El RGPD de la UE y la futura Ley de IA buscan proteger la privacidad, pero los críticos argumentan que obstaculizan la innovación. Surgen conflictos en torno a la transparencia, la minimización de datos y la rendición de cuentas. Equilibrar el crecimiento de la IA con una sólida protección de la privacidad requiere un diseño que priorice la privacidad, la supervisión del cumplimiento normativo y prácticas éticas, garantizando así el avance de la innovación sin sacrificar los derechos fundamentales.
Las plataformas digitales más grandes del mundo, como Meta y Google, han afirmado que las regulaciones de la UE impiden el lanzamiento de sus herramientas de IA en el mercado europeo y, por consiguiente, obstaculizan la innovación de las empresas en todos los sectores. Los requisitos establecidos en la Ley de Servicios Digitales (DSA), la Ley de IA y el Reglamento General de Protección de Datos (RGPD) crean barreras, según estos gigantes tecnológicos, mientras que grupos de la sociedad civil especializados en la privacidad del consumidor argumentan que las empresas deben cumplir con estándares más altos de responsabilidad en cuanto al uso de los datos antes de ser eximidas de cualquier carga regulatoria.
While the TikToks and Metas of the world claim that consumers are missing out as long as their AI solutions are withheld from the EU market, civil society groups highlight the importance of consumer rights and safety. If the right to personal data protection is fundamentally enshrined in and protected by GDPR, these regulations need to be central to the regulation of and the design and deployment of AI tools. Today it appears that this oversight is missing.
Seeing AI through a data-privacy lens is more than just a layer of red tape; at the same time, however, voices in the European Union caution that taking no action on AI at all will equally stymie innovation and discourage investment. A balance must be struck.
¿Qué es la Ley de IA de la UE? Con un enfoque integral para gobernar y regular la IA en Europa, la Ley de IA abarca riesgos, obligaciones, usuarios e IA de propósito general. Su propósito aparente es impulsar la innovación en IA, permitiendo a las empresas desarrollar y probar modelos de IA de propósito general. Sin embargo, no es tan sencillo.
Los críticos de la regulación creen que frena el desarrollo de la IA y la innovación en general debido a las limitaciones regulatorias. La Ley de IA se considera parte de la extralimitación regulatoria europea, incluyendo el tan citado RGPD, que prioriza la protección digital y la privacidad de los datos en detrimento del desarrollo económico y el liderazgo relacionados con la IA.
Muchos señalarían la decisión de Estados Unidos de adoptar una moratoria de diez años sobre la regulación de la IA como una señal de apoyo tangible al libre flujo de innovación. Los partidarios de la ley estadounidense afirman que ésta evitaría un mosaico enrevesado de leyes estatales sobre IA (que ya plagan el espacio de la privacidad de los datos) al centrarse en una ley a nivel federal, mientras que los opositores afirman que la moratoria es simplemente una concesión para las grandes tecnológicas redactada en un lenguaje favorable a la competencia.
¿Cómo entran en conflicto la Ley de IA y el RGPD, y por qué es importante?
Desde 2018, el RGPD protege la privacidad de los datos personales de los residentes de la Unión Europea, garantizando que el tratamiento de los datos personales sea transparente y legal. La Ley de IA (AIA), que entrará en vigor en 2026, busca establecer requisitos claros para que los sistemas de IA respeten los derechos fundamentales, incluida la privacidad. Sin embargo, surgen desafíos cuando la Ley de IA y el RGPD se encuentran, ya que sus alcances y objetivos difieren significativamente desde el principio.
¿Cómo pueden coexistir, facilitando tanto el crecimiento y el desarrollo de los sistemas de IA como el derecho individual a la privacidad de los datos?
Los sistemas de IA plantean varios desafíos claros a los diseños de privacidad por defecto, incluyendo este conjunto no exhaustivo de ejemplos:
Los sistemas de IA deben tener un propósito claramente definido y legítimo en las primeras etapas de su desarrollo, lo cual entra en conflicto con la normativa que regula las soluciones de IA de propósito general; la base legal adecuada para el procesamiento de datos no se ajusta por defecto a los principios del RGPD.
