¿Por qué no debes guardar datos personales en el ordenador de empresa?

14 marzo, 2025

Fundaciones, aportaciones sucesivas y sorpresas.

28 marzo, 2025

La relación entre inteligencia artificial y datos personales en el reglamento de IA

18 marzo, 2025

Os compartimos el undécimo artículo de nuestra saga quincenal, titulado “LA RELACIÓN ENTRE INTELIGENCIA ARTIFICIAL Y DATOS PERSONALES EN EL REGLAMENTO DE IA” de Efrén Díaz Díaz. Responsable de las Áreas de Tecnología y Derecho Espacialdel Bufete Mas y Calvet. Estos artículos sobre el Reglamento Europeo de Inteligencia Artificial (RIA), escritos por los expertos en cada materia del Bufete Mas y Calvet , ayudan a entender y prevenir cómo afectará el RIA a cuestiones fundamentales que impactan la actividad y organización de las empresas y a las personas en el día a día.

Este artículo examina los desafíos éticos, legales y sociales que plantea la inteligencia artificial (IA) en su interacción con los datos personales, centrándose en el Reglamento (UE) 2024/1689. Este reglamento establece normas armonizadas para el diseño, desarrollo y uso de sistemas de IA en la Unión Europea, garantizando que sean confiables y respetuosos con los derechos fundamentales, incluyendo la privacidad y la protección de datos personales.

En el artículo se destaca la importancia de la gestión de riesgos, la transparencia y la calidad de los datos en los sistemas de IA clasificados como de alto riesgo. Estos sistemas deben cumplir con requisitos estrictos en cuanto a la gestión de riesgos, transparencia y calidad de los datos. Además, se subraya la necesidad de prácticas adecuadas de gestión y gobernanza de datos para asegurar que los conjuntos de datos utilizados sean pertinentes, representativos, libres de errores y completos.

El enfoque basado en el riesgo es fundamental para establecer normas vinculantes eficaces. Las Directrices éticas para una IA fiable de 2019 presentan siete principios éticos no vinculantes para garantizar la fiabilidad y el fundamento ético de la IA, incluyendo la acción y supervisión humanas, solidez técnica y seguridad, gestión de la privacidad y de los datos, transparencia, diversidad, no discriminación y equidad, bienestar social y ambiental, y rendición de cuentas.

En esta noticia también aborda la clasificación de un sistema de IA como de alto riesgo, que depende de las posibles consecuencias adversas para los derechos fundamentales protegidos por la Carta de Derechos Fundamentales de la UE. Los sistemas de IA de alto riesgo deben cumplir con varios requisitos esenciales para mitigar riesgos a la salud, seguridad y derechos fundamentales.

Finalmente, se destacan las medidas específicas destinadas a apoyar a las pymes y empresas emergentes en la implementación del Reglamento de IA, facilitando su participación en espacios controlados de pruebas, actividades de formación y sensibilización, y procesos de normalización. Con una regulación adecuada, la IA puede convertirse en una herramienta poderosa para mejorar la eficiencia y seguridad en diversos sectores, asegurando un futuro más seguro y sostenible.

1. Introducción

La inteligencia artificial representa una tecnología transformadora que redefine sectores económicos y sociales. Sin embargo, también plantea interrogantes sobre su impacto en derechos fundamentales, particularmente en lo referente a la protección de datos personales. Este artículo analiza las disposiciones clave del Reglamento (UE) 2024/1689 (en adelante, Reglamento de IA o RIA) en lo concerniente al tratamiento de datos personales y su interacción con el Reglamento General de Protección de Datos (RGPD).

En la difícil relación entre inteligencia artificial y datos personales en el Reglamento de IA, este estudio aborda los desafíos éticos, legales y sociales que plantea la inteligencia artificial (IA) en su interacción con los datos personales

El Reglamento (UE) 2024/1689 establece normas armonizadas para el diseño, desarrollo y uso de sistemas de IA en la Unión Europea, buscando garantizar que la IA sea confiable y respetuosa con los derechos fundamentales, incluyendo la privacidad y la protección de datos personales. Los sistemas de IA clasificados como de alto riesgo están sujetos a requisitos estrictos en cuanto a la gestión de riesgos, transparencia y calidad de los datos.

El artículo analizará conceptos clave como «sistema de IA», «responsable del despliegue», «dato biométrico», «identificación biométrica», «categorización biométrica», y «sistema de reconocimiento de emociones». Estos conceptos son fundamentales para entender la regulación y aplicación de la IA en el contexto de la protección de datos personales.

