Limitación de la finalidad
Home » IA » Marco general » Privacidad y gobernanza de datos » Disposiciones del RGPD » Limitación de la finalidad

El principio de limitación de la finalidad limita el uso de los datos personales a la finalidad o finalidades originales, o a aquellas finalidades que sean compatibles con ella. Sin embargo, el desarrollo de la IA requiere que los datos se reutilicen con bastante frecuencia. Además, puede ocurrir que la herramienta de IA reutilice los datos automáticamente (esto ocurre sin duda en el caso del aprendizaje profundo). Estas situaciones crean tensión entre las técnicas de entrenamiento de IA y el principio de limitación de finalidad (véase “Principio de limitación de finalidad” dentro de la sección “Principios” de la Parte II de estas Directrices).

Para evitar el tratamiento ilícito de datos, los responsables del tratamiento que utilicen sistemas de IA deben determinar la finalidad del tratamiento “al inicio de su formación o despliegue, y volver a evaluar esta determinación en caso de que el tratamiento del sistema arroje resultados inesperados, ya que exige que los datos personales sólo se recojan con “fines determinados, explícitos y legítimos” y no se utilicen de forma incompatible con la finalidad original”[1] (véase la sección “Protección de datos desde el diseño y por defecto” en “Conceptos principales”, dentro de la Parte II de estas Directrices).

La reutilización de datos en el desarrollo de una herramienta de IA conlleva cuestiones profundamente desafiantes en términos de limitación de la finalidad. Los sistemas de IA procesan datos personales en varias etapas y para diversos fines. En consecuencia, un responsable del tratamiento puede no distinguir cada operación de tratamiento distinta y tratar los datos para fines distintos de aquellos para los que se recogieron inicialmente. Los responsables del tratamiento deben estar especialmente preocupados por estas situaciones, ya que podrían dar lugar a un incumplimiento del principio de legalidad de la protección de datos[2] (véase la subsección “Uso para fines incompatibles” en la sección “Principio de limitación de finalidad'” de los “Principios” dentro de la Parte II de estas Directrices).

Los responsables del tratamiento deben tener en cuenta que la determinación de la base jurídica adecuada está vinculada a los principios de equidad y limitación de la finalidad (véase “Principio de licitud, equidad y transparencia” en la sección “Principios” de la Parte II de las presentes directrices).[3] Deben seleccionar la base jurídica que mejor refleje la verdadera naturaleza de su relación con el individuo y la finalidad del tratamiento. Esta decisión es clave, ya que cambiar la base jurídica del tratamiento es imposible si no existen razones de peso que lo justifiquen, debido al principio de limitación de la finalidad. Si los desarrolladores de IA tienen previsto utilizar un conjunto de datos en diferentes etapas (por ejemplo, entrenamiento, validación o despliegue), deben considerar que estas etapas tienen finalidades distintas y separadas.[4] Además, deben considerar el tipo de relación que mantienen con el interesado. Por ejemplo, el consentimiento podría ser una base jurídica adecuada para el tratamiento si existe un contacto continuo con los interesados y los responsables del tratamiento pueden obtener consentimientos sucesivos para diferentes usos o pueden obtener el consentimiento del interesado para varios tratamientos antes de que se inicie el tratamiento. Sin embargo, en el caso de la IA, a menudo es difícil mantener este tipo de relación, ya que la IA se construye a menudo agregando y fusionando grandes conjuntos de datos.

Por último, pero no por ello menos importante, los responsables del tratamiento deben ser conscientes de que, para el tratamiento de datos personales con fines científicos, de investigación histórica o estadísticos, el Derecho o las normas de la Unión o de los Estados miembros pueden establecer excepciones a los derechos de los interesados estipulados en los artículos 15, 16, 18 y 21. 15,16,18,21- Por lo tanto, el tratamiento de esos datos para fines distintos de aquellos para los que se recogieron inicialmente debería ser lícito siempre que se apliquen las medidas técnicas y organizativas adecuadas, en particular la minimización de datos. (véase el apartado “Protección de datos e investigación científica” dentro de “Conceptos principales” en la Parte II de estas Directrices).

Lista de control: limitación de la finalidad [5]

☐ Los responsables del tratamiento han identificado claramente su finalidad o finalidades de tratamiento.

☐ Los controladores han documentado esos fines.

☐ Los responsables del tratamiento incluyen detalles de sus fines en la información sobre privacidad de las personas físicas.

☐ Los responsables del tratamiento revisan periódicamente su tratamiento y, en caso necesario, actualizan su documentación y la información sobre la privacidad de las personas.

☐ Si los responsables del tratamiento tienen previsto utilizar los datos personales para un nuevo fin distinto de una obligación o función legal establecida en la ley, comprueban que sea compatible con su finalidad original u obtienen el consentimiento específico para el nuevo fin.
Información adicional

Grupo de trabajo sobre protección de datos del artículo 29 (2013) Dictamen 03/2013 sobre la limitación de la finalidad. Comisión Europea, Bruselas. Disponible en: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf

CIPL (2020) Inteligencia artificial y protección de datos: cómo regula el GDPR la IA. Centre for Information Policy Leadership, Washington DC / Bruselas / Londres. Disponible en: www.informationpolicycentre.com/uploads/5/7/1/0/57104281/cipl-hunton_andrews_kurth_legal_note_-_how_gdpr_regulates_ai__12_march_2020_.pdf

EDPB (2018) Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, Adopted on 9 April 2019, p.6. Consejo Europeo de Protección de Datos, Bruselas. Disponible en: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf

ICO (2020) Guidance on the AI auditing framework: draft guidance for consultation. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/media/about-the-ico/consultations/2617219/guidance-on-the-ai-auditing-framework-draft-for-consultation.pdf

ICO (sin fecha) Principio (b): limitación de la finalidad. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/purpose-limitation/

 

 

  1. CIPL (2020) Inteligencia artificial y protección de datos: cómo regula el GDPR la IA. Centre for Information Policy Leadership, Washington DC / Bruselas / Londres, p.6. Destacado por el autor. Disponible en: www.informationpolicycentre.com/uploads/5/7/1/0/57104281/cipl-hunton_andrews_kurth_legal_note_-_how_gdpr_regulates_ai__12_march_2020_.pdf (consultado el 17 de mayo de 2020).
  2. ICO (2020) Guidance on the AI auditing framework: draft guidance for consultation. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/media/about-the-ico/consultations/2617219/guidance-on-the-ai-auditing-framework-draft-for-consultation.pdf (consultado el 15 de mayo de 2020).
  3. EDPB (2018) Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, Adopted on 9 April 2019, p.6. European Data Protection Board, Brussels. Disponible en: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf (consultado el 15 de mayo de 2020).
  4. ICO (2020) Guidance on the AI auditing framework: borrador para consulta. 2020. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/media/about-the-ico/consultations/2617219/guidance-on-the-ai-auditing-framework-draft-for-consultation.pdf (consultado el 15 de mayo de 2020).
  5. ICO (sin fecha) Principio (b): limitación de la finalidad. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/purpose-limitation/ (consultado el 17 de mayo de 2020).
Ir al contenido