Disposiciones del RGPD
Home » IA » Marco general » Rendición de cuentas » Disposiciones del RGPD

Rendición de cuentas

De conformidad con el artículo 5, apartado 2, del RGPD, el responsable del tratamiento será responsable del cumplimiento de todos los principios del RGPD mencionados en el artículo 5, apartado 1, y deberá poder demostrarlo. Esto incluye el principio de rendición de cuentas (véase “Principio de rendición de cuentas” en la sección “Principios” de la Parte II de estas Directrices).

El principio de responsabilidad del RGPD se basa en el riesgo: cuanto mayor sea el riesgo del tratamiento de datos para los derechos y libertades fundamentales de los interesados, mayores serán las medidas necesarias para mitigar esos riesgos.[1] El principio de responsabilidad se basa en varias obligaciones de cumplimiento para los responsables del tratamiento de datos, entre ellas: obligaciones de transparencia (artículos 12 a 14); garantizar el ejercicio de los derechos de protección de datos (artículos 15 a 22); mantener registros de las operaciones de tratamiento de datos (artículo 30); notificar las posibles violaciones de datos a una autoridad nacional de control (artículo 33) y a los interesados (artículo 34); y, en casos de mayor riesgo, contratar a un RPD y llevar a cabo una EADP (artículo 35).

Dado que el tratamiento de datos personales en los sistemas de IA puede considerarse a menudo de alto riesgo,[2] el desarrollador de IA necesitará a menudo contar con un RPD y realizar una EADP. Las dos secciones siguientes abordan estas dos obligaciones específicas de responsabilidad.

Evaluación de riesgos y DPIA

Una EIPD es un proceso en el que el responsable del tratamiento, antes de iniciar un procedimiento de tratamiento de datos con alto riesgo para los derechos y libertades fundamentales de los interesados, evalúa el impacto de las operaciones de tratamiento previstas sobre la protección de los datos personales (artículo 35, apartado 1).

Sin embargo, determinar si el tratamiento de datos es de alto riesgo no es tarea fácil. El artículo 35, apartado 3, enumera tres casos: (1) una evaluación sistemática y amplia de aspectos personales relativos a personas físicas, que se base en un tratamiento automatizado, incluida la elaboración de perfiles, y en la que se basen decisiones que produzcan efectos jurídicos sobre la persona física o la afecten de forma similar de manera significativa; (2) el tratamiento a gran escala de categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de datos personales relativos a condenas penales e infracciones a que se refiere el artículo 10; y (3) una vigilancia sistemática a gran escala de una zona de acceso público.

En cuanto a las tecnologías innovadoras, el Grupo de Trabajo del Artículo 29 aclaró algunos ejemplos, como “la combinación del uso de huellas dactilares y reconocimiento facial para mejorar el control de acceso físico” y “determinadas aplicaciones del “Internet de las cosas””. Estas operaciones de tratamiento de datos se consideran de alto riesgo “porque el uso de dicha tecnología puede implicar formas novedosas de recopilación y uso de datos, posiblemente con un alto riesgo para los derechos y libertades de las personas”. De hecho, las consecuencias personales y sociales del despliegue de una nueva tecnología pueden ser desconocidas.”[3]

Si el tratamiento es de alto riesgo, debe realizarse una EIPD de conformidad con el artículo 35, apartado 7, del RGPD. El considerando 90 del RGPD aclara además que la evaluación del riesgo debe realizarse utilizando dos parámetros: la probabilidad y la gravedad del alto riesgo, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento y las fuentes de riesgo. Varias autoridades nacionales de control han publicado orientaciones sobre cómo evaluar estos riesgos, como la Agencia Española de Protección de Datos Personales, la Information Commissioner’s Office, la Irish Data Protection Commission, la Commission Nationale de l’Informatique et des Libertés, entre otras (véase “DPIA” en la sección “Principales herramientas y acciones” de la Parte II de las presentes directrices).

