La legalidad es un principio esencial en materia de protección de datos. Implica que los responsables del tratamiento deben asegurarse de que disponen de una base jurídica para tratar los datos personales. De no ser así, el tratamiento no debe llevarse a cabo.^[1] En general, e incluidos los datos de categorías especiales, las bases jurídicas para el tratamiento se describen en los artículos 6 y 9 del RGPD. En el caso de la IA, las bases jurídicas que suelen invocarse para justificar el tratamiento son: el consentimiento; el interés legítimo; la necesidad contractual; y la obligación legal o el interés vital. El tratamiento por interés público también puede ser un fundamento jurídico, pero no nos centraremos en él aquí ya que abordamos ampliamente este tema en la sección “Protección de datos e investigación científica” del apartado “Conceptos principales” de la Parte II de estas Directrices. Por lo tanto, nos centraremos en los cuatro motivos jurídicos enumerados.

a) Consentimiento

El tratamiento de datos suele basarse en el consentimiento de los interesados. Sin embargo, el consentimiento no encaja bien con la naturaleza esencial de la mayoría de los desarrollos de IA, debido a un simple hecho: el consentimiento está, por naturaleza, vinculado a un propósito bien definido y concreto.^[2] En el caso de la IA, el uso de macrodatos y las acciones de agregación, intercambio o reutilización que a menudo se llevan a cabo crean un escenario que no encaja con los principios subyacentes del concepto de consentimiento y el principio de limitación de la finalidad (véase “Principio de limitación de la finalidad” en la sección “Principios” de la Parte II de estas Directrices).

El consentimiento puede ser una base jurídica útil para el tratamiento de datos para el desarrollo de la IA, especialmente si los responsables del tratamiento tienen una relación directa con el sujeto que proporciona los datos que se utilizarán para el entrenamiento, la validación y el despliegue del modelo.^[3] Por ejemplo, si la herramienta de IA pretende proporcionar diagnósticos de neumonía, y los médicos obtienen datos de los pacientes en su centro sanitario, el consentimiento podría servir bien como base jurídica para el tratamiento. Sin embargo, si el tratamiento implica el uso de una herramienta de IA compleja que puede tener otros usos de los datos (por ejemplo, la elaboración de perfiles y la toma de decisiones automatizada pueden ocurrir inadvertidamente, es probable que se infieran datos durante el tratamiento, esos datos inferidos pueden utilizarse para diversos fines, etc.), es difícil ver cómo un único consentimiento podría justificar todo ese tratamiento. Por ello, los responsables del tratamiento deben tener muy en cuenta las directrices sobre el consentimiento proporcionadas por el Grupo de Trabajo del Artículo 29^[4] .

En el marco de la investigación científica (véase la sección “Protección de datos e investigación científica” en los “Conceptos principales” de la Parte II de estas Directrices), el RGPD establece una excepción específica a los atributos del consentimiento, permitiendo a los responsables del tratamiento hacer uso del consentimiento amplio como base jurídica para el tratamiento. El consentimiento amplio debe entenderse en relación con el considerando 33 del RGPD, que establece que “a menudo no es posible identificar plenamente la finalidad del tratamiento de datos personales con fines de investigación científica en el momento de la recogida de datos. Por lo tanto, debe permitirse que los interesados den su consentimiento a determinados ámbitos de la investigación científica cuando se ajusten a las normas éticas reconocidas para la investigación científica.”

Sin embargo, el consentimiento amplio no es una especie de manta o equívoco al consentimiento abierto. Es una herramienta excepcional que sólo puede ser aceptable si se dan varias condiciones. Si se utiliza el consentimiento amplio para categorías especiales de datos, los responsables del tratamiento deben asegurarse de que su normativa nacional lo permite. También deben ser conscientes de las salvaguardias que deben aplicarse. Debe garantizarse la proporcionalidad entre el objetivo de la investigación y el uso de categorías especiales de datos. Además, los responsables del tratamiento deben asegurarse de que la normativa de sus Estados miembros no protege los datos genéticos, biométricos y sanitarios mediante la introducción de condiciones o limitaciones adicionales, ya que el RGPD les permite hacerlo.

Además, siempre que se utilice el consentimiento amplio para lograr el propósito de la investigación, hay algunas medidas esenciales que deben considerarse para compensar la definición abstracta de los fines de la investigación. La adhesión a las normas éticas reconocidas de la investigación científica, según el considerando 33 del RGPD, parece especialmente pertinente a estos efectos.