El enfoque basado en el riesgo es esencial para establecer normas vinculantes eficaces. Las Directrices éticas para una IA fiable de 2019 presentan siete principios éticos no vinculantes para garantizar la fiabilidad y el fundamento ético de la IA, incluyendo la acción y supervisión humanas, solidez técnica y seguridad, gestión de la privacidad y de los datos, transparencia, diversidad, no discriminación y equidad, bienestar social y ambiental, y rendición de cuentas.

La clasificación de un sistema de IA como de alto riesgo depende de las posibles consecuencias adversas para los derechos fundamentales protegidos por la Carta de Derechos Fundamentales de la UE. Los sistemas de IA de alto riesgo deben cumplir con varios requisitos esenciales para mitigar riesgos a la salud, seguridad y derechos fundamentales.

Los datos de alta calidad y el acceso a estos son esenciales para garantizar el funcionamiento adecuado de muchos sistemas de IA, especialmente aquellos de alto riesgo. Es crucial implementar prácticas adecuadas de gestión y gobernanza de datos para asegurar que los conjuntos de datos utilizados para el entrenamiento, validación y prueba sean pertinentes, representativos, libres de errores y completos.

El derecho a la intimidad y a la protección de datos personales debe garantizarse a lo largo de todo el ciclo de vida de los sistemas de IA. Se aplican los principios de minimización de datos y de protección de datos desde el diseño y por defecto, establecidos en el Derecho de la Unión en materia de protección de datos.

El artículo 59 del Reglamento regula el uso de datos personales previamente recabados con otros fines para el desarrollo, entrenamiento y prueba de sistemas de IA en espacios controlados, siempre que se cumplan estrictas condiciones y se garantice el respeto a los derechos fundamentales y a las normativas de protección de datos.

El artículo 62 establece medidas específicas destinadas a apoyar a las pymes y empresas emergentes en la implementación del Reglamento de IA, facilitando su participación en espacios controlados de pruebas, actividades de formación y sensibilización, y procesos de normalización. Además, se considera la reducción de tasas para la evaluación de conformidad y el desarrollo de herramientas centralizadas de apoyo.

Se culminará el estudio realizado con la extracción de las principales conclusiones prácticas aplicables principalmente a empresas.

2. El Reglamento de IA y la protección de datos de carácter personal

El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de Inteligencia Artificial, RIA)[1], contiene una regulación sobre protección de datos de carácter personal complementaria a la recogida en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE[2] (Reglamento general de protección de datos, RGPD).

El Reglamento de IA establece normas armonizadas para el diseño, desarrollo y uso de sistemas de IA en la Unión Europea. Este marco busca garantizar que la IA sea confiable y respetuosa con los derechos fundamentales, incluyendo el derecho a la privacidad y la protección de datos personales. Los sistemas de IA clasificados como de alto riesgo están sujetos a requisitos estrictos en cuanto a la gestión de riesgos, transparencia y calidad de los datos.

La Inteligencia Artificial (IA) se ha convertido en un motor clave de transformación en numerosos sectores de la economía y en múltiples dimensiones de la sociedad, con un impacto que trasciende las fronteras nacionales dentro de la Unión Europea (UE). Su capacidad para desplegarse y circular de manera transfronteriza plantea tanto oportunidades como retos regulatorios. En este contexto, algunos Estados miembros han comenzado a desarrollar normativas nacionales para asegurar que los sistemas de IA sean fiables, seguros y estén alineados con las obligaciones relativas a los derechos fundamentales. No obstante, la coexistencia de marcos regulatorios divergentes entre los Estados miembros podría fragmentar el mercado interior, reduciendo la seguridad jurídica para los operadores que desarrollan, importan o utilizan sistemas de IA.

Frente a este desafío, es esencial establecer un nivel elevado y coherente de protección en toda la UE. Un enfoque uniforme no solo garantizaría la fiabilidad de los sistemas de IA, sino que también evitaría las disparidades regulatorias que obstaculizan la libre circulación, la innovación y la adopción de esta tecnología en el mercado interior. Con base en el artículo 114 del Tratado de Funcionamiento de la Unión Europea (TFUE), el establecimiento de obligaciones uniformes para los operadores permitirá proteger de manera homogénea los fines imperiosos de interés general y los derechos fundamentales de las personas, y promover al mismo tiempo un entorno propicio para la innovación tecnológica.

