Filtración de datos y cumplimiento: qué ocurre con la inteligencia artificial en la Unión Europea

Filtración de datos y cumplimiento: qué ocurre con la inteligencia artificial en la Unión Europea

Investigación sobre el uso de datos personales en proyectos de inteligencia artificial en la Unión Europea

Pruebas documentales y fuentes verificadas

Esta investigación se apoya en documentos oficiales y orientaciones regulatorias públicas. Entre las fuentes consultadas figuran el texto del Reglamento (UE) 2016/679 (RGPD) y las opiniones y guías del European Data Protection Board (EDPB). También se han revisado los textos y propuestas de la Comisión Europea relativas al Artificial Intelligence Act (propuesta COM(2021)206) y los informes de supervisores nacionales de protección de datos publicados en sus portales oficiales.

Se han cotejado documentos de políticas con material técnico publicado por institutos de investigación y repositorios académicos (por ejemplo, informes de centros de investigación europeos y preprints accesibles públicamente) para contrastar afirmaciones sobre prácticas de tratamiento de datos. Las referencias específicas utilizadas incluyen:

  • Reglamento (UE) 2016/679 (RGPD), Diario Oficial de la Unión Europea.
  • Opiniones y guías del European Data Protection Board (edpb.europa.eu), incluidas comunicaciones sobre IA y protección de datos.
  • Propuesta de la Comisión Europea para la regulación sobre inteligencia artificial (COM(2021)206) y documentos de seguimiento en el sitio de la Comisión Europea (ec.europa.eu).
  • Informes públicos de autoridades nacionales de protección de datos consultados en sus respectivos portales web.

Reconstrucción de los hechos

La secuencia analizada en varios casos públicos y en materiales regulatorios muestra un patrón recurrente: equipos de desarrollo de modelos de inteligencia artificial integran conjuntos de datos heterogéneos —a menudo combinando datos administrativos, datos procedentes de terceros y datos anonimizados— sin documentación completa sobre la procedencia o las bases legales de tratamiento. En algunos supuestos descritos en informes de autoridades de control, la anonimización aplicada resultó insuficiente según criterios técnicos y jurídicos del RGPD.

Los documentos oficiales revisados ponen de manifiesto dos fases críticas donde se multiplican los riesgos: la fase de etiquetado y curación de datos, en la que se procesan datos sensibles para entrenar modelos, y la fase de reutilización comercial, cuando modelos entrenados con datos agregados se incorporan a productos sin evaluaciones de impacto de protección de datos (DPIA) adecuadas.

Protagonistas y responsabilidades

En el tablero de actores identificamos tres grupos con responsabilidades diferenciadas: desarrolladores tecnológicos (startups y grandes empresas), responsables del tratamiento (instituciones públicas o empresas que deciden finalidades) y autoridades de control (agencias nacionales y EDPB a nivel europeo). Cada grupo afronta obligaciones distintas bajo el RGPD y la futura regulación de la IA.

Los documentos analizados (opiniones del EDPB y comunicados de autoridades nacionales) atribuyen fallos frecuentes a:

  • ausencia de bases legales específicas para el tratamiento de ciertos conjuntos de datos;
  • evaluaciones de impacto (DPIA) insuficientes o inexistentes para sistemas de alto riesgo;
  • contratos con proveedores externos que no garantizan medidas técnicas y organizativas adecuadas para proteger los datos.

Implicaciones legales, éticas y económicas

Las implicaciones son múltiples y documentadas en legislación y guías oficiales. En materia legal, el incumplimiento del RGPD puede acarrear sanciones económicas significativas y órdenes de bloqueo de operaciones. Desde la perspectiva de la regulación de la IA, los sistemas catalogados como de alto riesgo estarían sujetos a requisitos adicionales de supervisión y transparencia en la propuesta de la Comisión Europea.

Ética y confianza: la exposición de prácticas deficientes en el manejo de datos reduce la confianza pública en soluciones de IA y puede frenar la adopción comercial. Económicamente, las empresas enfrentan riesgos reputacionales y costes por remediación y cumplimiento retroactivo.

Próximo paso de la investigación

Para avanzar en la investigación se plantean acciones verificables y documentables: solicitar acceso a DPIA y contratos marco a empresas que operan en sectores con sistemas de IA de alto uso de datos; entrevistar a responsables de autoridades de control sobre casos específicos y recopilar expedientes públicos de sanciones y medidas correctoras. Se requerirá además la revisión técnica de métodos de anonimización por parte de peritos externos para contrastar las afirmaciones jurídicas con pruebas técnicas.

Esta investigación continuará con solicitudes formales de información a autoridades nacionales de protección de datos y con peticiones de transparencia a empresas identificadas en documentos públicos. No se avanzarán conclusiones definitivas sin la documentación completa y la verificación pericial de las prácticas técnicas.