La Ley de Inteligencia Artificial de la Unión Europea (Ley de IA) está aquí para remodelar cómo se desarrollan y utilizan los sistemas de IA. La Ley aclara que el cumplimiento solo puede lograrse si se respetan las normas europeas existentes sobre protección de datos, ciberseguridad y derechos fundamentales.
Al desarrollar o entrenar sistemas de IA, los datos personales no quedan intactos, lo que desencadena el cumplimiento de las leyes de protección de datos como resultado. Si bien la Ley se cruza con las leyes de protección de datos en numerosos puntos, la anonimización de datos, especialmente el enmascaramiento y la ofuscación de datos, emerge como un mecanismo clave para facilitar el cumplimiento de las obligaciones de gestión de datos de la Ley de IA de la UE.
Este artículo arroja luz sobre la Ley de IA de la UE, la interacción entre el RGPD y la Ley de IA de la UE, y cómo los operadores de sistemas de IA, especialmente de alto riesgo, pueden emplear la anonimización para garantizar el cumplimiento de la IA.
Ley de IA de la UE: La primera regulación integral sobre IA
La UE introdujo su primera regulación integral sobre inteligencia artificial, denominada Ley de IA de la UE, el 1 de agosto de 2024, en los 27 estados miembros. La Ley fomenta el desarrollo de inteligencia artificial confiable mientras mitiga su efecto adverso en los valores éticos, derechos fundamentales y seguridad de la UE.
La nueva ley de IA adopta un enfoque regulatorio basado en el riesgo, clasificando los sistemas de IA en cuatro categorías: inaceptable, alto, limitado y mínimo. Los requisitos y obligaciones para cada categoría varían y están programados para entrar en vigor bajo un despliegue por fases, la mayoría de los cuales se aplicarán en 24 meses a partir de la fecha de entrada en vigor.
El incumplimiento de la Ley puede resultar en sanciones entre 7,5 millones de euros o el 1,5% de la facturación anual mundial y 35 millones de euros o el 7% de la facturación anual mundial. El nivel inferior típicamente se aplica a violaciones menos graves, como la falta de cooperación con las autoridades. El nivel superior se aplica a violaciones graves, como el despliegue de sistemas de IA prohibidos. El Artículo 2 de la Ley establece obligaciones para diferentes operadores en la cadena de suministro de IA con un vínculo al mercado de la UE, independientemente de su ubicación, siempre que desarrollen, comercialicen o utilicen sistemas de IA que afecten a individuos dentro de la UE.
Interacción entre la Ley de IA de la UE y el RGPD
La Ley de IA de la UE menciona el RGPD de la UE, Reglamento (UE) 2016/679, 30 veces a lo largo de sus 180 considerandos y 113 artículos. Esta mención frecuente es esperada, dado que los modelos de IA se entrenan con conjuntos de datos que a menudo incluyen datos personales de individuos. Las bases de datos que contienen identificadores como nombre, datos de ubicación, rostros humanos y números de matrícula de conducir se consideran datos personales bajo el RGPD.
Siempre que se utilizan datos personales en el desarrollo o despliegue de un sistema de IA, las empresas deben navegar por la posible superposición entre los dos regímenes para garantizar el cumplimiento y evitar sanciones. Mientras que el RGPD se centra en la protección de datos personales, la Ley de IA de la UE se aplica tanto a datos personales como no personales. Aunque sus enfoques difieren, las organizaciones deben mapear cuidadosamente sus obligaciones para determinar cuáles de sus operaciones están regidas por el RGPD, la Ley de IA de la UE, o ambos.
Papel de la anonimización en el cumplimiento de la Ley de IA de la UE
El Artículo 10(5) de la Ley de IA de la UE ordena que los conjuntos de datos de entrenamiento, validación y prueba estén sujetos a prácticas de gobernanza y gestión de datos apropiadas para el propósito previsto del sistema de IA de alto riesgo, particularmente para garantizar la detección y corrección de sesgos. El Artículo 2(7) aclara que la aplicación de la Ley de IA de la UE no afectará al Reglamento (UE) 2016/679 (RGPD) ni a la Directiva 2002/58/CE (Directiva de privacidad electrónica), sin perjuicio de los Artículos 10(5) y 59.
El Artículo 59 establece reglas sobre el procesamiento de datos personales para desarrollar sistemas de IA de alto riesgo, estableciendo requisitos para que los proveedores y desplegadores de IA cumplan con las leyes de protección de datos existentes. Aquí, garantizar que un sistema de IA sea justo y no sesgado requerirá también el cumplimiento de los requisitos relevantes del RGPD, incluidos la legalidad, equidad y transparencia (Artículo 5(1)(a)); minimización de datos (Artículo 5(1)(c)); exactitud (Artículo 5(1)(d)); procesamiento de categorías especiales de datos personales (Artículo 9); derechos de los interesados (Artículos 12-22); y medidas de seguridad (Artículo 32).
