sus secretos comerciales. De hecho, el considerando 63 del RGPD ofrece cierta protección a los responsables del tratamiento que no estén dispuestos a desvelar secretos comerciales o propiedad intelectual, lo que puede ser especialmente pertinente en relación con la elaboración de perfiles.^[3] Sin embargo, los desarrolladores de IA no pueden basarse en la protección de sus secretos comerciales como excusa para denegar el acceso o negarse a facilitar información a los interesados. En su lugar, las organizaciones deben encontrar soluciones pragmáticas.^[4]

El derecho de acceso puede ser más o menos aplicable, dependiendo de la fase del ciclo de vida en la que se encuentre el desarrollo de la IA. Por ejemplo, proporcionar acceso a los datos de entrenamiento a un interesado individual puede ser difícil, ya que normalmente sólo incluyen información relevante para las predicciones (por ejemplo, transacciones anteriores, datos demográficos, ubicación), pero no datos de contacto o identificadores únicos de clientes. Además, suelen estar preprocesados para que sean más fáciles de utilizar con algoritmos de aprendizaje automático. Sin embargo, esto no significa en absoluto que estos datos puedan considerarse anónimos. Por tanto, siguen siendo datos personales. Por ejemplo, en el caso de un modelo de predicción de compras, el entrenamiento podría incluir un patrón de compras exclusivo de un cliente. En este ejemplo, si un cliente proporcionara una lista de sus compras recientes como parte de su solicitud, la organización podría identificar la parte de los datos de entrenamiento que se refiere a esa persona.

En tales circunstancias, los responsables del tratamiento deben responder a la solicitud de los interesados de acceder a sus datos personales, siempre que hayan tomado medidas razonables para verificar la identidad del interesado y no se apliquen otras excepciones. Y, como afirma la OIC, “las solicitudes de acceso, rectificación o supresión de datos de formación no deben considerarse manifiestamente infundadas o excesivas sólo porque puedan ser más difíciles de satisfacer o la motivación para solicitarlas pueda ser poco clara en comparación con otras solicitudes de acceso que una organización suele recibir”.^[5] Sin embargo, las organizaciones no tienen que recopilar o conservar datos personales adicionales para permitir la identificación de los interesados en los datos de formación con el único fin de cumplir el Reglamento. Si los responsables del tratamiento no pueden identificar a un interesado en los datos de formación, y el interesado no puede facilitar información adicional que permita su identificación, no están obligados a atender una solicitud que no es posible satisfacer.^[6]

Lista de control: derecho de acceso[7] Preparación de las solicitudes de acceso ☐ Los responsables del tratamiento saben cómo reconocer una solicitud de acceso del sujeto y comprenden cuándo se aplica el derecho de acceso. ☐ Los responsables del tratamiento entienden que el derecho de acceso debe aplicarse en cada fase del ciclo de vida de la solución de IA, si utiliza datos personales. ☐ Los controladores tienen una política sobre cómo registrar las solicitudes que reciben verbalmente. ☐ Los responsables del tratamiento comprenden cuándo pueden denegar una solicitud y son conscientes de la información que deben facilitar a los particulares al hacerlo. ☐ Los responsables del tratamiento comprenden la naturaleza de la información complementaria que deben facilitar en respuesta a una solicitud de acceso del interesado. Cumplimiento de las solicitudes de acceso ☐ Los responsables del tratamiento disponen de procesos para garantizar que responden a una solicitud de acceso del sujeto sin demoras indebidas y en el plazo de un mes desde su recepción. ☐ Los responsables del tratamiento conocen las circunstancias en las que pueden ampliar el plazo para responder a una solicitud. ☐ Los controladores comprenden que se hace especial hincapié en utilizar un lenguaje claro y sencillo si revelan información a un menor. ☐ Los controladores comprenden lo que deben tener en cuenta si una solicitud incluye información sobre otras personas. ☐ Los responsables del tratamiento entienden cómo aplicar el derecho de acceso en etapas de formación.