En determinadas situaciones, si el resultado de la EADP es que la actividad de tratamiento prevista presenta un alto riesgo de causar un perjuicio a los derechos y libertades fundamentales de los interesados, el responsable del tratamiento deberá solicitar el dictamen de la autoridad nacional de control, tal como establece el artículo 36 del RGPD. Algunos Estados miembros han publicado listas que contienen ejemplos de actividades de tratamiento de datos que desencadenarían esta consulta obligatoria; entre esos ejemplos, podemos identificar situaciones que coinciden con las técnicas de IA y, en algunos casos, llegan a incluir expresamente la IA. Las autoridades de supervisión pueden exigir la adopción de determinadas medidas para mitigar el riesgo, si es posible, o prohibir el uso de la IA si no lo es.

Lista de comprobación: ¿es necesaria una DPIA?

 El responsable del tratamiento determinó las jurisdicciones en las que tendrán lugar las actividades de tratamiento de datos.

 El responsable del tratamiento ha comprobado si esas jurisdicciones han promulgado listas que indiquen los tratamientos que requieren una EADP y ha visto si las actividades de tratamiento de datos previstas que implican IA están cubiertas por esas disposiciones.

 Si los responsables del tratamiento no están seguros de la necesidad de llevar a cabo una DPIA, consultan con el RPD o, en su lugar, con el departamento jurídico del responsable del tratamiento.

 En caso necesario, el responsable del tratamiento llevó a cabo una DPIA.

 En caso necesario, el responsable del tratamiento realizará una consulta previa a la autoridad de control competente.

 Si se sugirieron cambios, el responsable del tratamiento siguió el consejo de la autoridad de control.

Diligencia debida del procesador

El principio de responsabilidad (véase “Principio de responsabilidad” en la sección “Principios” de la Parte II de estas Directrices) también está presente cuando un responsable del tratamiento decide requerir los servicios de un encargado del tratamiento. A este respecto, el artículo 28, apartado 1, del RGPD[4] exige que los responsables del tratamiento lleven a cabo determinadas acciones de diligencia debida, y antes de proporcionar a los encargados del tratamiento acceso a los datos personales para la realización de actividades de tratamiento de datos. Como ocurre con otras disposiciones del RGPD, no se indica qué acciones específicas debe llevar a cabo un responsable del tratamiento al evaluar a los encargados del tratamiento. El único criterio que establece el RGPD es que los responsables del tratamiento deben juzgar a los encargados del tratamiento en función de su capacidad para demostrar que pueden llevar a cabo las actividades de tratamiento de conformidad con el RGPD.

Por lo tanto, un investigador que lleve a cabo el desarrollo de IA y necesite contratar a un tercero para determinadas actividades de tratamiento tendría que plantearse dos preguntas: (1) qué tipo de conducta se espera para demostrar el cumplimiento de esta obligación; y (2), si se espera algún tipo de acción positiva, ¿cómo deben proceder los responsables del tratamiento para llevar a cabo dicha diligencia debida?

En cuanto a la primera pregunta, el RGPD indica que si los responsables del tratamiento pretenden seguir cumpliendo el RGPD, solo pueden contratar a un encargado del tratamiento que pueda demostrar su cumplimiento del RGPD. Por lo tanto, los controladores deben solicitar información para evaluar esto. En otras palabras, el RGPD espera que los responsables del tratamiento pregunten activamente a su posible encargado del tratamiento al respecto; no basta con basarse en una cláusula de declaraciones y garantías en el acuerdo de tratamiento de datos (véase el “Principio de integridad y confidencialidad” en la sección “Principios” de la Parte II de estas Directrices).

En cuanto a la forma en que los responsables del tratamiento deben llevar a cabo esta diligencia debida, de nuevo el RGPD no proporciona temas concretos que analizar. No obstante, algunas autoridades nacionales de control han propuesto temas a tener en cuenta, como si el encargado del tratamiento sigue las normas del sector, solicitar que se facilite información tanto jurídica como técnica sobre la forma en que el encargado trata los datos personales, si se adhiere a un código de conducta o si ha pasado por un sistema de certificación. [5]

Además de estas consideraciones generales, y en función de cómo se integre el tratamiento solicitado a este tercero en el marco de la IA desarrollada, deberán plantearse otras preguntas. A este respecto, cualquier pregunta que los responsables del tratamiento se plantearan al desarrollar la IA deberían planteársela al encargado del tratamiento. Nos remitimos a las cuestiones planteadas en la lista de comprobación para obtener más orientaciones.