Recuadro 3: Consentimiento amplio y salvaguardias adicionales La DPA alemana ha enumerado recientemente algunas salvaguardias adicionales que deben aplicarse en caso de consentimiento amplio.[5] Se trata de las siguientes: 1. Salvaguardias para garantizar la transparencia: Utilización de reglamentos de uso o planes de investigación que ilustren los métodos de trabajo previstos y las cuestiones que van a ser objeto del proyecto de investigación. Evaluación y documentación de la cuestión de por qué en este proyecto de investigación concreto no es posible una especificación más detallada de los fines de la investigación. Crear presencias web para informar a los participantes en los estudios sobre los estudios en curso y futuros. 2. Garantías para generar confianza: Voto positivo de un comité de ética antes de utilizar los datos para otros fines de investigación. Evaluación de si es posible trabajar con un consentimiento dinámico o si un interesado puede oponerse antes de que los datos puedan utilizarse para nuevas cuestiones de investigación. 3. Garantías de seguridad: Ausencia de transferencias de datos a terceros países con un nivel de protección de datos inferior Medidas adicionales relativas a la minimización, cifrado, anonimización o seudonimización de datos Aplicación de políticas específicas para limitar el acceso a los datos personales.

En cualquier caso, los participantes en la investigación deben tener la posibilidad de retirar su consentimiento, y optar por participar o no en determinadas investigaciones y partes de la investigación, y tener la seguridad de que sus derechos están salvaguardados por la adhesión a las normas éticas de la investigación científica.^[6] En ocasiones, esto podría perjudicar a la solución de IA u obligar a los responsables del tratamiento a realizar acciones complejas. Por lo tanto, los controladores deben considerar si otros fundamentos jurídicos alternativos podrían servirles mejor para desarrollar la herramienta respetando la ley.

En resumen, los responsables del tratamiento deben ser cautos a la hora de utilizar el consentimiento como fundamento jurídico para justificar el tratamiento de datos, ya que el consentimiento no invalida sus responsabilidades en cuanto a la equidad, necesidad y proporcionalidad del tratamiento.^[7] Además, en el caso de la IA que utiliza Big Data, a menudo es difícil justificar que el consentimiento cumple todos los requisitos necesarios: dado libremente, específico, informado e inequívoco, y un claro acto afirmativo por parte del interesado. En general, cuantas más cosas quieran hacer los desarrolladores de IA con los datos, más difícil será garantizar que el consentimiento sea realmente específico e informado. Todo esto debe tenerse en cuenta a la hora de seleccionar el consentimiento como fundamento jurídico para el tratamiento de datos.

Recuadro 4. El consentimiento como base jurídica: el caso de OkCupid El consentimiento como base jurídica: el caso OkCupid En 2016, un grupo de investigadores daneses publicó un conjunto de datos de unos 70.000 usuarios. Estos datos se habían obtenido del sitio de citas en línea OkCupid[8] e incluían categorías de datos como nombres de usuario, edad, sexo, ubicación, en qué tipo de relación (o sexo) estaban interesados los sujetos de los datos, sus rasgos de personalidad, etc. Los investigadores consideraron que el mero hecho de que estos datos estuvieran disponibles públicamente (en los perfiles de citas de los usuarios) servía de fundamento jurídico para su posterior tratamiento. Este es un excelente ejemplo de las terribles consecuencias del argumento de que “los datos ya son públicos”. Se procesaron los datos personales de los interesados, y se expuso al público información muy delicada, sin su consentimiento. Desgraciadamente, esta asociación entre datos públicos y abiertos sigue siendo demasiado amplia. Los investigadores deben ser conscientes de que el consentimiento dado para un tratamiento concreto no sirve de fundamento jurídico para otros tratamientos, y de que “a disposición del público” no equivale a “datos abiertos”, es decir, datos y contenidos que cualquiera puede utilizar, modificar y compartir libremente para cualquier fin, según la definición del Open Data Institute.[9]