El Reglamento de IA aborda, además, aspectos específicos relacionados con la protección de las personas frente al uso de sistemas de IA en actividades sensibles, como la identificación biométrica remota y la evaluación de riesgos de personas físicas con fines de cumplimiento del Derecho. En estas áreas, se introducen restricciones específicas para garantizar el respeto de los derechos fundamentales, sustentándose en el artículo 16 del TFUE. Este enfoque busca regular el tratamiento de datos personales en el contexto del uso de la IA, con especial atención a los riesgos inherentes a los sistemas de identificación y categorización biométrica.

Así, el Considerando 9 del Reglamento de IA parte del siguiente marco normativo:

Deben establecerse normas armonizadas aplicables a la introducción en el mercado, la puesta en servicio y la utilización de sistemas de IA de alto riesgo en consonancia con el Reglamento (CE) n.o 765/2008 del Parlamento Europeo y del Consejo (7), la Decisión n.o 768/2008/CE del Parlamento Europeo y del Consejo (8) y el Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo (9) (en lo sucesivo, «nuevo marco legislativo»). Las normas armonizadas que se establecen en el presente Reglamento deben aplicarse en todos los sectores y, en consonancia con el nuevo marco legislativo, deben entenderse sin perjuicio del Derecho vigente de la Unión, en particular en materia de protección de datos, protección de los consumidores, derechos fundamentales, empleo, protección de los trabajadores y seguridad de los productos, al que complementa el presente Reglamento.

El derecho a la protección de datos personales está garantizado por normativas de la Unión Europea, como los Reglamentos (UE) 2016/679 y 2018/1725[3], la Directiva (UE) 2016/680[4] y la Directiva 2002/58/CE[5], que también protege la privacidad y confidencialidad de las comunicaciones. Estas leyes establecen un marco para el tratamiento responsable de datos, incluidos los que combinan información personal y no personal. El Reglamento sobre IA no modifica estas normativas ni las competencias de las autoridades de supervisión, y mantiene las obligaciones de proveedores y responsables en relación con el tratamiento de datos personales. Asimismo, garantiza que los interesados conserven sus derechos, como los relacionados con decisiones automatizadas y elaboración de perfiles. Las normas armonizadas del Reglamento buscan facilitar el ejercicio de estos derechos y proteger otros derechos fundamentales, como así corrobora el Considerando 10 del Reglamento IA:

Dichos actos legislativos de la Unión constituyen la base para un tratamiento de datos sostenible y responsable, también cuando los conjuntos de datos contengan una combinación de datos personales y no personales. El presente Reglamento no pretende afectar a la aplicación del Derecho de la Unión vigente que regula el tratamiento de datos personales, incluidas las funciones y competencias de las autoridades de supervisión independientes competentes para vigilar el cumplimiento de dichos instrumentos. Tampoco afecta a las obligaciones de los proveedores y los responsables del despliegue de sistemas de IA en su papel de responsables o encargados del tratamiento de datos derivadas del Derecho de la Unión o nacional en materia de protección de datos personales en la medida en que el diseño, el desarrollo o el uso de sistemas de IA impliquen el tratamiento de datos personales.

Efrén Díaz Díaz

Abogado, Doctor en Derecho por la Universidad de Navarra.. Responsable de las Áreas de Tecnología y Derecho Espacialdel Bufete Mas y Calvet. Delegado de Protección de Datos.

Especialista en Derecho Administrativo, Tecnológico y Geoespacial. Máster Internacional Universitario en Protección de Datos, Transparencia y Acceso a la Información (Universidad San Pablo CEU).

Profesor en Programas Máster de la Universidad de Navarra. Professor of Law en el Programa Superior de Analítica Digital, IDMS School by MSL.

Miembro del Grupo de Trabajo de la Infraestructura de Datos Espaciales de España (IDEE).

Secretario General de la Asociación Española de Derecho Aeronáutico y Espacial.

Codirector del Curso de Postgrado Especialista en Derecho Aeronáutico y Espacial. Universidad Pontifica de Comillas. Facultad de Derecho.

3. Conceptos relevantes en la aplicación de la Inteligencia Artificial

En la regulación contenida en el RIA, el concepto de «sistema de IA» debe definirse claramente en el Reglamento y alinearse con los trabajos de organizaciones internacionales para garantizar la seguridad jurídica y facilitar la convergencia internacional. La definición debe basarse en las características principales de los sistemas de IA, como su capacidad de inferencia, que les permite obtener resultados como predicciones y recomendaciones. Los sistemas de IA pueden funcionar con distintos niveles de autonomía y adaptarse mediante autoaprendizaje. Pueden usarse de manera independiente o como componentes de un producto, ya sea integrado o no.

