Los sistemas de IA procesan datos personales de forma masiva -- pero ¿cuándo se vuelve obligatoria una evaluación de impacto en protección de datos según el art. 35 RGPD? Conozca qué escenarios de alto riesgo desencadenan una EIPD, cómo aplicar la lista negra de las autoridades alemanas y cómo llevar a cabo el proceso de forma metódica.
IA en la empresa: cuándo es obligatoria la evaluación de impacto en protección de datos
La inteligencia artificial impregna la vida empresarial cotidiana: chatbots en atención al cliente, selección de personal asistida por IA, decisiones de crédito automatizadas, mantenimiento predictivo o marketing personalizado. Todas estas aplicaciones tienen algo en común -- suelen procesar datos personales, a menudo a gran escala y mediante nuevas tecnologías. Aquí es precisamente donde entra en juego el art. 35 del Reglamento General de Protección de Datos (RGPD): cuando un tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas, debe realizarse una Evaluación de Impacto en Protección de Datos (EIPD) antes del tratamiento. Este artículo explica cuándo el uso de IA activa la obligación de EIPD y cómo diseñar el proceso de forma jurídicamente segura.
Art. 35 RGPD: el desencadenante en resumen
¿Cuándo es obligatoria la EIPD?
El art. 35, apartado 1, RGPD exige una EIPD cuando un tipo de tratamiento -- en particular si utiliza nuevas tecnologías -- pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento.
Tres supuestos del art. 35, apartado 3, RGPD
El legislador identifica tres situaciones en las que una EIPD es en particular necesaria:
- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas basada en un tratamiento automatizado, incluida la elaboración de perfiles, sobre cuya base se tomen decisiones que produzcan efectos jurídicos o afecten significativamente a la persona
- Tratamiento a gran escala de categorías especiales de datos personales (art. 9, apartado 1, RGPD) o de datos relativos a condenas penales
- Observación sistemática a gran escala de una zona de acceso público
Las tres situaciones pueden ser relevantes al desplegar sistemas de IA -- especialmente la primera, que describe exactamente lo que hacen muchas aplicaciones de IA.
La lista negra de la DSK: cuándo la IA hace obligatoria la EIPD
El art. 35, apartado 4, RGPD obliga a las autoridades de control a publicar una lista de operaciones de tratamiento que requieren una EIPD. En Alemania, la Conferencia de Autoridades Independientes de Protección de Datos (DSK) ha publicado una lista negra (Muss-Liste) vinculante para el sector no público.
La lista negra de la DSK incluye, entre otros:
- Uso de IA para procesar datos personales para controlar la interacción con los interesados o evaluar aspectos personales
- Elaboración de perfiles para evaluar rendimiento laboral, situación económica, salud, preferencias o comportamiento
- Scoring y evaluación de personas físicas, especialmente en materia de solvencia
- Combinación de datos de diferentes fuentes (data matching)
- Tratamiento de datos biométricos para la identificación inequívoca de personas
En la mayoría de los casos en que los sistemas de IA procesan datos personales, la EIPD es, por tanto, la regla, no la excepción.
Escenarios de alto riesgo: aplicaciones de IA bajo la lupa
Elaboración de perfiles y toma de decisiones automatizada (art. 22 RGPD)
El art. 22 RGPD otorga a los interesados el derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado que produzca efectos jurídicos. Casos típicos:
- Decisiones de crédito automatizadas
- Selección de personal asistida por IA
- Fijación automatizada de precios (dynamic pricing)
- Scoring de seguros
Tratamiento de datos biométricos
Los sistemas de IA de reconocimiento facial, análisis de voz o detección de emociones procesan datos biométricos según el art. 9, apartado 1, RGPD. Una EIPD es siempre necesaria.
IA generativa y grandes modelos de lenguaje
El uso de ChatGPT, Copilot y sistemas comparables puede activar la EIPD cuando se introducen datos personales, se procesan datos de la empresa o se utilizan los resultados de la IA para tomar decisiones sobre personas.
Los nueve criterios del Grupo de Trabajo del Artículo 29
Las directrices del Grupo de Trabajo del Artículo 29 (WP 248), refrendadas por el CEPD, definen nueve criterios para la evaluación de riesgos:
- Evaluación o scoring, incluida la elaboración de perfiles
- Toma de decisiones automatizada con efectos jurídicos
- Observación sistemática de personas
- Tratamiento de datos confidenciales o especialmente sensibles
- Tratamiento de datos a gran escala
- Cruce o combinación de conjuntos de datos
- Tratamiento de datos de personas vulnerables
- Uso innovador o aplicación de nuevas tecnologías
- Tratamiento que impide el ejercicio de un derecho o el uso de un servicio
Regla de los dos criterios: Si se cumplen al menos dos criterios, generalmente es necesaria una EIPD. Las aplicaciones de IA suelen cumplir varios criterios simultáneamente.
Metodología EIPD: paso a paso
Contenido mínimo según el art. 35, apartado 7, RGPD
- Descripción sistemática de las operaciones de tratamiento y sus fines
- Evaluación de la necesidad y proporcionalidad del tratamiento
- Evaluación de los riesgos para los derechos y libertades de los interesados
- Medidas previstas para hacer frente a los riesgos, incluidas garantías y mecanismos de protección
Enfoque recomendado para sistemas de IA
Fase 1: Descripción del sistema de IA, flujos de datos y bases jurídicas Fase 2: Análisis de necesidad y proporcionalidad Fase 3: Evaluación de riesgos, considerando la opacidad algorítmica, los sesgos y la minimización de datos Fase 4: Definición de medidas correctoras y documentación de riesgos residuales
Documentación y papel del DPD
La EIPD debe documentarse por escrito y estar disponible para la autoridad de control. El art. 35, apartado 2, RGPD exige que se consulte al delegado de protección de datos (DPD). El DPD debe participar desde la decisión de implantar un sistema de IA.
La orientación de la DSK sobre IA y protección de datos
La orientación de la DSK «Inteligencia artificial y protección de datos» de mayo de 2024 sirve como guía práctica. El LfDI de Baden-Wurtemberg publicó un documento de trabajo sobre bases jurídicas para el uso de IA como ayuda práctica complementaria.
Consecuencias del incumplimiento
- Multas de hasta 10 millones de euros o 2 % de la facturación anual mundial (art. 83, apartado 4, RGPD)
- Prohibición del tratamiento por la autoridad de control
- Indemnización por daños según el art. 82 RGPD
- Daño reputacional mediante comunicaciones públicas de la autoridad
Recomendaciones prácticas
- Utilice una plantilla estructurada que cubra todos los requisitos del art. 35, apartado 7
- Realice un análisis de umbral para cada nuevo proyecto de IA
- Revise periódicamente la EIPD, al menos anualmente para sistemas de IA adaptativos
Conclusión
El despliegue de IA en la empresa requerirá en la gran mayoría de los casos una EIPD según el art. 35 RGPD. Los sistemas de IA que procesan datos personales son por naturaleza tratamientos de alto riesgo. Las empresas que despliegan IA sin realizar una EIPD se arriesgan no solo a multas, sino también a la prohibición del tratamiento -- con graves consecuencias para la actividad empresarial. La buena noticia: una EIPD cuidadosamente realizada no es un obstáculo para la innovación, sino un instrumento que genera confianza y hace gestionables los riesgos.
En compleneo le apoyamos en la realización de evaluaciones de impacto en protección de datos para sistemas de IA, la evaluación de su cumplimiento en materia de IA y el acompañamiento jurídico de sus proyectos de digitalización. Contáctenos.
