El organismo de privacidad de la Unión Europea se pronunció sobre cuestiones emergentes relacionadas con la legalidad de GenAI. La junta exploró vacíos legales que los desarrolladores de IA podrían explotar para procesar datos personales sin contradecir la legislación vigente.
La Junta Europea de Protección de Datos planteó preguntas sobre la base legal para que los desarrolladores de IA procesen datos personales de los usuarios. En una opinión publicada el 17 de diciembre, la junta abordó varios temas de aplicación general en cumplimiento con el Artículo 64(2) del RGPD.
La junta de privacidad de la Unión Europea se pronuncia sobre cuestiones en la protección de datos y el despliegue de IA
La Junta Europea de Protección de Datos (EDPB) emitió la opinión a solicitud de la autoridad de supervisión irlandesa. La junta señaló que tenía un mandato estatutario bajo el Reglamento General de Protección de Datos (RGPD) para emitir una opinión sobre asuntos que afectan a más de un estado miembro dentro de la Unión Europea.
La agencia señaló las solicitudes presentadas por el organismo irlandés relacionadas con el procesamiento de datos personales durante las fases de desarrollo y despliegue de la Inteligencia Artificial (IA). Limitó la opinión a cuatro cuestiones relacionadas con la protección de datos dentro de la Unión Europea.
Las cuestiones incluyeron cuándo y cómo un modelo de IA puede considerarse anónimo y cómo los controladores pueden ilustrar la necesidad de interés legítimo en el despliegue. La junta también exploró las consecuencias del procesamiento ilegal de datos durante la fase de desarrollo de un modelo de IA en la operación posterior del modelo de IA.
Respecto a la cuestión de cuándo y cómo se puede determinar la anonimidad de un modelo de IA, el organismo declaró que una autoridad local competente debería hacer tal determinación caso por caso. La junta expresó que no consideraba que todos los modelos de IA entrenados utilizando datos personales fueran anónimos.
El organismo recomendó que las autoridades de supervisión nacionales evalúen la documentación relevante que el controlador proporciona para determinar la anonimidad de un modelo. Agregó que los controladores también deben tomar las medidas pertinentes para limitar la recopilación de datos personales durante el entrenamiento y mitigar posibles ataques.
En la cuestión del interés legítimo como base legal apropiada para el procesamiento de datos personales durante el despliegue de modelos de IA, la junta dejó a los controladores la determinación de la base legal adecuada para procesar dichos datos.
La EDPB enfatizó la prueba de tres pasos para determinar el interés legítimo por parte de los organismos de supervisión. Los pasos incluían identificar el interés legítimo real y analizar su necesidad. Los controladores también deben evaluar si el interés legítimo equilibra los derechos y libertades de los interesados.
Al evaluar las consecuencias, el organismo se refirió a la discreción de las autoridades de supervisión en los respectivos estados. Agregó que las autoridades de supervisión deberían elegir las consecuencias apropiadas dependiendo de los hechos de cada escenario.
La Comisión de Protección de Datos de Irlanda comenta sobre la opinión de la EDPB sobre la regulación de modelos de IA
La Comisión de Protección de Datos de Irlanda respondió en una declaración señalando que la opinión promovería una regulación efectiva y coherente de los modelos de IA en la UE. El comisionado Dale Sunderland comentó:
También apoyará el compromiso de la DPC con las empresas que desarrollan nuevos modelos de IA antes de que se lancen en el mercado de la UE, así como el manejo de las muchas quejas relacionadas con la IA que se han presentado a la DPC.
Dale Sunderland
Las quejas sobre el creador de ChatGPT, OpenAI, supuestamente se han acumulado en los últimos meses. La Autoridad Polaca de Protección de Datos planteó preguntas el año pasado sobre el cumplimiento del desarrollador de IA con el RGPD.
La autoridad alegó que OpenAI pasó por alto requisitos como la consulta previa con los reguladores donde existía un riesgo de violación de datos personales. El regulador señaló que OpenAI lanzó ChatGPT sin consultar a los reguladores locales en contravención de las pautas del RGPD.
El Garante de Italia también ordenó a OpenAI que cesara el procesamiento de datos personales en 2023 antes de abordar los problemas que había identificado con la plataforma de la empresa. Destacó que la compañía con sede en San Francisco carecía de medidas para prevenir el acceso de menores a la tecnología según lo requerido por la ley.
La autoridad reguladora advirtió que el incumplimiento de las directrices conllevaría sanciones, incluyendo un cuatro por ciento de la facturación anual o veinte millones de euros, lo que fuera mayor.
Consigue un trabajo bien remunerado en Web3 en 90 días: La hoja de ruta definitiva