Brecha en las Normas de la UE para la IA Requiere un Enfoque Bien Documentado
Las regulaciones de la Unión Europea para la inteligencia artificial presentan desafíos complejos para las organizaciones que implementan IA utilizando datos personales de categoría especial, o sensibles, para detectar y corregir sesgos.
Con la Ley de IA de la UE regulando la tecnología y el Reglamento General de Protección de Datos (RGPD) regulando los datos personales, los líderes legales y empresariales enfrentan la tarea de garantizar un cumplimiento dual, especialmente con el aumento del procesamiento de datos personales sensibles por parte de la IA.
Los desafíos regulatorios a menudo giran en torno a la tensión fundamental entre la equidad algorítmica —asegurando que los sistemas de IA traten a todos por igual, libres de discriminación— y la protección de datos personales sensibles.
Vacío Regulatorio
Para abordar esto, el Artículo 10(5) de la Ley de IA permite el procesamiento de categorías especiales de datos personales cuando es “estrictamente necesario” para detectar y corregir sesgos en sistemas de IA de alto riesgo. Sin embargo, esto parece contradecir la prohibición general del RGPD en el Artículo 9 sobre el procesamiento de dichos datos sin consentimiento explícito o una base legal específica, como un interés público sustancial.
En su lugar, el Artículo 10(5) parece crear lo que algunos interpretan como una nueva base legal para el procesamiento de datos sensibles, ampliando los principios de procesamiento justo del Artículo 5 para cubrir la detección o corrección de sesgos.
No obstante, las opciones de excepción de base legal del Artículo 9 del RGPD no contienen una excepción explícita para la detección o corrección de sesgos. Y no está claro si la detección o corrección de sesgos puede considerarse un interés público sustancial reconocido.
Esta brecha regulatoria crea incertidumbre para las organizaciones que luchan por garantizar que sus sistemas de IA sean tanto justos como conformes a los requisitos regulatorios de protección de datos de la UE y de IA.
Rutas de Procesamiento
Si bien la Ley de IA reconoce la supremacía del RGPD en casos de conflicto, las organizaciones deben identificar las bases legales apropiadas bajo el Artículo 9 al procesar datos sensibles para la detección y corrección de sesgos.
Un artículo reciente sugiere que los legisladores pueden necesitar intervenir en la interacción entre estas regulaciones. Sin embargo, las organizaciones tendrán que lidiar con este acto de equilibrio mientras tanto.
Una solución práctica podría implicar un enfoque más matizado para interpretar “interés público sustancial” bajo el Artículo 9(2)(g) del RGPD. El Supervisor Europeo de Protección de Datos elaboró sobre cómo este artículo podría permitir el procesamiento bajo “interés público sustancial”, con la Ley de IA sirviendo potencialmente como base legal.
La sugerencia del Supervisor Europeo de Protección de Datos de este camino es un movimiento positivo, pero esta interpretación requiere que las autoridades de supervisión lleguen a esta conclusión y proporcionen una certeza legal confiable.
Una segunda opción sigue la perspectiva de una autoridad supervisora belga que nota que corregir sesgos es coherente con el principio de procesamiento justo del RGPD. Sin embargo, el procesamiento justo no es una base legal reconocida bajo el Artículo 9. Así que, al igual que con la primera opción, se requiere un consenso más amplio entre las autoridades de supervisión para ayudar a las organizaciones a tener certeza regulatoria.
Cumplimiento Dual
En ausencia de orientación regulatoria definitiva, las organizaciones deben considerar un enfoque integral que aborde ambos marcos regulatorios.
Quienes implementan sistemas de IA de alto riesgo deben continuar realizando evaluaciones de riesgo exhaustivas que consideren tanto los requisitos de la Ley de IA como los del RGPD. Esto incluye identificar la clasificación de alto riesgo, determinar si el procesamiento de datos de categorías especiales es necesario para la detección de sesgos, realizar evaluaciones de impacto sobre la protección de datos y documentar los procesos de toma de decisiones y estrategias de mitigación de riesgos.
Las medidas técnicas y organizativas, importantes bajo el RGPD, son vitales al procesar datos personales sensibles a través de una plataforma de IA. Es justo concluir que las autoridades de supervisión —los reguladores de protección de datos individuales ubicados en cada país de la UE que interpretan y aplican la ley de la UE— y el Parlamento Europeo continuarán enfatizando la importancia de fuertes salvaguardias de ciberseguridad.
Las organizaciones deben aplicar medidas de seguridad de vanguardia, asegurar controles de acceso robustos para el procesamiento de datos sensibles, implementar sólidos principios de minimización de datos, eliminar datos de categorías especiales rápidamente después de la corrección de sesgos y explorar técnicas de anonimización cuando sea factible.
Al considerar las bases legales apropiadas para el procesamiento de datos personales de categoría especial dentro de una plataforma de IA, las organizaciones pueden necesitar un enfoque híbrido. Esto implica obtener consentimiento explícito cuando sea posible y explorar la excepción de “interés público sustancial” donde el consentimiento sea impracticable para documentar cómo la detección de sesgos sirve a intereses sociales importantes.
En paralelo, también puede ser prudente documentar que corregir sesgos es consistente con el principio de procesamiento justo del RGPD, siguiendo la perspectiva de la autoridad supervisora belga.
Ninguno de este análisis es útil si la documentación y la transparencia no demuestran cumplimiento. Las organizaciones deben mantener registros detallados de las actividades de procesamiento que involucren datos de categorías especiales, documentar evaluaciones de necesidad y análisis de bases legales, comunicar de manera clara y transparente sobre cómo utilizan los datos, y desarrollar estructuras de gobernanza que supervisen los sistemas de IA que procesan datos sensibles.
La falta de claridad regulatoria para el uso de datos personales sensibles para la mitigación de sesgos en la IA es un desafío para las organizaciones que luchan por cumplir con tanto la Ley de IA de la UE como el RGPD. Mientras las organizaciones esperan la tan necesaria orientación de los legisladores y autoridades de supervisión, deben adoptar un enfoque proactivo y bien documentado para la evaluación de riesgos, la minimización de datos y la transparencia.