Lista de control: diligencia debida del procesador

 Los responsables del tratamiento han solicitado información sobre dónde se llevarán a cabo las actividades de tratamiento de datos, y: (1) llevar a cabo la revisión de la jurisprudencia que se sugiere a continuación; y (2) evaluar si las jurisdicciones, en caso de países no pertenecientes a la UE, son consideradas adecuadas por la Comisión de la UE.

 Los responsables del tratamiento revisaron la jurisprudencia de las autoridades nacionales de supervisión en las que opera el encargado del tratamiento para comprobar posibles sanciones.

 Los controladores exigían pruebas de adhesión a un código de conducta o certificación.

 Los controladores exigieron pruebas de la certificación ISO pertinente.

 Los responsables del tratamiento exigieron una copia de los registros de las actividades de tratamiento.

 Los controladores preguntaron por el proceso de desarrollo de la IA, en particular qué tipo de datos se utilizaron para entrenarla y qué datos necesita la IA para funcionar y ofrecer un resultado útil.

RPD

Los RPD desempeñan un papel crucial a la hora de diseñar y ejecutar actividades de tratamiento de datos de conformidad con el RGPD. Son otra de las salvaguardias que el RGPD ordena en determinadas ocasiones y, en general, se recomienda designar una figura de este tipo. El Grupo de Trabajo del Artículo 29 considera que esta “es una piedra angular de la rendición de cuentas y que el nombramiento de un RPD puede facilitar el cumplimiento”.[6]

El artículo 37, apartado 1, del RGPD[7] indica cuándo los responsables y encargados del tratamiento deben designar a un RPD. En el caso del desarrollo de la IA, y como se ha explicado anteriormente, la designación de un RPD es (casi) necesaria, ya que muchos sistemas de IA tratan datos personales, lo que los haría aplicables en las condiciones descritas en el artículo 37, apartado 1, letras a) y b), en la mayoría de las situaciones. Esta opinión es compartida, por ejemplo, por la autoridad de control española.[8] Sin embargo, ni el Grupo de Trabajo del Artículo 29 ni el EDPB han declarado específicamente que un RPD sea obligatorio si un responsable o encargado del tratamiento realiza actividades de tratamiento de datos que impliquen IA. No obstante, el Grupo de Trabajo del Artículo 29 ha señalado que las actividades de elaboración de perfiles pueden considerarse actividades que desencadenan la designación obligatoria de un RPD[9] si, como se ha señalado anteriormente, estas actividades de elaboración de perfiles implican IA.

Sería útil que la normativa de cada Estado miembro sobre la necesidad de contar con un RPD ampliara la lista de actividades que exigen el nombramiento de un RPD o, al menos, ofreciera ejemplos claros que ayudaran a interpretar qué actividades de tratamiento de datos realizadas por responsables y encargados del tratamiento exigen dicho nombramiento.

Si hay que nombrar a un RPD, por cualquiera de las razones mencionadas anteriormente, es necesario contar con su participación en la EADP (exigida por el artículo 39.1.c)), así como en cualquier otra cuestión relacionada con la protección de datos dentro de la entidad (como prescribe el artículo 39.1.a)). Esto puede incluir la revisión de un posible encargado del tratamiento, como se describe en el punto anterior. Por lo tanto, los investigadores que participen en el desarrollo de la IA deberán consultar con el RPD las cuestiones relacionadas con la protección de datos que puedan surgir durante el desarrollo de la IA. Por ejemplo, el papel del RPD, en relación con los sistemas de IA, también es relevante para colaborar en la redacción de una notificación adecuada, como exigen los artículos 13 y 14 según corresponda, para comunicar adecuadamente a los interesados cómo funciona la IA y qué consecuencias puede tener para ellos.

Lista de control: RPD

 Los controladores comprobaron si la institución ya había nombrado a un RPD.