El concepto de «responsable del despliegue» se refiere a cualquier persona física o jurídica que utilice un sistema de IA bajo su propia autoridad, excluyendo el uso personal no profesional. El Considerando 13 del RIA destaca que, dependiendo del tipo de sistema de IA, el uso del sistema puede afectar a personas distintas del responsable del despliegue.

El «dato biométrico» se interpreta según las definiciones de varios reglamentos de la UE y puede usarse para autenticación, identificación o categorización de personas, así como para el reconocimiento de emociones.

Concretamente, el concepto debe interpretarse a la luz del concepto de «datos biométricos» tal como se define en el artículo 4, punto 14, del Reglamento (UE) 2016/679:

14) «datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;

La «identificación biométrica» (Considerando 15 del RIA) es el reconocimiento automatizado de características humanas para determinar la identidad de una persona comparando sus datos biométricos con una base de datos, excluyendo sistemas destinados solo a la verificación biométrica:

el reconocimiento automatizado de características humanas de tipo físico, fisiológico o conductual, como la cara, el movimiento ocular, la forma del cuerpo, la voz, la entonación, el modo de andar, la postura, la frecuencia cardíaca, la presión arterial, el olor o las características de las pulsaciones de tecla

Según el Considerando 16 del RIA, la «categorización biométrica» implica clasificar a personas en categorías específicas basadas en sus datos biométricos, excluyendo características accesorias vinculadas a otros servicios:

Estas categorías específicas pueden referirse a aspectos como el sexo, la edad, el color del pelo, el color de los ojos, los tatuajes, los rasgos conductuales o de la personalidad, la lengua, la religión, la pertenencia a una minoría nacional o la orientación sexual o política.

El «sistema de identificación biométrica remota» (Considerando 17 del RIA) identifica a personas sin su participación activa, generalmente a distancia, y excluye sistemas de verificación biométrica. Los sistemas «en tiempo real» realizan la identificación instantáneamente, mientras que los sistemas «en diferido» lo hacen con demora.

El «sistema de reconocimiento de emociones» (Considerando 18 del RIA) distingue o deduce emociones o intenciones a partir de datos biométricos, excluyendo la detección de estados físicos como el dolor o el cansancio, y expresiones obvias a menos que se usen para deducir emociones:

El concepto se refiere a emociones o intenciones como la felicidad, la tristeza, la indignación, la sorpresa, el asco, el apuro, el entusiasmo, la vergüenza, el desprecio, la satisfacción y la diversión. No incluye los estados físicos, como el dolor o el cansancio, como, por ejemplo, los sistemas utilizados para detectar el cansancio de los pilotos o conductores profesionales con el fin de evitar accidentes. Tampoco incluye la mera detección de expresiones, gestos o movimientos que resulten obvios, salvo que se utilicen para distinguir o deducir emociones. Esas expresiones pueden ser expresiones faciales básicas, como un ceño fruncido o una sonrisa; gestos como el movimiento de las manos, los brazos o la cabeza, o características de la voz de una persona, como una voz alzada o un susurro.

4. Enfoque basado en el riesgo y Directrices éticas para una IA fiable

El enfoque basado en el riesgo es fundamental para establecer normas vinculantes eficaces, como recuerda el Considerando 27 del RIA. Las Directrices éticas para una IA fiable de 2019, elaboradas por el Grupo independiente de expertos de alto nivel sobre IA, presentan siete principios éticos no vinculantes para garantizar la fiabilidad y el fundamento ético de la IA:

Acción y supervisión humanas: Los sistemas de IA deben desarrollarse y utilizarse como herramientas al servicio de las personas, respetando la dignidad humana y la autonomía personal, y permitiendo un control y vigilancia adecuados por parte de los humanos.
Solidez técnica y seguridad: Los sistemas de IA deben ser robustos y resilientes frente a problemas y usos ilícitos, minimizando los daños no deseados.
Gestión de la privacidad y de los datos: Los sistemas de IA deben cumplir con normas estrictas de protección de la intimidad y de los datos, asegurando la calidad e integridad de los datos tratados.
Transparencia: Los sistemas de IA deben permitir una trazabilidad y explicabilidad adecuadas, informando a las personas sobre su interacción con la IA y sus derechos.
Diversidad, no discriminación y equidad: Los sistemas de IA deben incluir a diversos agentes y promover la igualdad de acceso, evitando efectos discriminatorios y sesgos injustos.
Bienestar social y ambiental: Los sistemas de IA deben desarrollarse y utilizarse de manera sostenible y respetuosa con el medio ambiente, beneficiando a todos los seres humanos y evaluando sus efectos a largo plazo.
Rendición de cuentas: Los responsables del despliegue de sistemas de IA deben ser responsables de su uso y funcionamiento.