Lista de control: consentimiento ☐ Los responsables del tratamiento han comprobado que el consentimiento es la base jurídica más adecuada para el tratamiento. ☐ Los responsables del tratamiento solicitan el consentimiento de los interesados de forma libre, específica, informada e inequívoca. ☐ El consentimiento amplio sólo se utiliza cuando es difícil o improbable prever cómo se tratarán estos datos en el futuro. ☐ El consentimiento amplio utilizado para el tratamiento de categorías especiales de datos es compatible con la normativa nacional. ☐ Cuando se utiliza el consentimiento amplio, se da a los interesados la oportunidad de retirar su consentimiento y de decidir si participan o no en determinadas investigaciones y partes de ellas. ☐ Los controladores tienen una relación directa con el sujeto que proporciona los datos que se utilizarán para el entrenamiento, la validación y el despliegue del modelo de AI. ☐ No hay desequilibrio de poder entre los responsables del tratamiento y los interesados. ☐ Los controladores piden a la gente que opte positivamente. ☐ Los controladores no utilizan casillas premarcadas ni ningún otro tipo de consentimiento por defecto. ☐ Los controladores utilizan un lenguaje claro y sencillo, fácil de entender. ☐ Los controladores especifican para qué quieren los datos y qué van a hacer con ellos. ☐ Los responsables del tratamiento dan opciones distintas (“granulares”) para consentir por separado los distintos fines y tipos de tratamiento. ☐ Los responsables del tratamiento informan a las personas físicas de que pueden retirar su consentimiento y de cómo hacerlo. ☐ Los responsables del tratamiento garantizan que las personas puedan negarse a dar su consentimiento sin sufrir perjuicio alguno. ☐ Los controladores evitan que el consentimiento sea una condición previa de un servicio.

b) Interés legítimo

El uso del interés legítimo como fundamento jurídico del tratamiento para el desarrollo de la IA es aplicable, siempre que el resultado de la prueba de sopesamiento lo justifique (véase “Interés legítimo y prueba de sopesamiento” dentro de la sección “Principales acciones e instrumentos” de la Parte II de estas Directrices). Esto puede implicar definir el objetivo del tratamiento de la IA desde el principio y garantizar que la finalidad original del tratamiento se reevalúe si el sistema de IA proporciona un resultado inesperado, de modo que puedan identificarse los intereses legítimos perseguidos o que pueda recabarse el consentimiento válido de las personas.^[10] La prueba de sopesamiento debe documentarse adecuadamente en los registros del tratamiento. Sin embargo, en algunos casos, el interés legítimo puede no servir para los fines del tratamiento de la IA. Por ejemplo, si los responsables del tratamiento tienen previsto recopilar una cantidad considerable de datos personales “por si acaso”, no deberían considerar el interés legítimo como fundamento jurídico del tratamiento de datos, ya que la ponderación entre la necesidad del tratamiento y las posibles repercusiones del tratamiento en las personas difícilmente lo justificaría.^[11]

Lista de control: el interés legítimo como base jurídica ☐ Los responsables del tratamiento han comprobado que el interés legítimo es la base más adecuada. ☐ Los responsables del tratamiento comprenden su responsabilidad de proteger los intereses de las personas físicas. ☐ Los controladores llevan un registro de las decisiones tomadas y de su razonamiento, para asegurarse de que pueden justificar su decisión. ☐ Los responsables del tratamiento han identificado los intereses legítimos pertinentes. ☐ Los controladores han comprobado que el tratamiento es necesario y que no hay una forma menos intrusiva de lograr el mismo resultado. ☐ Los responsables del tratamiento han realizado una prueba de sopesamiento y confían en que los intereses de la persona no prevalecen sobre esos intereses legítimos. ☐ Los responsables del tratamiento solo utilizan los datos de las personas de la forma que razonablemente cabría esperar, a menos que tengan un motivo muy justificado. ☐ Los responsables del tratamiento no utilizan los datos de las personas de forma que les resulte intrusiva o que pueda causarles perjuicios, a menos que los responsables del tratamiento tengan un motivo muy justificado. ☐ Si los responsables del tratamiento tratan datos de menores, ponen especial cuidado en asegurarse de que protegen los intereses de los niños. ☐ Los controladores han estudiado salvaguardias para reducir el impacto, en la medida de lo posible. ☐ Los responsables del tratamiento han estudiado si pueden ofrecer una opción de exclusión voluntaria. ☐ Los controladores han considerado si también necesitan realizar una DPIA.

