Inteligencia artificial: Transparencia

Imagen de Mohamed Hassan desde Pixabay

El principio de transparencia del RGPD se establece en el artículo 5.1.a), se desarrolla en los considerandos 39 y del 58 al 62, y se detalla en el artículo 12 y siguientes. La aplicación del principio de transparencia del RGPD (en adelante nos referiremos a él como Transparencia-RGPD) es una obligación impuesta a los responsables del tratamiento de datos personales para advertir a los interesados de su impacto.

Por otro lado, "transparencia" es un término que también se utiliza en relación con la Inteligencia Artificial (IA). Por ejemplo, en la propuesta de Reglamento de IA (AIA) se establecen algunas obligaciones de transparencia sobre determinados sistemas de IA. En el artículo 4a.1.d) (propuesto por el Parlamento) se establece que “"transparencia" significa que los sistemas de IA se desarrollarán y utilizarán de forma que permitan una trazabilidad y explicabilidad adecuadas, al tiempo que se hace saber a los seres humanos que se comunican o interactúan con un sistema de IA y se informa debidamente a los usuarios de las capacidades y limitaciones de dicho sistema de IA y a las personas afectadas de sus derechos”; en el artículo 13 titulado “Transparencia y comunicación de información a los usuarios”, en el apartado 1 se establece que “Los sistemas de IA de alto riesgo se diseñarán y desarrollarán de un modo que garantice que funcionan con un nivel de transparencia suficiente para que los usuarios interpreten y usen correctamente su información de salida. Se garantizará un tipo y un nivel de transparencia adecuados para que el usuario y el proveedor cumplan las obligaciones oportunas previstas en el capítulo 3 del presente título”, y en el apartado 2 “irán acompañados de las instrucciones de uso correspondientes en un formato digital o de otro tipo adecuado, las cuales incluirán información concisa, completa, correcta y clara que sea pertinente, accesible y comprensible para los usuarios”. En el artículo 52.1 también se determina que “los proveedores garantizarán que los sistemas de IA destinados a interactuar con personas físicas estén diseñados y desarrollados de forma que dichas personas estén informadas de que están interactuando con un sistema de IA”.

Las obligaciones con relación a la transparencia del sistema de IA son aplicables desde el diseño del mismo y a lo largo de todo su ciclo de vida independientemente de si procesan datos personales. Por lo tanto, el término "transparencia" en AIA (Transparencia-AIA) se utiliza con un significado diferente al de Transparencia-RGPD. 

Transparencia-AIA se aplica a los sistemas de IA, mientras que Transparencia-RGPD aplica a los tratamientos de datos personales definidos en el artículo 2 y en el artículo 4.2 del RGPD. Un sistema de IA puede ser uno de los medios utilizados para llevar a cabo una o varias operaciones dentro de un tratamiento. Por lo general, un tratamiento de datos personales se implementa a través de varios tipos de sistemas, como sistemas en la nube, sistemas de comunicación, sistemas móviles, sistemas de cifrado, etc. y algunos de ellos podrían ser sistemas de IA.
 

Transparencia-AIA obliga a diseñadores, desarrolladores, proveedores y usuarios/entidades que despliegan sistemas de IA. Transparencia-RGPD obliga a los responsables del tratamiento. Los diseñadores y desarrolladores pueden ser responsables o encargados del tratamiento si utilizan datos personales en el diseño o desarrollo del sistema de IA.  Los proveedores pueden ser responsables o encargados del tratamiento si los sistemas de IA almacenan o tratan datos de interesados identificados o identificables. Los usuarios/entidades que despliegan un sistema de IA podrían ser responsables o encargados del tratamiento si incluyen dicho sistema como parte de sus tratamientos. Únicamente aquellos que actúen como responsables del tratamiento deben cumplir las obligaciones de Transparencia-RGPD.

La Transparencia-AIA obliga a informar a los usuarios/entidades que despliegan los sistemas de IA y a las personas físicas o grupos de personas afectadas por un sistema de IA. Estas personas físicas podrían verse afectadas incluso cuando no sean interesados (tal como se definen en el RGPD), por ejemplo, en el caso de que las personas físicas sean destinatarias de contenidos multimedia creados por el sistema de IA.

La Transparencia-RGPD establece la obligación a los responsables del tratamiento para que informen a los interesados en tratamientos que incluyan la toma de decisiones automatizadas y la elaboración de perfiles. Por lo que respecta a las decisiones automáticas, no todas se aplican mediante sistemas de IA y, por otra parte, no todos los sistemas de IA utilizados en tratamientos de datos personales estarían relacionados con la decisión automatizada o la elaboración de perfiles con arreglo al artículo 22.1 y 22.4 del RGPD.