Estas directrices contribuyen al diseño de una IA coherente, fiable y centrada en el ser humano, en consonancia con los valores de la Unión Europea.

En este contexto, el RIA en su Considerando 28 reconoce que la IA, aunque tiene muchos usos beneficiosos, también puede ser mal utilizada para prácticas de manipulación, explotación y control social. Por ello, estas prácticas son extremadamente perjudiciales y deben prohibirse:

Al margen de los múltiples usos beneficiosos de la IA, esta también puede utilizarse indebidamente y proporcionar nuevas y poderosas herramientas para llevar a cabo prácticas de manipulación, explotación y control social. Dichas prácticas son sumamente perjudiciales e incorrectas y deben estar prohibidas, pues van en contra de los valores de la Unión de respeto de la dignidad humana, la libertad, la igualdad, la democracia y el Estado de Derecho y de los derechos fundamentales consagrados en la Carta, como el derecho a la no discriminación, a la protección de datos y a la intimidad y los derechos del niño.

Más en particular, el Considerando 30 del RIA concreta las prohibiciones de los sistemas de categorización biométrica:

Deben prohibirse los sistemas de categorización biométrica basados en datos biométricos de las personas físicas, como la cara o las impresiones dactilares de una persona física, para deducir o inferir las opiniones políticas, la afiliación sindical, las convicciones religiosas o filosóficas, la raza, la vida sexual o la orientación sexual de una persona física. Dicha prohibición no debe aplicarse al etiquetado, al filtrado ni a la categorización lícitos de conjuntos de datos biométricos adquiridos de conformidad con el Derecho nacional o de la Unión en función de datos biométricos, como la clasificación de imágenes en función del color del pelo o del color de ojos, que pueden utilizarse, por ejemplo, en el ámbito de la garantía del cumplimiento del Derecho.

En otro contexto, los sistemas de IA que permiten la puntuación ciudadana de personas físicas por agentes públicos o privados pueden resultar en discriminación y exclusión de ciertos colectivos. Estos sistemas evalúan a las personas basándose en datos sobre su comportamiento social o características personales, lo que puede llevar a un trato desfavorable en contextos no relacionados con los datos originales o de manera desproporcionada. Por ello, el Considerando 31 del RIA determina que deben prohibirse estos sistemas de puntuación que resulten en prácticas perjudiciales. Esta prohibición no afecta a evaluaciones lícitas realizadas con fines específicos conforme al Derecho de la Unión y nacional.

Un aspecto relevante por los riesgos que implica para los derechos fundamentales es el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho. De acuerdo con el considerando 34 del RIA, y según se desarrolla en los sucesivos Considerandos 35 a 38, para asegurar el uso responsable y proporcionado de los sistemas de identificación biométrica remota en tiempo real en espacios públicos, es crucial considerar ciertos elementos, como la naturaleza de la situación, las consecuencias sobre los derechos y libertades de las personas implicadas, y las garantías y condiciones de uso. Este uso debe limitarse a lo estrictamente necesario en términos de tiempo, ámbito geográfico y personal, y solo debe autorizarse tras una evaluación de impacto relativa a los derechos fundamentales y el registro del sistema en la base de datos correspondiente. La base de datos de referencia debe ser adecuada para cada situación específica.

El uso de sistemas de identificación biométrica remota en tiempo real en espacios públicos con fines de cumplimiento del Derecho debe ser autorizado por una autoridad judicial o administrativa independiente. Esta autorización debe obtenerse antes de su uso, salvo en situaciones de urgencia justificadas, donde debe solicitarse dentro de las 24 horas siguientes. Si se rechaza la autorización, el uso debe cesar inmediatamente y los datos relacionados deben eliminarse.

Cada uso de estos sistemas debe notificarse a la autoridad de vigilancia del mercado y a la autoridad nacional de protección de datos, quienes deben presentar un informe anual a la Comisión. Además, los Estados miembros deben decidir si permiten este uso en su territorio y notificar sus normas a la Comisión en un plazo de 30 días desde su adopción.

El uso de sistemas de IA para la identificación biométrica remota en tiempo real en espacios públicos con fines de cumplimiento del Derecho implica el tratamiento de datos biométricos. Las normas del Reglamento, basadas en el artículo 16 del TFUE, se aplican como lex specialis respecto al artículo 10 de la Directiva (UE) 2016/680, regulando exhaustivamente este uso y tratamiento. Este uso solo es posible si es compatible con el marco del Reglamento, sin margen para usos fuera de este marco.