c) Ejecución de un contrato

La ejecución de un contrato en el que el interesado sea parte, o para tomar medidas a petición del interesado antes de celebrar un contrato, podría servir de fundamento jurídico para el tratamiento, si el uso de la IA es objetivamente necesario para cualquiera de estos fines. Este podría ser el caso de los desarrolladores que contratan a sujetos para hacer uso de sus datos personales en la fase de formación del sistema. También podría darse el caso de que el responsable del tratamiento, que presta un servicio a terceros interesados que incluye la solución de IA, utilice los datos de estos sujetos en el marco del contrato de servicios.^[12] Sin embargo, este fundamento jurídico no debe utilizarse para fines distintos (como la mejora del sistema o similares) con arreglo al principio de limitación de la finalidad (véase “Principio de limitación de la finalidad” en la sección “Principios” de la Parte II de estas Directrices), ya que los datos utilizados para ejecutar el contrato no son necesarios para esos fines alternativos.^[13] Así pues, los responsables del tratamiento pueden tratar los datos intrínsecamente necesarios para la ejecución de un contrato al amparo de esta base jurídica si son objetivamente necesarios para ejecutar el contrato, pero no para otros fines.^[14] En resumen, parece difícil ver cómo la ejecución de un contrato puede servir de base jurídica para la investigación y la innovación en materia de IA.

d) Obligación legal o interés vital

Según el artículo 6, apartado 1, letra d), del RGPD, los datos pueden tratarse si es “necesario para proteger los intereses vitales del interesado o de otra persona física”. Igualmente, el tratamiento es lícito si es “necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento” (artículo 6.1.c). Si hablamos de categorías especiales de datos, entonces existen motivos jurídicos alternativos para el tratamiento, tal y como se expresa en el artículo 9.2. Una vez más, resulta difícil imaginar un solo caso en el que alguna de estas bases pueda constituir un fundamento jurídico para el entrenamiento de un sistema de IA en este momento, aunque las revisiones de la normativa vigente a nivel nacional y europeo puedan cambiar esta situación en el futuro. En cualquier caso, para el entrenamiento de sistemas de IA que puedan salvar vidas, sería mejor basarse en otros fundamentos jurídicos, como el consentimiento o el interés público.^[15]

Recuadro 5. Ejemplos de interés vital como fundamento jurídico para el tratamiento de datos por una herramienta de IA Imaginemos que, durante la pandemia de COVID-19, una organización desarrolla una herramienta de IA capaz de diagnosticar la enfermedad mediante radiología. En tal caso, los datos relativos a los pacientes podrían tratarse sobre la base del interés vital, tal como establece el artículo 9, apartado 2, letra c), del RGPD. Sin embargo, podrían ser más apropiados otros fundamentos jurídicos, como el interés público sustancial (artículo 9, apartado 2, letras g) o i)).

Información complementaria AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Agencia Española Protección Datos, Madrid, p.20 Disponible en: www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf Grupo de Trabajo del Artículo 29 (2014) Dictamen 6/2014 sobre el concepto de intereses legítimos del responsable del tratamiento con arreglo al artículo 7 de la Directiva 95/46. Comisión Europea, Bruselas. Disponible en: www.dataprotection.ro/servlet/ViewDocument?id=1086 CIPL (2020) Inteligencia artificial y protección de datos. Cómo regula el GDPR la IA. Centre for Information Policy Leadership, Washington, DC / Bruselas / Londres. Disponible en: www.informationpolicycentre.com/uploads/5/7/1/0/57104281/cipl-hunton_andrews_kurth_legal_note_-_how_gdpr_regulates_ai__12_march_2020_.pdf EDPB (2019) Directrices 2/2019 sobre el tratamiento de datos personales en virtud del artículo 6, apartado 1, letra b), del GDPR en el contexto de la prestación de servicios en línea a los interesados. Consejo Europeo de Protección de Datos, Bruselas. Disponible en: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf EDPB (2020) Directrices 05/2020 sobre el consentimiento en virtud del Reglamento 2016/679 Versión 1.1 Adoptada el 4 de mayo de 2020. Disponible en: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf SEPD (2017) Necessity toolkit. Supervisor Europeo de Protección de Datos, Bruselas. Disponible en: https://edps.europa.eu/data-protection/our-work/publications/papers/necessity-toolkit_en En los siguientes documentos encontrará más información sobre el interés legítimo, con casos prácticos y varias referencias a las sentencias del Tribunal de Justicia de la Unión Europea. Future of Privacy Forum (sin fecha) Processing personal data on the basis of legitimate interests under the GDPR. Red Europea de Formación Judicial, Bruselas. Disponible en: www.ejtn.eu/PageFiles/17861/Deciphering_Legitimate_Interests_Under_the_GDPR%20(1).pdf ICO (sin fecha) ¿Cómo aplicamos los intereses legítimos en la práctica? Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/ ICO (sin fecha) Base jurídica del tratamiento. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/ Kuyumdzhieva, A. (2018) “Desafíos éticos en la era digital: enfoque en la investigación médica”, pp. 45-62 en: Koporc, Z. (ed.) Ética e integridad en la investigación en salud y ciencias de la vida. Emerald, Bingley. Autoridad Noruega de Protección de Datos (2018) Inteligencia artificial y privacidad. Autoridad noruega de protección de datos, Oslo. Disponible en: https://iapp.org/media/pdf/resource_center/ai-and-privacy.pdf