Por último, el tipo de información que debe entregarse en el marco de la Transparencia-AIA o la Transparencia-GDPR es diferente. Diferentes remitentes, diferentes destinatarios y diferentes propósitos implican diferente cantidad y categoría de información a entregar. En cualquier caso, la información que debe entregarse se establece en la normativa.

El RGPD establece los datos mínimos que deben entregarse en los artículos 13 y 14, y los considerandos 39 y 58 a 62 explican que la información entregada debe cumplir los siguientes objetivos hacer que las personas físicas sean “conscientes de los riesgos”, de la “existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración”, de los “responsables del tratamiento”, de los “fines”, de los “derechos”, de las “garantías” y de “cualquier otra información necesaria para garantizar un tratamiento leal y transparente, teniendo en cuenta las circunstancias específicas y el contexto en el que se tratan los datos personales”, de una manera “fácil de entender”, utilizando un “lenguaje claro y sencillo”, y cuando exista una toma de decisiones automatizada, incluida la elaboración de perfiles, como mínimo la información significativa de la lógica implicada, así como la importancia y las consecuencias previstas, como mínimo.

La Transparencia-AIA con relación a la información facilitada a los usuarios/ entidades que despliegan los sistemas de IA está relacionada con la explicabilidad (artículo 13, artículo 4 bis de la versión del Parlamento y el considerando 38 del AIA), la documentación, el mantenimiento de registros y con el suministro de información sobre cómo utilizar dicho sistema de IA (considerando 43 de la AIA). Debe permitir a los usuarios/ entidades que despliegan el sistema de AI cumplir con sus obligaciones normativas. La Transparencia-AIA para las personas físicas figura en el artículo 52.1 de la propuesta de AIA, y está relacionada con la obligación de advertir a las personas físicas de que están interactuando con un sistema de IA. 

En conclusión, la Transparencia-RGPD y la Transparencia-AIA tienen significados diferentes, establecen obligaciones para actores diferentes, se refieren a categorías de información distinta, tanto en contenido como en redacción, y se dirigen a destinatarios diferentes. Por lo tanto, si se proporciona a los interesados la misma información que se elabore desde el punto de vista de Transparencia-AIA, no se estaría cumpliendo los deberes de Transparencia-RGPD.

Cuando el usuario/entidad que despliega el sistema de IA desempeña la función de responsable o encargado del tratamiento, está obligado a cumplir el principio de responsabilidad proactiva del RGPD. Sería imposible hacerlo si los sistemas utilizados para llevar a cabo la actividad de tratamiento no cumplieran de por sí este principio. Si los medios del tratamiento, es decir, los sistemas de IA, los sistemas en la nube, los sistemas móviles, los sistemas de comunicaciones y otros, no están debidamente documentados y no aportan pruebas sobre los requisitos necesarios de rendimiento, privacidad y seguridad, el responsable del tratamiento no debería utilizarlos. Por lo tanto, implícitamente, la información disponible en el marco de la Transparencia-AIA debería ser lo suficientemente completa como para permitir a los responsables y encargados del tratamiento cumplir sus diferentes obligaciones con arreglo al RGPD.

Por último, no debemos confundir las obligaciones de transparencia con las facultades de investigación de las Autoridades de Supervisión, la evaluación de los organismos de certificación o las actividades de supervisión de los organismos de código de conducta. La información que se les solicite y entregue debe ser lo suficientemente completa y profunda para cumplir con sus competencias, y esa información va mucho más allá de la necesaria para cumplir con las obligaciones de Transparencia-RGPD.

Este artículo está relacionado con otro material publicado por la División de Innovación Tecnológica de la AEPD, como son, entre otros, los siguientes:

•    Artículo del blog Inteligencia Artificial: principio de exactitud en los tratamientos 
•    Artículo del blog Inteligencia Artificial: Sistema vs. tratamiento, medios vs. finalidad 
•    Artículo del blog Federated Learning: Inteligencia Artificial sin comprometer la privacidad 
•    Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial 
•    Requisitos para Auditorías de Tratamientos que incluyan IA 
•    10 Malentendidos sobre el Machine Learning (Aprendizaje Automático)  
•    Mapa de referencia para tratamientos que incluyen Inteligencia Artificial