El Reglamento no proporciona la base jurídica para el tratamiento de datos personales según el artículo 8 de la Directiva (UE) 2016/680. Sin embargo, el uso de estos sistemas con fines distintos al cumplimiento del Derecho no está sujeto al marco específico del Reglamento ni requiere autorización según el Reglamento o las normas nacionales aplicables.

El Considerando 39 del RIA detalla que el tratamiento de datos biométricos y personales asociado al uso de sistemas de IA para la identificación biométrica debe cumplir con el artículo 10 de la Directiva (UE) 2016/680:

Todo tratamiento de datos biométricos y de datos personales de otra índole asociado al uso de sistemas de IA para la identificación biométrica, salvo el asociado al uso de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público con fines de garantía del cumplimiento del Derecho regulado por el presente Reglamento, debe seguir cumpliendo todos los requisitos derivados del artículo 10 de la Directiva (UE) 2016/680. El artículo 9, apartado 1, del Reglamento (UE) 2016/679 y el artículo 10, apartado 1, del Reglamento (UE) 2018/1725 prohíben el tratamiento de datos biométricos con fines distintos de la garantía del cumplimiento del Derecho, con las excepciones limitadas previstas en dichos artículos. En la aplicación del artículo 9, apartado 1, del Reglamento (UE) 2016/679, el uso de la identificación biométrica remota para fines distintos de la garantía del cumplimiento del Derecho ya ha sido objeto de decisiones de prohibición por parte de las autoridades nacionales de protección de datos.

El Considerando 43 contiene una previsión particular sobre reconocimiento facial con una clara prohibición de imágenes obtenidas de internet:

La introducción en el mercado, la puesta en servicio para ese fin concreto o la utilización de sistemas de IA que creen o amplíen bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales a partir de internet o de imágenes de circuito cerrado de televisión deben estar prohibidas, pues esas prácticas agravan el sentimiento de vigilancia masiva y pueden dar lugar a graves violaciones de los derechos fundamentales, incluido el derecho a la intimidad.

De modo similar, en relación con los sistemas de IA que procuran detectar o deducir las emociones, el Considerando 44 expresa su preocupación y plantea su prohibición en este marco:

Existe una gran preocupación respecto a la base científica de los sistemas de IA que procuran detectar o deducir las emociones, especialmente porque la expresión de las emociones varía de forma considerable entre culturas y situaciones, e incluso en una misma persona. Algunas de las deficiencias principales de estos sistemas son la fiabilidad limitada, la falta de especificidad y la limitada posibilidad de generalizar. Por consiguiente, los sistemas de IA que detectan o deducen las emociones o las intenciones de las personas físicas a partir de sus datos biométricos pueden tener resultados discriminatorios y pueden invadir los derechos y las libertades de las personas afectadas. Teniendo en cuenta el desequilibrio de poder en el contexto laboral o educativo, unido al carácter intrusivo de estos sistemas, dichos sistemas podrían dar lugar a un trato perjudicial o desfavorable de determinadas personas físicas o colectivos enteros. Por tanto, debe prohibirse la introducción en el mercado, la puesta en servicio y el uso de sistemas de IA destinados a ser utilizados para detectar el estado emocional de las personas en situaciones relacionadas con el lugar de trabajo y el ámbito educativo. Dicha prohibición no debe aplicarse a los sistemas de IA introducidos en el mercado estrictamente con fines médicos o de seguridad, como los sistemas destinados a un uso terapéutico.

El Considerando 45 insiste en mantener las prácticas prohibidas por el Derecho de la Unión sobre cuestiones tan relevantes como la protección de datos y la no discriminación:

El presente Reglamento no debe afectar a las prácticas prohibidas por el Derecho de la Unión, incluido el Derecho de la Unión en materia de protección de datos, de no discriminación, de protección de los consumidores y sobre competencia.

5. Clasificación de un sistema de IA como de alto riesgo

La clasificación de un sistema de IA como de alto riesgo depende de las posibles consecuencias adversas para los derechos fundamentales protegidos por la Carta, y no tanto respecto de cuestiones o condicionantes técnicos ni tecnológicos.

Estos derechos incluyen la dignidad humana, la privacidad, la protección de datos, la libertad de expresión, la no discriminación, la educación, la protección de los consumidores, los derechos laborales, la igualdad de género, los derechos de propiedad intelectual, la tutela judicial efectiva, y los derechos de defensa y presunción de inocencia.