Información complementaria Grupo de Trabajo del Artículo 29 (2014) Dictamen 06/2014 sobre la noción de intereses legítimos del responsable del tratamiento con arreglo al artículo 7 de la Directiva 95/46/CE. Comisión Europea, Bruselas. Disponible en: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf ICO (2013) Big data, inteligencia artificial, aprendizaje automático y protección de datos. Oficina del Comisionado de Información, Wilmslow. Disponible en: https://ico.org.uk/media/for-organisations/documents/2013559/big-data-ai-ml-and-data-protection.pdf ICO (sin fecha) Derecho de acceso. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-of-access/ Autoridad noruega de protección de datos. (2018) Inteligencia artificial y privacidad. Autoridad noruega de protección de datos, Oslo. Disponible en: https://iapp.org/media/pdf/resource_center/ai-and-privacy.pdf

c) Derecho a la portabilidad de los datos

El artículo 20 del RGPD creó un nuevo derecho: el derecho a la portabilidad de los datos.^[8] Este derecho proporciona a los interesados el control del uso de sus datos, redirigiéndolos a donde sean más útiles (véase la sección “Derecho a la portabilidad de los datos” en “Derechos de los interesados” dentro de la Parte II de estas Directrices). Sin embargo, el derecho a la portabilidad de los datos podría ser difícil de aplicar en el ámbito de la IA, por varias razones. Hay que tener en cuenta el coste y la viabilidad de proporcionar conjuntos de datos extremadamente grandes y complejos acumulados a lo largo de muchos años. Esto podría dificultar a una empresa el cumplimiento de sus requisitos en materia de derecho a la portabilidad de los datos.

Existen diferentes tipos de datos personales que un sistema de aprendizaje automático puede tratar. Según el Grupo de Trabajo sobre Protección de Datos del Artículo 29, algunas categorías de datos están vinculadas al derecho a la portabilidad de los datos, a saber: los datos personales relativos al interesado y los datos que éste haya facilitado a un responsable del tratamiento. En general, el término “facilitados por el interesado” debe interpretarse en sentido amplio. Por lo tanto, incluye los datos recogidos mediante la observación del comportamiento de los interesados (por ejemplo, datos brutos procesados por contadores inteligentes, registros de actividad o historial de sitios web). Sin embargo, debe excluir los “datos inferidos” y los “datos derivados”, que incluyen los datos personales creados por un proveedor de servicios (por ejemplo, resultados algorítmicos). A diferencia de los datos observados o recopilados, los datos inferidos son creados por el propio servicio, basándose en los datos observados, no proporcionados por el interesado.^[9] Por lo tanto, el derecho a la portabilidad de los datos no incluye los datos inferidos por un proceso de aprendizaje automático.

Lista de control: portabilidad de datos[10] Preparación de las solicitudes de portabilidad de datos ☐ Los responsables del tratamiento saben reconocer una solicitud de portabilidad de datos y entienden cuándo se aplica el derecho. ☐ Los responsables del tratamiento tienen en cuenta el requisito de portabilidad de los datos desde las primeras fases de concepción y diseño del tratamiento de la IA. ☐ Los controladores tienen una política sobre cómo registrar las solicitudes que reciben verbalmente. ☐ Los responsables del tratamiento comprenden cuándo pueden denegar una solicitud y son conscientes de la información que deben facilitar a los particulares si proceden a dicha denegación. Cumplimiento de las solicitudes de portabilidad de datos ☐ Los responsables del tratamiento pueden transmitir datos personales en formatos estructurados, de uso común y legibles por máquina. ☐ Los responsables del tratamiento informan a los usuarios con antelación cuando no es técnicamente posible ejercer el derecho de portabilidad mediante un protocolo. ☐ Los responsables del tratamiento utilizan métodos seguros para transmitir los datos personales. ☐ Los responsables del tratamiento disponen de procesos para garantizar que responden a una solicitud de portabilidad de datos sin demoras indebidas y en el plazo de un mes desde su recepción. ☐ Los responsables del tratamiento conocen las circunstancias en las que pueden ampliar el plazo para responder a una solicitud.

