Desde hace varios meses, la CNIL se posiciona sobre la IA con la creación de una entidad separada sobre este tema, sino también mediante una consulta pública. 43 empresas y organizaciones respondieron a esta última que el regulador analizó antes de publicar Sus primeras recomendaciones sobre IA. Se trata de 7 expedientes relativos al desarrollo de sistemas de IA. De entrada, la CNIL descarta el conflicto entre innovación y RGPD: "la idea preconcebida de que el RGPD impediría la innovación en inteligencia artificial en Europa es falsa". Por otra parte, las bases de formación incluyen a veces datos personales y requieren una atención especial.

Índice
  1. El propósito y sus derivados
  2. Responsabilidad y base legal

El propósito y sus derivados

La primera hoja se refiere a la definición del objetivo de la IA que se desea desarrollar. El objetivo enmarcará y limitará los datos personales necesarios para alcanzarlo. La CNIL añade requisitos de información (conocida y comprensible) y de legitimidad (adecuación a las misiones de la empresa o de la administración). Reconoce que la definición de este objetivo es compleja en un sistema de IA de propósito general que puede utilizarse en diversos contextos o con fines de investigación científica. En este caso, la CNIL recomienda buenas prácticas como determinar las capacidades previsibles más arriesgadas, las funciones excluidas de la fase de diseño, las condiciones de uso de la IA (código abierto, SaaS, API, etc.).

Esta ficha es similar a la relativa a la minimización de los datos personales utilizados. Deben ser adecuados, pertinentes y limitados a lo necesario. La duración de la conservación de los datos depende del mismo modo del objetivo del sistema de IA. Debe planificarse con antelación y controlarse a lo largo del tiempo. Y, por supuesto, las personas deben estar informadas de esta duración.

Responsabilidad y base legal

Otra ficha informativa se centra en la responsabilidad, distinguiendo entre el responsable del tratamiento y los subcontratistas. En el caso del primero, es el cliente quien define el «por qué» y el «cómo» del uso de los datos personales. Puede haber varios responsables del tratamiento en función de las aportaciones de cada uno. En cuanto a la tercera parte, la CNIL recomienda basarse en el contrato de subcontratación de datos personales con la obligación de respetar las instrucciones del responsable del tratamiento, de no utilizar los datos para ningún otro fin, de proteger los datos con un nivel riguroso de seguridad y, por último, de cumplir con el RGPD.

Este último establece varias bases jurídicas para el tratamiento de datos: consentimiento, cumplimiento de una obligación legal, ejecución de un contrato, ejecución de una misión en interés público, salvaguarda de intereses vitales, persecución de un interés legítimo. En general, el consentimiento es la base jurídica más extendida, pero en el ámbito de la IA, obtener este consentimiento puede resultar imposible (reutilización de bases de datos de código abierto, scraping, etc.). Será necesario, en cambio, recurrir a la persecución de un interés legítimo respetando las condiciones. La CNIL precisa que pronto publicará una ficha informativa pública sobre este tema específico. Por último, una ficha informativa final recomienda a los desarrolladores de sistemas de IA que realicen un análisis de impacto previo "para mapear y evaluar los riesgos del tratamiento en la protección de datos personales". En cualquier caso, es necesario para los sistemas de alto riesgo a los que hace referencia la Ley de IA, subraya el regulador. Una cosa es segura: los DPO tendrán mucho trabajo por delante...