¿La Ley de IA reemplaza las obligaciones impuestas por el GDPR?
No, la Ley de IA (Reglamento Europeo sobre Inteligencia Artificial) es muy clara al respecto: no reemplaza los requisitos del GDPR. De hecho, su propósito es complementar el GDPR al establecer requisitos claros para el diseño y uso de sistemas de IA confiables.
En la práctica, el GDPR se aplica a todo tratamiento de datos personales, incluyendo:
Durante el desarrollo: Los proveedores o desarrolladores de IA, en virtud de la Ley de IA, son generalmente considerados controladores de datos cuando procesan datos personales durante el entrenamiento de modelos o el diseño del sistema.
Durante el despliegue: Las organizaciones que despliegan o utilizan sistemas de IA que involucran datos personales también son típicamente controladores de datos bajo el GDPR.
Si bien la Ley de IA introduce sus propias obligaciones de cumplimiento, cumplir con ellas puede, de hecho, apoyar y agilizar tus esfuerzos de cumplimiento del GDPR.
Ley de IA y GDPR: ¿Qué se aplica a tu organización?
Dado que la Ley de IA solo se aplica a sistemas y modelos de IA, mientras que el GDPR cubre todo tratamiento de datos personales, son posibles cuatro escenarios típicos:
| Escenario | Se aplica la Ley de IA | Se aplica el GDPR | Descripción | Ejemplo |
|---|---|---|---|---|
| 1. Solo se aplica la Ley de IA | ✅ Sí | ❌ No | Se aplica a sistemas de IA de alto riesgo que no involucran datos personales, ya sea durante el desarrollo o despliegue. | Un sistema de IA utilizado para optimizar el mantenimiento predictivo en una planta de fabricación industrial. |
| 2. Solo se aplica el GDPR | ❌ No | ✅ Sí | Se aplica cuando se procesan datos personales, pero el sistema de IA no se clasifica como de alto riesgo bajo la Ley de IA. | Un chatbot de atención al cliente que utiliza datos personales, pero no se considera IA de alto riesgo. |
| 3. Ambas regulaciones se aplican | ✅ Sí | ✅ Sí | Se aplica cuando un sistema de IA de alto riesgo procesa datos personales, ya sea durante el desarrollo o uso. | Un sistema de IA utilizado para el análisis predictivo de historiales médicos para diagnósticos en salud. |
| 4. Ninguna regulación se aplica | ❌ No | ❌ No | Se aplica cuando el sistema de IA es de bajo riesgo y no involucra ningún tratamiento de datos personales. | Una herramienta de IA que genera música personalizada en un software de composición musical. |
¿Cómo influye la Ley de IA en el GDPR?
La Ley de IA y el GDPR regulan diferentes aspectos y requieren enfoques distintos. Sin embargo, el cumplimiento de la Ley de IA a menudo facilita —e incluso prepara el terreno para— el cumplimiento del GDPR. Por ejemplo, el cumplimiento de un sistema de IA con el GDPR está incluido en la declaración de conformidad de la UE requerida por la Ley de IA (Anexo V).
Además, la Ley de IA aborda ciertas tensiones entre sus propios requisitos y los del GDPR. Amplía y adapta algunas normas del GDPR de las siguientes maneras:
La Ley de IA reemplaza disposiciones específicas del GDPR sobre el uso de identificación biométrica remota en tiempo real por parte de las fuerzas del orden en espacios públicos. Permite tal uso solo bajo condiciones altamente excepcionales y específicas (Artículo 5).
Permite excepcionalmente el tratamiento de datos sensibles (tal como se define en el Artículo 9 del GDPR) para detectar y corregir posibles sesgos, siempre que sea estrictamente necesario y sujeto a salvaguardias adecuadas (Artículo 10).
Permite la reutilización de datos personales, incluidos los datos sensibles, dentro del marco de "sandboxes regulatorios". Estos sandbox están diseñados para apoyar el desarrollo de sistemas que sirvan a un interés público significativo (como mejorar el sistema de salud). Son supervisados por una autoridad dedicada, que debe consultar con las autoridades de protección de datos con anticipación y verificar el cumplimiento de varios requisitos (Artículo 59).
¿Cómo alinear los requisitos de la Ley de IA y el GDPR?
Si bien la Ley de IA y el GDPR a veces se superponen en los principios que promueven, a menudo abordan estos principios desde diferentes ángulos regulatorios.
Un ejemplo notable es el principio de transparencia y las obligaciones de documentación asociadas, que ilustran cómo los dos marcos pueden complementarse en lugar de entrar en conflicto.
🔍 Requisitos de Transparencia
Bajo el GDPR, las obligaciones de transparencia se centran en informar a las personas cuyos datos personales están siendo tratados. Las organizaciones deben comunicar claramente detalles como el propósito del tratamiento, la identidad del controlador, los métodos de tratamiento, los períodos de retención de datos, entre otros. Estas obligaciones se aplican tanto durante el desarrollo de los sistemas de IA como en su despliegue cuando se involucran datos personales.
La Ley de IA, por otro lado, introduce obligaciones de transparencia adicionales, especialmente para modelos de IA de propósito general y sistemas que interactúan directamente con las personas. Estas pueden incluir requisitos para divulgar los conjuntos de datos utilizados para el entrenamiento o para indicar claramente cuándo los usuarios están interactuando con un sistema de IA.
De esta manera, ambas regulaciones apoyan un objetivo compartido de IA confiable y centrada en el ser humano, cada una reforzando a la otra a través de requisitos de cumplimiento complementarios.
¿Cuáles son las diferencias entre la Ley de IA y el GDPR?
Aunque la Ley de IA y el GDPR comparten muchas similitudes y se complementan, sus objetivos y enfoques son distintos.
Aquí hay una tabla resumen de la comparación:
¿Quieres saber más sobre la oferta de productos de Dastra? Haz clic aquí