Información complementaria Grupo de Trabajo del Artículo 29 (2016) Directrices sobre el derecho a la portabilidad de datos. Comisión Europea, Bruselas. Disponible en: https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp242_en_40852.pdf EBF (2017) Comentarios de la Federación Bancaria Europea a las directrices del Grupo de Trabajo 29 sobre el derecho a la portabilidad de datos. Federación Bancaria Europea, Bruselas, p.4. Disponible en: www.ebf.eu/wp-content/uploads/2017/04/EBF_025448E-EBF-Comments-to-the-WP-29-Guidelines_Right-of-data-portabi.._.pdf ICO (sin fecha) Derecho a la portabilidad de datos. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-data-portability/ Wallace, N. y Castro, D. (2018) El impacto del nuevo reglamento de protección de datos de la UE en la IA. Centro para la innovación de datos, Washington, DC / Bruselas / Londres. Disponible en: www2.datainnovation.org/2018-impact-gdpr-ai.pdf

d) Derecho de rectificación

El derecho a corregir los datos inexactos es especialmente importante en el caso de la IA, ya que los algoritmos de aprendizaje automático suelen inferir datos. Estos datos pueden afectar al interesado, especialmente si se producen en fases avanzadas del ciclo de vida de la IA. Los datos inexactos inferidos durante la fase de entrenamiento no son tan preocupantes como en las fases finales. Dado que la finalidad de los datos de entrenamiento es formar modelos basados en patrones generales en grandes conjuntos de datos, es menos probable que las inexactitudes individuales tengan un efecto directo sobre un interesado.^[11] Por ejemplo, si los datos personales utilizados para proporcionar información a los clientes no son correctos, como un número de teléfono erróneo en un conjunto de datos, el interesado podría sufrir un perjuicio más grave que si se utiliza un número de teléfono inferido para entrenar un modelo. Sin embargo, esto no significa en absoluto que el derecho de rectificación no sea aplicable en esta fase.

Algunos tipos concretos de algoritmos, como las máquinas de vectores de apoyo (SVM), utilizan algunos ejemplos clave de los datos de entrenamiento para ayudar a distinguir entre los nuevos ejemplos durante el despliegue. Si el interesado solicita la rectificación o supresión de alguno de estos datos, lo anterior no sería posible sin tener que volver a entrenar el modelo con los datos rectificados o sin suprimir el modelo por completo.^[12] No obstante, esto no hace inaplicable el derecho de rectificación.

Es especialmente importante tener en cuenta que si el responsable del tratamiento comprueba que, en contra de la opinión del interesado, los datos no son inexactos con respecto a los fines del tratamiento, no tiene que rectificarlos.^[13] Sin embargo, la carga de la prueba recae sobre los responsables del tratamiento. Deben aportar una buena razón para denegar la rectificación, y es difícil llegar a la conclusión de que el perjuicio que esto podría acarrear al sistema de IA pueda servir de razón convincente. El SEPD ha criticado los sistemas que no incluyen la opción de hacer rectificar un conjunto de datos personales individuales sin crear un perjuicio considerable a todo el sistema.^[14] En cualquier caso, si el responsable del tratamiento opta por denegar la solicitud del interesado, deberá responder a éste con una razón justificada para no rectificar los datos y, si lo desea, el interesado podrá someter el asunto a la autoridad de control. ^[15]

Lista de control: derecho de rectificación[16] Preparación de las solicitudes de rectificación ☐ Los responsables del tratamiento saben reconocer una solicitud de rectificación y comprenden cuándo se aplica este derecho. ☐ Los controladores tienen una política sobre cómo registrar las solicitudes que reciben verbalmente. ☐ Los responsables del tratamiento comprenden cuándo pueden denegar una solicitud y son conscientes de la información que deben facilitar a los particulares cuando se les pide. Cumplimiento de las solicitudes de rectificación ☐ Los responsables del tratamiento están dispuestos a abordar el derecho de rectificación de los datos de los interesados, especialmente los generados por las inferencias y perfiles realizados por la solución de IA. ☐ Los responsables del tratamiento disponen de procesos para garantizar que responden a una solicitud de rectificación sin demoras indebidas y en el plazo de un mes a partir de su recepción. ☐ Los responsables del tratamiento conocen las circunstancias en las que pueden ampliar el plazo para responder a una solicitud. ☐ Los responsables del tratamiento disponen de sistemas adecuados para rectificar o completar la información, o facilitar una declaración complementaria. ☐ Los responsables del tratamiento disponen de procedimientos para informar a los destinatarios en caso de rectificación de los datos que hayan compartido con ellos.