Más en detalle, el Considerando 48 del RIA concreta los derechos que pueden verse afectados directamente:

Entre dichos derechos se incluyen el derecho a la dignidad humana, el respeto de la vida privada y familiar, la protección de datos de carácter personal, la libertad de expresión y de información, la libertad de reunión y de asociación, el derecho a la no discriminación, el derecho a la educación, la protección de los consumidores, los derechos de los trabajadores, los derechos de las personas discapacitadas, la igualdad entre hombres y mujeres, los derechos de propiedad intelectual, el derecho a la tutela judicial efectiva y a un juez imparcial, los derechos de la defensa y la presunción de inocencia, y el derecho a una buena administración.

Además, los menores tienen derechos específicos según el artículo 24 de la Carta y la Convención sobre los Derechos del Niño de la ONU, que requieren protección especial. También se debe considerar el derecho a un alto nivel de protección del medio ambiente al evaluar el impacto de un sistema de IA:

Cuando se evalúe la gravedad del perjuicio que puede ocasionar un sistema de IA, también en lo que respecta a la salud y la seguridad de las personas, también se debe tener en cuenta el derecho fundamental a un nivel elevado de protección del medio ambiente consagrado en la Carta y aplicado en las políticas de la Unión.

El RIA explica que ciertos sistemas de IA, aunque estén en ámbitos predefinidos por el Reglamento, no siempre representan un riesgo considerable para los intereses jurídicos protegidos (Considerando 53). Estos sistemas no influyen sustancialmente en la toma de decisiones, ya sea humana o automatizada. Se consideran de bajo riesgo si cumplen una o varias de las siguientes condiciones:

Realizan tareas de procedimiento delimitadas: como transformar datos no estructurados en estructurados, clasificar documentos o detectar duplicados.
Mejoran actividades humanas previas: añadiendo un nivel adicional sin sustituir la valoración humana, como mejorar el lenguaje en documentos ya redactados.
Detectan patrones o desviaciones: sin sustituir la valoración humana previa, como comprobar si un profesor se desvía de su patrón de calificación.
Realizan tareas preparatorias: con poca repercusión en la evaluación final, como la gestión de archivos o la traducción de documentos.

Los proveedores deben documentar y registrar estos sistemas, y la Comisión proporcionará directrices y ejemplos prácticos para su aplicación.

Los sistemas de IA que utilizan datos biométricos son considerados de alto riesgo debido a su sensibilidad y el potencial de causar discriminación (Considerando 54), especialmente en función de la edad, etnia, raza, sexo o discapacidad. Se destacan los siguientes puntos clave:

Identificación biométrica remota: Clasificada como de alto riesgo debido a posibles sesgos y efectos discriminatorios.
Verificación biométrica: Excluida de la clasificación de alto riesgo si su único propósito es confirmar la identidad de una persona para acceder a servicios, dispositivos o locales.
Categorización biométrica: Clasificada como de alto riesgo si se basa en atributos sensibles protegidos por el Reglamento (UE) 2016/679.
Reconocimiento de emociones: También clasificado como de alto riesgo si no está prohibido por el Reglamento.
Ciberseguridad y protección de datos: Sistemas biométricos utilizados exclusivamente para estos fines no se consideran de alto riesgo.

Los sistemas de IA utilizados en el ámbito laboral deben clasificarse como de alto riesgo debido a su impacto significativo en las perspectivas laborales, medios de subsistencia y derechos de los trabajadores. Estos sistemas incluyen, según el Considerando 57, los siguientes ámbitos:

Contratación y selección de personal: Pueden perpetuar discriminación histórica contra mujeres, grupos de edad, personas con discapacidad, orígenes raciales o étnicos específicos y orientaciones sexuales.
Toma de decisiones laborales: Afectan condiciones laborales, promociones y rescisión de contratos.
Asignación de tareas: Basada en comportamientos o características personales.
Supervisión y evaluación: Pueden socavar derechos fundamentales a la protección de datos personales y privacidad.

