Obligaciones del GDPR en la Era de la Inteligencia Artificial

La Consulta de la DPC como Recordatorio de las Obligaciones del RGPD en la Inteligencia Artificial

La reciente consulta de la Comisión de Protección de Datos de Irlanda (DPC) sirve como un recordatorio crucial para las empresas que implementan herramientas de inteligencia artificial (IA) sobre la necesidad de ser vigilantes respecto a sus obligaciones bajo el Reglamento General de Protección de Datos (RGPD).

Contexto de la Investigación

La DPC ha iniciado una investigación sobre X, anteriormente conocida como Twitter, enfocándose en el procesamiento de datos personales de usuarios de la UE/EEE en la plataforma de redes sociales. Esta investigación se centra en el uso de publicaciones accesibles públicamente para entrenar modelos de IA generativa, específicamente los Modelos de Lenguaje Grande (LLM) desarrollados por xAI, una empresa propiedad de Elon Musk.

El objetivo de la investigación es examinar la conformidad de X con las disposiciones del RGPD, especialmente en lo que respecta a la legalidad y transparencia del procesamiento de datos. La DPC determinará si los datos personales utilizados para entrenar a Grok fueron procesados legalmente y si la empresa cumplió con los requisitos de transparencia obligatorios.

Desafíos en el Uso de Datos Personales

Según Isabel Humburg, especialista en propiedad intelectual e IA, esta investigación resalta la necesidad de contar con marcos regulatorios robustos para garantizar que el desarrollo de la IA esté alineado con estándares legales y éticos. Utilizar datos personales para entrenar modelos de IA plantea desafíos desde una perspectiva de protección de datos, ya que puede ser complicado asegurar que se protejan los derechos de los sujetos de datos. Existe el riesgo de que los datos personales se revelen inadvertidamente a terceros de maneras inesperadas si el modelo de IA no cuenta con las salvaguardias adecuadas.

Investigaciones Previas y Compromisos de Cumplimiento

En el verano de 2024, la DPC inició y concluyó rápidamente una investigación sobre X por el procesamiento ilegal de datos de usuarios para entrenar a Grok. Como resultado, X se comprometió a abstenerse permanentemente de procesar datos de usuarios de la UE para este propósito y eliminó todos los datos procesados anteriormente. Sin embargo, la investigación actual busca garantizar el cumplimiento continuo y abordar cualquier problema restante.

Enfoque en la Legalidad y Transparencia

Nicola Barden, experta en datos, privacidad y ciberseguridad, mencionó que el anuncio de esta investigación no es sorprendente, dado el enfoque creciente de la DPC en asuntos de IA en el último año. La investigación se centra particularmente en la legalidad y transparencia, considerando si X tenía una base legal para procesar los datos personales en este contexto y si los usuarios estaban adecuadamente informados de que sus datos serían utilizados para entrenar los modelos de IA.

Un aspecto preocupante es que, al utilizar información de publicaciones públicas, se podría estar usando datos personales de categoría especial para entrenar el modelo de IA si no se filtran adecuadamente. El RGPD exige que estos datos cumplan con una condición establecida en el Artículo 9 para que su procesamiento sea permitido.

Implicaciones Futuras y Regulaciones

La consulta de la DPC es parte de un esfuerzo más amplio para asegurar que las tecnologías de IA se desarrollen y desplieguen en cumplimiento con las regulaciones de protección de datos. En su programa gubernamental publicado a principios de este año, el gobierno irlandés ha señalado a la IA como una de sus principales prioridades. Irlanda, hogar de muchas empresas tecnológicas internacionales y una comunidad de startups tecnológicas en crecimiento, está bien posicionada para convertirse en un centro de innovación en IA.

Karen Gallagher, experta en propiedad intelectual e IA, destacó el papel central de la DPC en la regulación de la conformidad con la protección de datos en la UE, especialmente en el contexto de la intersección entre datos y IA. Se espera que la DPC y otros reguladores irlandeses, como Coimisiún na Meán, desempeñen un papel destacado en la regulación de la nueva Ley de IA de la UE a medida que este nuevo régimen entre en vigor.

La investigación será monitoreada de cerca en vista de la próxima fecha límite de implementación de la Ley de IA de la UE el 2 de agosto de 2025, que cubre obligaciones para modelos de IA de Propósito General (GPAI), como el Grok LLM. Esta ley exige documentación detallada y requisitos de transparencia para estos modelos, y sus resultados podrían influir en futuros enfoques regulatorios sobre la IA y la protección de datos.