 

 

1. AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial: Una introducción, p.20. Agencia Española de Protección de Datos, Madrid. Disponible en: www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (consultado el 15 de mayo de 2020). ↑
2. Comité Internacional de Bioética (2017) Informe del CIB sobre big data y salud, p.20. UNESCO. Disponible en: http://unesdoc.unesco.org/images/0024/002487/248724e.pdf (consultado el 13 de marzo de 2020). ↑
3. ICO (sin fecha) ¿Cómo aplicamos los intereses legítimos en la práctica? Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/ (consultado el 15 de mayo de 2020). Además, la evaluación de la naturaleza de esta relación debe incluir una investigación del equilibrio de poder entre el interesado y el responsable del tratamiento. ↑
4. Grupo de Trabajo del Artículo 29 (2018) Directrices sobre el consentimiento en virtud del Reglamento 2016/679. Comisión Europea, Bruselas, p.29. Disponible en: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051 (consultado el 5 de mayo de 2020). ↑
5. DSK, Clausura de la 97ª. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zu Auslegung des Begriffs “bestimmte Bereiche wissenschaftlicher Forschung” im Erwägungsgrund 33 der DS-GVO 3. April 2019, en: www.datenschutzkonferenz-online.de/media/dskb/20190405_auslegung_bestimmte_bereiche_wiss_forschung.pdf (consultado el 20 de mayo de 2020). La traducción al inglés procede de un bonito resumen de las medidas que puede consultarse aquí: www.technologylawdispatch.com/2019/04/privacy-data-protection/german-dpas-publish-resolution-on-concept-of-broad-consent-and-the-interpretation-of-certain-areas-of-scientific-research/ ↑
6. Kuyumdzhieva, A. (2018) “Desafíos éticos en la era digital: enfoque en la investigación médica”, pp.45-62 en: Koporc, Z. (ed.) Ética e integridad en la investigación en salud y ciencias de la vida. Emerald, Bingley. ↑
7. Grupo de Trabajo del Artículo 29 (2018) Directrices sobre el consentimiento en virtud del Reglamento 2016/679. WP259. Comisión Europea, Bruselas, p.3. Disponible en: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051 (consultado el 15 de mayo de 2020). ↑
8. www.okcupid.com (consultado el 5 de mayo de 2020). ↑
9. http://opendefinition.org/ (consultado el 5 de mayo de 2020). ↑
10. CIPL (2020) Inteligencia artificial y protección de datos. Cómo regula el GDPR la IA. Centre for Information Policy Leadership, Washington, DC/Bruselas/Londres, p.5. Disponible en: www.informationpolicycentre.com/uploads/5/7/1/0/57104281/cipl-hunton_andrews_kurth_legal_note_-_how_gdpr_regulates_ai__12_march_2020_.pdf (consultado el 15 de mayo de 2020). ↑
11. AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Agencia Española Protección Datos, Madrid, p.22. Disponible en: www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (consultado el 15 de mayo de 2020). ↑
12. Ibídem, p. 20. ↑
13. Artículo 29 Grupo de Trabajo de Protección de Datos (2014) Dictamen 06/2014 sobre la noción de intereses legítimos del responsable del tratamiento con arreglo al artículo 7 de la Directiva 95/46/CE. Comisión Europea, Bruselas, pp.16-17. Disponible en: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf (consultado el 16 de mayo de 2020). ↑
14. EDPB (2019) Directrices 2/2019 sobre el tratamiento de datos personales en virtud del artículo 6, apartado 1, letra b), del GDPR en el contexto de la prestación de servicios en línea a los interesados. Consejo Europeo de Protección de Datos, Bruselas, p.14. Disponible en: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf (consultado el 15 de mayo de 2020). ↑
15. Grupo de Trabajo del Artículo 29 (2014) Dictamen 06/2014 sobre el concepto de intereses legítimos del responsable del tratamiento en virtud del artículo 7 de la Directiva 95/46/CE. Comisión Europea, Bruselas, p. 20. Disponible en: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf (consultado el 15 de mayo de 2020). ↑