Tratamiento de datos personales en la inteligencia artificial

La inteligencia artificial (IA), busca dotar de las características del proceso intelectual humano a los procedimientos tecnológicos modernos, para lo cual puede nutrirse de información de carácter personal. A continuación unas consideraciones con respecto al tratamiento de datos personales en la IA, y los retos que esta relación plantea.

¿Cómo se puede llegar a realizar un tratamiento de datos personales en la IA?

Algunos de los desarrollos de la IA buscan identificar patrones de comportamiento humano a partir del procesamiento de big data, por ejemplo, para predecir y personalizar anuncios publicitarios en la web, identificar preferencias de compra o de selección de contenido.

Además, existen mecanismos como las redes neuronales artificiales profundas -algoritmos modelados a partir del cerebro humano-, que buscan reconocer sonidos, imágenes y lenguajes. Así, en ciertos subprocesos de la IA, se puede llegar a tratar datos de individuos que, aunque se encuentren desagregados, si se analizan en conjunto pueden identificar a una persona en particular.

¿Cuál es el principal reto que plantea el tratamiento de datos personales en la IA?

El gran reto para la IA será determinar si dentro de los grandes volúmenes de información procesada se puede identificar a una persona; y, por ende, si se está ante un tratamiento de datos personales, actividad estrictamente regulada por las leyes de privacidad. Este reto ha sido enfrentado a partir de técnicas como la “anonimización” y “seudonimización” de datos personales.

La anonimización rompe el vínculo entre los datos y la identificación personal mediante procesos de desvinculación irreversibles, lo cual permitiría considerar que no existe un tratamiento de datos personales, en la medida en que no hay una persona natural identificada o identificable, -una discusión aún vigente-. La seudonimización, por su parte, desasocia datos identificativos de una persona (por ejemplo, remplazando el nombre y apellido por un código), pero mantiene datos adicionales que, vistos en conjunto, permiten una reidentificación del individuo, lo que conllevaría a un tratamiento de datos personales regido por ley.

En consecuencia, para concluir si un actor de la IA debe adecuar sus desarrollos a la normativa de privacidad, deberá determinar qué tipo de datos se están recolectando, si contienen información de carácter personal (y pueden ser identificativos de una persona natural); y, de ser así, si se requiere el consentimiento previo del titular o se está ante alguna de las excepciones previstas por la ley.

¿Qué recomendaciones han propuesto las autoridades para el tratamiento de datos en la IA?

Las autoridades de protección de datos se han fijado en la creciente relación entre el tratamiento de datos y la IA. En Europa, la Agencia Española de Protección de Datos publicó una guía de adecuación al Rgpd de tratamientos en la IA, y en Colombia, la SIC publicó el texto aprobado por las entidades integrantes de la Red Iberoamericana de Protección de Datos, en el cual se expiden recomendaciones generales para el tratamiento de datos en la IA. Se destacan las siguientes recomendaciones: efectuar estudios de impacto de privacidad; incorporar la privacidad, la ética y la seguridad desde el diseño y por defecto; materializar el principio de responsabilidad demostrada; y asegurar la calidad de los datos.