El RGPD permite el desarrollo de una IA innovadora y responsable en Europa. Las dos nuevas recomendaciones de la CNIL lo ilustran con soluciones concretas para informar a las personas cuyos datos se utilizan y facilitar el ejercicio de sus derechos.
El RGPD permite una IA innovadora que respeta los datos personales
La Cumbre de Acción sobre Inteligencia Artificial , organizada por Francia del 6 al 11 de febrero de 2025, acogerá numerosos eventos que confirman que la IA tiene potencial de innovación y competitividad para los próximos años.
Desde 1978, Francia ha adoptado normas para regular el uso de datos personales por parte de las tecnologías digitales. En Europa, estas normas han sido armonizadas por el Reglamento General de Protección de Datos (RGPD), cuyos principios inspiran a muchos países a nivel internacional.
Consciente de los desafíos que supone clarificar el marco jurídico, la CNIL trabaja, a través de todas sus acciones, para asegurar el apoyo de las partes interesadas con el fin de promover la innovación en IA, garantizando al mismo tiempo el respeto de los derechos fundamentales de los europeos . Desde el lanzamiento de su plan de acción sobre IA en mayo de 2023, la CNIL ha adoptado, en particular, una serie de recomendaciones para el desarrollo de sistemas de IA . Así iluminado y clarificado, la aplicación del RGPD es un factor de confianza para las personas y de seguridad jurídica para las empresas.
Una necesaria adaptación de los principios del RGPD a las especificidades de la IA
Algunos modelos de IA son anónimos: no tienen por qué aplicar el RGPD. Pero otros modelos, como el Modelo de Lenguaje (LLM), pueden contener datos personales. El Comité Europeo de Protección de Datos proporcionó recientemente criterios relevantes sobre la aplicación del RGPD a un modelo de IA.
Cuando es aplicable el RGPD, los datos de las personas deben protegerse, ya sea a través de bases de entrenamiento, dentro de los modelos que los hayan memorizado o en el uso de los modelos mediante indicaciones. Pero los principios cardinales de esta protección, que siguen siendo aplicables, deben aplicarse en el contexto específico de la IA.
La CNIL consideró pues que:
- El principio de finalidad se aplicará de manera apropiada a los sistemas de IA de propósito general : un operador que no pueda definir con precisión todas sus futuras aplicaciones desde la etapa de entrenamiento podrá limitarse a describir el tipo de sistema desarrollado e ilustrar las principales funcionalidades posibles;
- El principio de minimización no impide el uso de grandes bases de datos de entrenamiento . Los datos utilizados deberían, en principio, seleccionarse y depurarse para optimizar el entrenamiento del algoritmo , evitando la explotación de datos personales innecesarios.
- El período de retención de los datos de entrenamiento puede ser largo si está justificado y si la base de datos está sujeta a medidas de seguridad adecuadas , en particular para bases de datos que requieren una inversión científica y financiera significativa y que a veces se convierten en estándares reconocidos. por la comunidad científica.
- La reutilización de bases de datos, en particular de aquellas accesibles en línea, es posible en muchos casos , después de haberse verificado que los datos no han sido recogidos de forma manifiestamente ilícita y que la reutilización es compatible con la recogida inicial.
Las nuevas recomendaciones de la CNIL
La CNIL publica hoy dos nuevas recomendaciones para el uso de la IA respetuosa con los datos personales, que confirman que los requisitos del RGPD están suficientemente equilibrados para abordar las especificidades de la IA. Estas recomendaciones proponen soluciones concretas y proporcionadas para informar y facilitar el ejercicio de los derechos de las personas:
- Cuando se utilizan datos personales para entrenar un modelo de IA y estos pueden ser almacenados por éste, se deberá informar a las personas interesadas.
Los métodos de información pueden adaptarse en función de los riesgos para las personas y las limitaciones operativas. El RGPD permite, en determinados casos, en particular cuando los modelos de IA se crean a partir de fuentes de terceros ( datos de terceros ) y el proveedor no puede contactar a las personas individualmente, limitarse a información general (por ejemplo, en el sitio web de la organización). Cuando se utilizan muchas fuentes, como es el caso, por ejemplo, de los modelos de IA de propósito general, normalmente es suficiente una información global que indique, por ejemplo, categorías de fuentes o incluso los nombres de algunas fuentes principales.
Consulte las recomendaciones de la CNIL para informar a las personas
- La normativa europea prevé los derechos de acceso, rectificación, oposición y supresión de los datos personales.
Sin embargo, estos derechos pueden ser particularmente difíciles de implementar en el contexto de los modelos de IA, ya sea para identificar personas dentro del modelo o para modificarlo. La CNIL pide a las partes interesadas que hagan todo lo posible para tener en cuenta la protección de la vida privada desde la fase de diseño del modelo. En particular, invita a los interesados a prestar especial atención a los datos personales presentes en las bases de formación:- tratando de hacer anónimos los modelos, cuando esto no sea contrario al objetivo perseguido; Y
- mediante el desarrollo de soluciones innovadoras para evitar la divulgación de datos personales confidenciales por parte del modelo.
- tratando de hacer anónimos los modelos, cuando esto no sea contrario al objetivo perseguido; Y
El coste, la imposibilidad o las dificultades prácticas pueden a veces justificar la negativa a ejercer derechos; Cuando sea necesario garantizar el derecho, la CNIL tendrá en cuenta las soluciones razonables a disposición del creador del modelo y podrán adaptarse las condiciones del plazo. La CNIL destaca que la investigación científica evoluciona rápidamente en este ámbito y llama a los interesados a mantenerse informados de la evolución del estado de la técnica con el fin de proteger lo mejor posible los derechos de las personas.
Consulte las recomendaciones de la CNIL sobre los derechos de las personas
► Ver todas las recomendaciones de la CNIL sobre la IA
Consulta con las partes interesadas en IA y la sociedad civil
Todas estas recomendaciones se elaboraron tras una consulta pública. Las partes interesadas (empresas, investigadores, universitarios, asociaciones, asesores jurídicos y técnicos, sindicatos, federaciones, etc.) pudieron expresarse y permitir a la CNIL proponer recomendaciones lo más cercanas posible a sus preguntas y a la realidad de los usos de la IA.
Ver el resumen de contribuciones
El trabajo de la CNIL para garantizar la aplicación completa y pragmática del RGPD en el ámbito de la IA continuará en los próximos meses con nuevas recomendaciones y apoyo a las organizaciones. Además, la CNIL sigue los trabajos de la oficina de IA de la Comisión Europea para elaborar un código de buenas prácticas sobre IA de uso general y se coordina con los trabajos de clarificación del marco jurídico realizados a nivel europeo.