Información adicional Binns, R. (2019) Habilitación de los derechos de acceso, supresión y rectificación en los sistemas de IA. Oficina del Comisionado de Información, Wilmslow. Disponible en: https://ico.org.uk/about-the-ico/news-and-events/ai-blog-enabling-access-erasure-and-rectification-rights-in-ai-systems/ ICO (sin fecha) Derecho de rectificación. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-rectification/

e) Derecho de supresión

Los interesados tienen derecho permanente a solicitar al responsable del tratamiento la supresión de sus datos personales. Sin embargo, esto puede resultar extremadamente complicado en algunos casos.^[17] De hecho, hay que tener en cuenta que a veces puede ser imposible cumplir los objetivos legales del derecho de supresión -también conocido como derecho al olvido- en entornos de IA, ya que la oscuridad del tratamiento podría ocultar algunos datos personales al responsable del tratamiento (véase ” y Comprender la transparencia y la opacidad ” dentro de esta Parte III sobre IA).

Sin embargo, el principal problema del derecho al borrado es que podría arruinar todo un sistema de IA entrenado sobre la base de los datos que un sujeto pide borrar. En pocas palabras, los algoritmos necesitan conservar los datos que utilizaron para su entrenamiento. Si se borran estos datos, los algoritmos podrían perder precisión o incluso fallar por completo. Así pues, los responsables del tratamiento deben tener en cuenta que modificar una base de datos gravemente afectada por el borrado de datos podría resultar imposible.

Los responsables del tratamiento podrían considerarlo inaceptable, pero lo cierto es que el RGPD no incluye ninguna excepción al derecho de supresión en función del daño causado a una base de datos que contenga datos personales. Algunos autores, como Humerick, han sugerido que “en lugar de exigir el borrado completo de los datos personales, los responsables y encargados del tratamiento deberían poder conservar la información hasta el momento del borrado. De este modo, el aprendizaje automático de la IA se mantendría en el punto en el que progresó, en lugar de crear una amnesia forzada”. Según él, esto podría servir para proteger los intereses de los interesados sin hacer que la IA retroceda en los datos. Sin embargo, no es fácil estar seguro de que esta solución cumpla los requisitos del GDPR.

Cualquier recomendación debe centrarse siempre en las primeras etapas del ciclo de vida del producto. Técnicamente, es difícil encontrar soluciones seguras a los dilemas que plantea el derecho de supresión una vez creada una base de datos. Por lo tanto, los controladores siempre deben intentar llegar a una conclusión sencilla: la mejor manera de evitar daños catastróficos es prepararse para una posible pérdida de datos desde el principio.

Por último, el responsable del tratamiento debe tener siempre presentes las restricciones al derecho de supresión introducidas por el artículo 17, apartado 3, del RGPD. Además, las autoridades nacionales pueden imponer restricciones adicionales que deben tenerse en cuenta.

Lista de control: derecho de supresión[18] Preparación de las solicitudes de supresión ☐ Los responsables del tratamiento saben cómo reconocer una solicitud de supresión y comprenden cuándo se aplica este derecho. ☐ Los controladores tienen una política sobre cómo registrar las solicitudes que reciben verbalmente. ☐ Los responsables del tratamiento comprenden cuándo pueden denegar una solicitud y son conscientes de la información que deben facilitar a los particulares al hacerlo. Cumplimiento de las solicitudes de supresión ☐ Los responsables del tratamiento disponen de procesos para garantizar que responden a una solicitud de supresión sin demoras indebidas y en el plazo de un mes desde su recepción. ☐ Los responsables del tratamiento conocen las circunstancias en las que pueden ampliar el plazo para responder a una solicitud. ☐ Los responsables del tratamiento entienden que se hace especial hincapié en el derecho de supresión si la solicitud se refiere a datos recogidos de niños. ☐ Los responsables del tratamiento disponen de procedimientos para informar a los destinatarios en caso de que borren los datos que hayan compartido con ellos. ☐ Los controladores disponen de métodos adecuados para borrar la información.