El Artículo 9 del RGPD es particularmente relevante al procesar categorías especiales de datos personales, como datos genéticos y biométricos, lo cual está prohibido por la ley. Sin embargo, bajo el Artículo 6 del RGPD, el procesamiento puede ser legal si no infiere atributos sensibles y se aplican técnicas de anonimización apropiadas para hacer que los datos no sean identificables (Considerando 26). En tales casos, las restricciones del Artículo 9 pueden no aplicarse.
La Ley de IA de la UE prohíbe el uso de sistemas de IA (Artículo 5) que involucren prácticas de IA prohibidas, como la identificación biométrica en tiempo real para vigilancia masiva en espacios públicos; y el raspado no dirigido de imágenes faciales de internet o CCTV para bases de datos de reconocimiento facial. A este respecto, los primeros requisitos de la Ley de IA de la UE, que prohíben prácticas de IA prohibidas, entraron en vigor el 2 de febrero de 2025.
El Artículo 6 de la Ley de IA de la UE describe los umbrales para clasificar los sistemas de IA como de alto riesgo. La Ley, en su Anexo III, especifica ocho contextos diferentes que generalmente se consideran de alto riesgo, como la gestión de infraestructuras críticas (por ejemplo, sistemas de gestión de tráfico impulsados por IA) y sistemas de identificación biométrica que no están prohibidos (por ejemplo, reconocimiento de huellas dactilares o iris en controles fronterizos).
Los sistemas de IA utilizados únicamente para verificar la identidad de una persona en el emparejamiento 1:1, es decir, para confirmar si una persona es quien dice ser (por ejemplo, desbloquear un teléfono con reconocimiento facial o de huella dactilar), no se consideran de alto riesgo. En un caso de emparejamiento 1:N (para identificar a un individuo de un grupo), la Ley clasifica dichos sistemas como de alto riesgo e impone requisitos para documentación, gobernanza estricta, gestión de riesgos, transparencia para otros y la realización de evaluaciones de impacto sobre los derechos fundamentales.
Para cumplir con los requisitos para sistemas de IA de alto riesgo, especialmente cuando se utilizan datos biométricos, genéticos o, en general, otros datos sensibles para entrenar los modelos de IA, los desarrolladores de IA pueden emplear técnicas de anonimización, cifrado o seudonimización. Esto garantiza el cumplimiento de:
- Gobernanza y gestión de datos (Artículo 10), que requiere medidas técnicas y organizativas apropiadas (MTOs) para minimizar riesgos. Por ejemplo, una empresa de tecnología de salud recopila datos de cientos de pacientes que contienen sus características faciales para desarrollar y entrenar un sistema de IA de alto riesgo que diagnostica enfermedades de la piel. Aquí, difuminar las características faciales ayuda a los desarrolladores de IA a prevenir la recopilación excesiva de datos (asegurando que solo se exponga la parte de la piel) y reduce el riesgo de identificar a individuos, protegiendo así su privacidad y derechos de protección de datos.
- Precisión, robustez y ciberseguridad (Artículo 15), que requiere que los sistemas de IA sean técnicamente robustos y resistentes a la manipulación. La anonimización, en este caso, puede ayudar a los desarrolladores a reducir el riesgo de acceso no autorizado y riesgos cibernéticos.
- Evaluaciones de impacto sobre los derechos fundamentales (EIDF), que requieren que los desplegadores de sistemas de IA de alto riesgo evalúen su impacto en los derechos fundamentales. Si el sistema procesa datos personales, se pueden aplicar técnicas de anonimización para reducir los riesgos de incumplimiento del RGPD. Cuando los datos se anonimizan adecuadamente de manera irreversible, se consideran no personales bajo el RGPD. Así, cuando los desarrolladores y desplegadores de IA realizan EIDF (Artículo 27) o evaluaciones de conformidad (Artículo 43), mitigan el riesgo de violar los derechos fundamentales y deben probar que el riesgo de reidentificación es mínimo.
- El Considerando 59 destaca la necesidad del derecho a la privacidad y garantizar la protección de los datos personales durante todo el ciclo de vida del sistema de IA, requiriendo consideración para los principios del RGPD como la protección de datos por diseño y por defecto. Esto significa que, por ejemplo, cuando una empresa automotriz graba calles para construir conjuntos de datos para entrenar vehículos autónomos o sistemas de conducción asistida (ADAS), los datos deben ser anonimizados (rostros y matrículas en las grabaciones difuminados).
Habilitando el cumplimiento de la IA con la anonimización avanzada de Gallio.pro
La Ley de IA de la UE establece requisitos estrictos para el procesamiento de datos personales en el entrenamiento de sistemas de IA. Sin duda, tendrá un efecto profundo en cómo los desarrolladores de IA equilibran la protección de la privacidad de los datos con la preservación de los datos críticos necesarios para el entrenamiento de IA. Gallio.pro se destaca en el enmascaramiento de datos de identificación personal, como matrículas y rostros, permitiéndole mantener el rendimiento del modelo de IA mientras cumple con las regulaciones de privacidad. Nuestras soluciones de anonimización pueden ayudarle a cumplir con los estrictos requisitos para sistemas de IA de alto riesgo, mitigando el riesgo de complicaciones legales y regulatorias.