La transparencia es un principio clave del RGPD y la preservación y protección de la privacidad de los datos; por defecto, los sistemas de IA son como cajas negras que no ofrecen visibilidad sobre su funcionamiento.
Dado que los sistemas de IA requieren la mayor cantidad de datos posible para su entrenamiento, el principio del RGPD de minimización de datos y limitación de la finalidad/alcance resulta irrelevante.
El RGPD exige precisión en los datos y normas estrictas para la retención de datos, algo que los sistemas de IA no están diseñados para respetar.
El RGPD garantiza el derecho de las personas a optar por no participar en la toma de decisiones automatizada, lo que contradice gran parte de las promesas de la IA, que exigirán la supervisión humana en paralelo al funcionamiento del sistema de IA.
La IA puede extraer inferencias de los datos existentes, lo que puede generar nuevas preocupaciones sobre la privacidad. Los sistemas de IA pueden generar información de identificación a partir de los datos disponibles, algo que queda fuera del alcance actual del RGPD. El RGPD y la AIA asignan funciones y responsabilidades de forma diferente, lo que puede generar disparidades en la gobernanza en la evaluación de riesgos y la rendición de cuentas. ¿Quién es responsable de qué?
¿Cómo se pueden equilibrar y superar estos desafíos para garantizar que se respeten tanto la privacidad como la innovación en IA? Las organizaciones que buscan la mejor solución para ambas deben:
Sea específico sobre lo que le pide a la IA que haga: Defina el problema que la IA pretende resolver, identifique los datos utilizados para el entrenamiento y las pruebas, determine los resultados esperados y evalúe cómo se utilizarán dichos resultados. Aplique los principios de minimización de datos del RGPD desde el principio.
Diseñe teniendo en cuenta la privacidad: Tras evaluar los requisitos del RGPD y la AIA, diseñe teniendo en cuenta la privacidad para evitar los mayores inconvenientes de las tendencias de caja negra de la IA.
Supervise el cumplimiento: Realice auditorías periódicas y manténgase al día con la evolución de las normativas para garantizar que el sistema de IA cumpla con los mandatos del RGPD y la AIA.
Siempre vuelva a una mentalidad que priorice la privacidad: Deje que el RGPD sea la guía en caso de duda, ya que la privacidad de los datos individuales es primordial y el RGPD ofrece la mayor protección. Esto significa tener siempre en cuenta la privacidad y el consentimiento del usuario.
Cabe destacar que investigaciones recientes sostienen que los grandes modelos lingüísticos (LLM) se consideran datos personales según el RGPD, lo que significa que el cumplimiento de los requisitos de protección de datos sería aplicable durante todo el ciclo de vida del desarrollo. Esta no es una interpretación universalmente aceptada de los datos LLM, pero conviene ser precavido con la privacidad de los datos. La aparente caja negra de la IA, al abrirse, puede ser más bien una caja de Pandora, revelando que los conjuntos de entrenamiento de IA de código abierto pueden estar plagados de datos personales. Investigaciones recientes encontraron millones de imágenes de pasaportes, tarjetas de crédito, certificados de nacimiento y otros documentos que contienen información personal identificable en DataComp CommonPool, uno de los grandes conjuntos de entrenamiento de IA para la generación de imágenes.
Las perspectivas de la consultora EY lo demuestran claramente: «El riesgo de que la IA haga un uso indebido de los datos y vulnere la privacidad no puede subestimarse, especialmente dada la actual falta de una comprensión integral de sus efectos a largo plazo. Así como los frenos permiten conducir con seguridad a altas velocidades, unos marcos regulatorios sólidos permiten a las organizaciones operar con seguridad y confianza en el cambiante panorama de la IA. Estos marcos facilitan el desarrollo de tecnologías de IA, a la vez que protegen la privacidad personal y los derechos humanos».
©2025 CookieHub ehf.