Información complementaria Encontrará una entrevista con Tiffany Li sobre el derecho al borrado y la IA aquí: www.youtube.com/watch?v=Sozg6yJJkHk Binns, R. (2019) Habilitación de los derechos de acceso, supresión y rectificación en los sistemas de IA. Blog de la OIC, 15 de octubre. Oficina del Comisionado de Información, Wilmslow. Disponible en: https://ico.org.uk/about-the-ico/news-and-events/ai-blog-enabling-access-erasure-and-rectification-rights-in-ai-systems/ Fosch-Villaronga, E., Kieseberg, P. y Li, T. (2018) “Los humanos olvidan, las máquinas recuerdan: la inteligencia artificial y el derecho a ser olvidado”, Computer Law & Security Review 34(2): 304-313. Humerick, M. (2018) Taking AI personally: how the E.U. must learn to balance the interests of personal data privacy & artificial intelligence, 34 Santa Clara High Tech. L.J.393. Disponible en: https://digitalcommons.law.scu.edu/chtlj/vol34/iss4/3 ICO (sin fecha) Right to erasure. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/ Wallace, N. y Castro, D. (2018) El impacto del nuevo reglamento de protección de datos de la UE en la IA. Centro para la innovación de datos, Washington, DC / Bruselas / Londres. Disponible en: www2.datainnovation.org/2018-impact-gdpr-ai.pdf

e) Derecho de oposición

Los interesados tienen derecho a oponerse al tratamiento de sus datos personales cuando el responsable del tratamiento los trate en virtud de un interés legítimo o para una misión de interés público. Esto no se aplica a los casos en los que el fundamento jurídico del tratamiento era el consentimiento informado, ya que en esos casos los interesados podían simplemente retirar su consentimiento y el responsable del tratamiento ya no podría tratar sus datos. Una vez que los interesados presentan su solicitud, los responsables del tratamiento deben dejar de tratar los datos, a menos que puedan demostrar que tienen motivos imperiosos y justificables para seguir haciéndolo, y que estos motivos prevalecen sobre los intereses, derechos y libertades de los interesados. ^[19]

Una vez que los responsables del tratamiento reciben una objeción al tratamiento de datos personales, y siempre que no se apliquen motivos de denegación, deben dejar de tratar los datos inmediatamente. Esto puede significar que tengan que borrar los datos personales almacenados, ya que la amplia definición de tratamiento del RGPD incluye el almacenamiento de datos.

Lista de control: derecho de oposición Preparación para las objeciones al tratamiento ☐ Los controladores saben reconocer una objeción y entienden cuándo se aplica el derecho. ☐ Los controladores tienen una política sobre cómo registrar las objeciones que reciben verbalmente. ☐ Los responsables del tratamiento comprenden cuándo pueden rechazar una objeción y son conscientes de la información que deben facilitar a los particulares al hacerlo. ☐ Los responsables del tratamiento disponen de información clara en su aviso de privacidad sobre el derecho de oposición de los particulares, que se presenta separada del resto de información sobre sus derechos. ☐ Los responsables del tratamiento entienden cuándo deben informar a las personas de su derecho de oposición, además de incluirlo en su aviso de privacidad. Cumplimiento de las solicitudes de oposición al tratamiento ☐ Los responsables del tratamiento disponen de procesos para garantizar que responden a una objeción sin demoras indebidas y en el plazo de un mes a partir de su recepción. ☐ Los responsables del tratamiento conocen las circunstancias en las que pueden ampliar el plazo para responder a una objeción. ☐ Los responsables del tratamiento disponen de métodos adecuados para borrar, suprimir o dejar de tratar de otro modo los datos personales.

Información complementaria SEPD (2020) Dictamen preliminar sobre protección de datos e investigación científica. Supervisor Europeo de Protección de Datos, Bruselas. Disponible en: https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf ICO (sin fecha) El derecho a oponerse al uso de sus datos. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/your-data-matters/the-right-to-object-to-the-use-of-your-data/ Autoridad Noruega de Protección de Datos (2018) Inteligencia artificial y privacidad. Autoridad noruega de protección de datos, Oslo. Disponible en: https://iapp.org/media/pdf/resource_center/ai-and-privacy.pdf

 

 

