SEPB. DIRECTRICES SOBRE LA IA GENERATIVA

SEPB. DIRECTRICES SOBRE LA IA GENERATIVA

Recientemente, se ha publicado por el Supervisor Europeo de Protección de Datos (SEPD) unas directrices sobre el uso de la inteligencia artificial generativa dirigidas a instituciones, órganos, oficinas y agencias de la Unión Europea, no obstante, puede servir de pauta para su aplicación a la empresa privada.

Las conclusiones que sacamos son las siguientes:

  1. RESPETO RGPD: Los sistemas de IA generativa (IAG) que realizan un tratamiento de datos personales deben respetar las obligaciones de protección de datos y principios establecidos en el RGPD, en particular el de minimización y exactitud.

 

  1. TRATAMIENTO DE DATOS EN CUALQUIER FASE: El tratamiento de los datos personales se puede llevar a cabo en cualquier fase del ciclo de vida del sistema de IA generativa y comportar actividades de tratamiento de recogida, entrenamiento, interacción con el sistema y generación de contenido.

 

  1. SISTEMAS PROPIOS O DE TERCEROS E IDENTIFICACIÓN DE ROLES: Las empresas pueden desarrollar un sistema de inteligencia artificial generativa en su empresa o bien implementar un sistema de inteligencia artificial generativa existente identificando en cualquier caso el rol y las obligaciones de cada uno de los participantes.

 

  1. DATA SETS: Los data sets deben ser cuidadosamente diseñados, estar bien estructurados, seguir un proceso de entrenamiento debidamente supervisado, así como someterse a un seguimiento periódico.

 

  1. GARANTÍAS CONTRACTUALES: Cuando se use data sets de entrenamiento, prueba o validación proporcionados por un tercero, deben obtenerse garantías contractuales y documentación sobre los procedimientos utilizados para garantizar la minimización y la exactitud de los datos utilizados para el desarrollo del sistema.

 

  1. CONTROLES A PROVEEDORES: Cuando un proveedor de IA afirma no tratar datos personales para sus sistemas ya sea por que usa datos anonimizados o datos sintéticos se debe solicitar prueba de los controles adoptados para garantizarlo.

 

  1. BASE JURÍDICA: El tratamiento de datos personales requiere una base jurídica. Los proveedores de servicios de modelos generativos de IA pueden utilizar el interés legítimo como base para el tratamiento de datos, en particular en lo referente a la recogida de datos utilizados para desarrollar el sistema, incluidos los procesos de entrenamiento y validaciones. No obstante, deberán realizar el correspondiente ejercicio de ponderación.

 

  1. ETICA Y NO DISCRIMINACIÓN: La aplicación de procedimientos y mejores prácticas para minimizar y mitigar los sesgos debería ser una prioridad en todas las fases del ciclo de vida de los sistemas generativos de IA.

 

  1. MEDIDAS DE SEGURIDAD: El uso de sistemas de IA generativa puede amplificar los riesgos de seguridad existentes o crear otros nuevos y se deberían integrar controles específicos adaptados a las vulnerabilidades de estos sistemas.

 

  1. EQUIPOS INTERDISCIPLINARES: Desde el punto de vista organizativo en la empresa, la implantación de sistemas de IA generativa cumpliendo con el RGPD no debe ser un esfuerzo unipersonal, sino que debe existir un diálogo continuo entre todas las partes interesadas a lo largo del ciclo de vida del producto.

 

  1. POLÍTICAS Y PROTOCOLOS: Se debe contar con políticas, protocolos y procesos debidamente documentados en relación con el uso de sistemas de inteligencia artificial generativa usados incluyendo un registro de sistemas o aplicaciones, un análisis de riesgos, evaluación de impacto cuando existe un alto riesgo para los derechos y libertades fundamentales de las personas.

 

 

✍️https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/edps-guidelines-generative-ai-embracing-opportunities-protecting-people_en