El Supervisor Europeo de Protección de Datos (SEPD) ha publicado, el 3 de junio de 2024, sus orientaciones sobre Inteligencia Artificial generativa (IA generativa) y datos personales para las instituciones de la UE (IUE). Las orientaciones tienen por objeto proporcionar algunos consejos prácticos a las IUE para garantizar que cumplan las obligaciones de protección de datos establecidas en el Reglamento (UE) 2018/1725 de protección de datos, cuando utilicen o desarrollen herramientas de IA generativa.
Estas orientaciones iniciales hacen hincapié en los principios generales de la protección de datos, combinados con ejemplos concretos, pero no prescriben medidas técnicas específicas. A continuación se exponen algunas de las principales conclusiones del SEPD:
- Las instituciones de la UE deben considerar cuidadosamente cuándo y cómo utilizar la IA generativa de manera responsable y beneficiosa para el bien público.
- La supervisión periódica y la aplicación de controles en todas las fases del ciclo de vida de una solución de IA generativa pueden ayudar a verificar que no haya tratamiento de datos personales, en los casos en que el modelo no esté destinado a ello.
- Desde el punto de vista organizativo, la implantación de sistemas de IA generativa de conformidad con el Reglamento de protección de datos no debe ser un esfuerzo unipersonal. Debe existir un diálogo continuo entre todas las partes implicadas (RPD; servicio jurídico, servicio informático y responsable local de seguridad informática) a lo largo del ciclo de vida del producto.
- Los riesgos para la protección de datos deben identificarse y abordarse a lo largo de todo el ciclo de vida del sistema de IA generativa.
- El diseño cuidadoso de conjuntos de datos bien estructurados, que se utilicen en sistemas que prioricen la calidad sobre la cantidad, que sigan un proceso de entrenamiento debidamente supervisado y que se sometan a un seguimiento periódico, es esencial para lograr los resultados esperados.
- A pesar de los esfuerzos por garantizar la exactitud de los datos, los sistemas generativos de IA siguen siendo propensos a resultados inexactos que pueden repercutir en los derechos y libertades fundamentales de las personas.
- La aplicación de procedimientos y mejores prácticas para la minimización y mitigación de sesgos debería ser una prioridad en todas las fases del ciclo de vida de los sistemas de IA generativa.
- Los responsables del tratamiento de datos deberían integrar, además de los controles de seguridad tradicionales para los sistemas informáticos, controles específicos adaptados a las vulnerabilidades ya conocidas de estos sistemas de IA.
Estas orientaciones constituyen una primera etapa hacia unas directrices más detalladas que tendrán en cuenta la evolución de los sistemas y tecnologías de IA generativa, su utilización por las instituciones de la UE y los resultados de las actividades de seguimiento y supervisión del SEPD.