1. ICO (2014) Big data and data protection. Oficina del Comisario de Información, Wilmslow, pp.99-10. Disponible en: https://rm.coe.int/big-data-and-data-protection-ico-information-commissioner-s-office/1680591220 (consultado el 28 de mayo de 2020). ↑
2. Véase: Custers, B. (2018) ‘Profiling as inferred data. Amplifier effects and positive feedback loops’, pp.112-115 in Bayamlıoğlu, E. et al. (eds) Being profiled: cogitas ergo sum. 10 years of profiling the European Citizen. Amsterdam University Press, Ámsterdam. DOI 10.5117/9789463722124/CH19. Disponible en: https://ssrn.com/abstract=3466857 o http://dx.doi.org/10.2139/ssrn.3466857 (consultado el 28 de mayo de 2020). ↑
3. A29WP (2016) Directrices sobre la elaboración de perfiles y la toma de decisiones individuales automatizadas a efectos del Reglamento 2016/679. Comisión Europea, Bruselas, p.17. Disponible en: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053 (consultado el 28 de mayo de 2020). ↑
4. Autoridad Noruega de Protección de Datos (2018) Inteligencia artificial y privacidad. Autoridad Noruega de Protección de Datos, Oslo, p.19. Disponible en: https://iapp.org/media/pdf/resource_center/ai-and-privacy.pdf (consultado el 28 de mayo de 2020). ↑
5. ICO (2019) Habilitación de los derechos de acceso, supresión y rectificación en los sistemas de IA. Oficina del Comisionado de Información, Wilmslow. Disponible en: https://ico.org.uk/about-the-ico/news-and-events/ai-blog-enabling-access-erasure-and-rectification-rights-in-ai-systems/ (consultado el 28 de mayo de 2020). ↑
6. Ibid. ↑
7. ICO (sin fecha) Derecho de acceso. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-of-access/ (consultado el 28 de mayo de 2020). ↑
8. Grupo de Trabajo del Artículo 29 (2015) Directrices sobre el derecho a la portabilidad de datos. Comisión Europea, Bruselas. Disponible en: http://ec.europa.eu/newsroom/document.cfm?doc_id=45685 (consultado el 28 de mayo de 2020). ↑
9. Grupo de Trabajo del Artículo 29 (2015) Directrices sobre el derecho a la portabilidad de datos. Comisión Europea, Bruselas, p.8. Disponible en: http://ec.europa.eu/newsroom/document.cfm?doc_id=45685 (consultado el 28 de mayo de 2020). ↑
10. ICO (sin fecha) Derecho a la portabilidad de datos. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-data-portability/ (consultado el 28 de mayo de 2020). ↑
11. Binns, R. (2019) Habilitación de los derechos de acceso, supresión y rectificación en los sistemas de IA. Oficina del Comisionado de Información, Wilmslow. Disponible en: https://ico.org.uk/about-the-ico/news-and-events/ai-blog-enabling-access-erasure-and-rectification-rights-in-ai-systems/ (consultado el 15 de mayo de 2020).

    ↑

12. Ibid. ↑
13. AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Agencia Española Protección Datos, Madrid, p.27. Disponible en: www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (consultado el 28 de mayo de 2020). ↑
14. SEPD (2014) Directrices sobre los derechos de las personas físicas en relación con el tratamiento de datos personales. Supervisor Europeo de Protección de Datos, Bruselas, p.18. Disponible en: https://edps.europa.eu/sites/edp/files/publication/14-02-25_gl_ds_rights_en.pdf (consultado el 10 de mayo de 2020). ↑
15. Oficina del Defensor de la Protección de Datos (sin fecha) Right to Rectification. Oficina del Defensor del Pueblo para la Protección de Datos, Helsinki. Disponible en: https://tietosuoja.fi/en/right-to-rectification (consultado el 28 de mayo de 2020). ↑
16. ICO (sin fecha) Derecho de rectificación. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-rectification/ (consultado el 28 de mayo de 2020). ↑
17. Fosch-Villaronga, E., Kieseberg, P. y Li, T. (2018) “Los humanos olvidan, las máquinas recuerdan: la inteligencia artificial y el derecho a ser olvidado”, Computer Law & Security Review 34(2): 304-313. ↑
18. ICO (sin fecha) Right to erasure. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/ (consultado el 28 de mayo de 2020). ↑
19. Autoridad Noruega de Protección de Datos (2018) Inteligencia artificial y privacidad. Autoridad Noruega de Protección de Datos, Oslo, p.29. Disponible en: https://iapp.org/media/pdf/resource_center/ai-and-privacy.pdf (consultado el 28 de mayo de 2020). ↑