 En caso contrario, han comprobado con el departamento jurídico si las actividades de tratamiento de datos previstas exigen el nombramiento de un RPD, ya sea consultando las interpretaciones autorizadas europeas, la normativa local, las interpretaciones autorizadas locales, la jurisprudencia -tanto local como europea- y, por último, las interpretaciones académicas.

 Los controladores exigieron el nombramiento de RPD en caso necesario, así como su participación en el proceso de desarrollo de la IA cuando fuera necesario.

 Como norma general, el RPD debe estar al tanto de cada paso que se dé para dar margen a su intervención si se considera pertinente.
Información complementaria

Agencia Española de Protección de Datos Personales (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción, p.35. Agencia Española de Protección de Datos Personales, Madrid. Disponible en: www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf

Grupo de Trabajo del Artículo 29 (2010) Dictamen 3/2010 sobre el principio de rendición de cuentas. Comisión Europea, Bruselas. Disponible en: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp173_en.pdf

Grupo de Trabajo del Artículo 29 (2017) Guidelines on the Data Protection Impact assessment (DPIA), pp. 9-10. Comisión Europea, Bruselas. Disponible en: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236

 

  1. Véanse los artículos 24, 25 y 32 del RGPD, que exigen que los responsables del tratamiento tengan en cuenta los “riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas” al adoptar medidas específicas de protección de datos.
  2. Véase, en particular, el artículo 35, apartado 3, letra a), según el cual el tratamiento de datos se considera de alto riesgo en los casos, entre otros, de “una evaluación sistemática y amplia de aspectos personales relativos a personas físicas que se base en un tratamiento automatizado, incluida la elaboración de perfiles, y en la que se fundamenten decisiones que produzcan efectos jurídicos sobre la persona física o que afecten de forma similar y significativa a la persona física”.
  3. Grupo de Trabajo del Artículo 29 (2017) Directrices sobre la evaluación de impacto relativa a la protección de datos, WP248, pp. 10. Comisión Europea, Bruselas. Disponible en: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236 (consultado el 20 de mayo de 2020).
  4. “Artículo 28 Encargado del tratamiento “Cuando el tratamiento deba efectuarse por cuenta de un responsable del tratamiento, éste recurrirá únicamente a encargados del tratamiento que ofrezcan garantías suficientes para aplicar las medidas técnicas y organizativasapropiadas, de tal modo que el tratamiento cumpla los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.”
  5. ICO (sin fecha) Guide to the General Data Protection Regulation (GDPR), What responsibilities and liabilities do controllers have when using a processor? Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/contracts-and-liabilities-between-controllers-and-processors-multi/responsibilities-and-liabilities-for-controllers-using-a-processor/ (consultado el 20 de mayo de 2020).
  6. Grupo de Trabajo del Artículo 29 (2017) Guidelines on Data Protection Officers (‘DPOs’), p.4. Comisión Europea, Bruselas.
  7. Artículo 37. Designación del responsable de la protección de datos. Designación del responsable de la protección de datos 1. El responsable y el encargado del tratamiento designarán a un delegado de protección de datos en todos los casos en que: (a) el tratamiento sea realizado por una autoridad u organismo público, con excepción de los órganos jurisdiccionales que actúen en el ejercicio de sus funciones jurisdiccionales; b) las actividades principales del responsable o del encargado del tratamiento consistan en operaciones de tratamiento que, por su naturaleza, alcance y/o fines, requieran un control regular y sistemático de los interesados a gran escala; o c) las actividades principales del responsable o del encargado del tratamiento consistan en el tratamiento a gran escala de categorías especiales de datos con arreglo al artículo 9 y de datos personales relativos a condenas penales e infracciones a que se refiere el artículo 10.
  8. Agencia Española de Protección de Datos Personales (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción, p.35. Agencia Española de Protección de Datos Personales, Madrid. Disponible en: www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (consultado el 20 de mayo de 2020).
  9. Grupo de Trabajo del Artículo 29 (2017) Guidelines on Data Protection Officers (‘DPOs’), p.4. Comisión Europea, Bruselas.

 

Ir al contenido