El RIA subraya en el Considerando 59 la importancia de clasificar como de alto riesgo los sistemas de IA utilizados por las autoridades garantes del cumplimiento del Derecho debido a su impacto potencial en los derechos fundamentales. Aquí están los detalles clave:

Desequilibrio de poder: Las autoridades tienen un poder significativo que puede llevar a la vigilancia, detención o privación de libertad de las personas. Este desequilibrio puede resultar en efectos negativos sobre los derechos fundamentales consagrados en la Carta.
Calidad de los datos y diseño del sistema: Si los sistemas de IA no están entrenados con datos de buena calidad, no cumplen con los requisitos adecuados de rendimiento, precisión o robustez, o no se diseñan y prueban adecuadamente antes de su implementación, pueden señalar a personas de manera discriminatoria, incorrecta o injusta.
Derechos procesales fundamentales: El uso de sistemas de IA puede impedir el ejercicio de derechos procesales fundamentales, como el derecho a la tutela judicial efectiva, a un juez imparcial, a la defensa y a la presunción de inocencia. Esto es especialmente problemático cuando los sistemas de IA no son suficientemente transparentes, explicables ni están bien documentados.
Clasificación de alto riesgo: Los sistemas de IA utilizados para evaluar el riesgo de que una persona sea víctima de delitos, evaluar la fiabilidad de las pruebas durante la investigación o el enjuiciamiento de delitos, y evaluar el riesgo de que una persona cometa un delito o reincida, deben clasificarse como de alto riesgo. Esto incluye sistemas como polígrafos y herramientas similares, así como aquellos utilizados para elaborar perfiles durante la detección, investigación o enjuiciamiento de delitos.
Exclusiones: Los sistemas de IA utilizados en procesos administrativos por autoridades fiscales y aduaneras, y unidades de inteligencia financiera para tareas administrativas de análisis de información, no se consideran de alto riesgo en el contexto de la prevención, detección, investigación y enjuiciamiento de delitos.
Impacto en los derechos de defensa: El uso de herramientas de IA no debe convertirse en un factor de desigualdad o exclusión. Es crucial considerar el impacto en los derechos de defensa de los sospechosos, especialmente la dificultad para obtener información significativa sobre el funcionamiento de los sistemas de IA y la consiguiente dificultad para impugnar sus resultados ante los tribunales.

El RIA enfatiza la necesidad de una clasificación rigurosa y una supervisión adecuada de los sistemas de IA utilizados por las autoridades garantes del cumplimiento del Derecho para proteger los derechos fundamentales y garantizar la transparencia y la rendición de cuentas.

El Considerando 60 del RIA destaca la importancia de clasificar como de alto riesgo los sistemas de IA utilizados en migración, asilo y control fronterizo debido a la vulnerabilidad de las personas afectadas. Los puntos principales son:

Precisión, no discriminación y transparencia: Es crucial que estos sistemas respeten los derechos fundamentales, incluyendo la libre circulación, no discriminación, privacidad, protección de datos personales, protección internacional y buena administración.
Clasificación de alto riesgo: Se consideran de alto riesgo los sistemas de IA utilizados por autoridades públicas o instituciones de la Unión para:
- Evaluar riesgos de personas que ingresan a un Estado miembro o solicitan visado o asilo.
- Examinar solicitudes de asilo, visado y permisos de residencia, incluyendo la evaluación de la fiabilidad de las pruebas.
- Detectar, reconocer o identificar personas en el contexto de migración, asilo y control fronterizo, excluyendo la verificación de documentos de viaje.
Cumplimiento de requisitos procedimentales: Estos sistemas deben cumplir con los requisitos establecidos por el Reglamento (CE) n.o 810/2009, la Directiva 2013/32/UE y otras normativas de la Unión.
Obligaciones internacionales: El uso de estos sistemas no debe eludir las obligaciones internacionales de los Estados miembros según la Convención de las Naciones Unidas sobre el Estatuto de los Refugiados ni infringir el principio de no devolución. Tampoco deben negar vías jurídicas seguras y efectivas de acceso al territorio de la Unión, incluyendo el derecho a la protección internacional.

El Considerando 61 del RIA destaca la necesidad de clasificar como de alto riesgo ciertos sistemas de IA utilizados en la administración de justicia y los procesos democráticos debido a su impacto potencial en la democracia, el Estado de Derecho, las libertades individuales y el derecho a la tutela judicial efectiva y a un juez imparcial. Los elementos clave son:

Efectos en la democracia y el Estado de Derecho: Los sistemas de IA pueden influir significativamente en estos ámbitos, por lo que es crucial clasificarlos como de alto riesgo para mitigar posibles sesgos, errores y falta de transparencia.
Uso por autoridades judiciales: Los sistemas de IA utilizados por o en nombre de autoridades judiciales para investigar e interpretar hechos y leyes, y aplicar la ley a casos concretos, deben ser considerados de alto riesgo.
Resolución alternativa de litigios: Los sistemas de IA utilizados por organismos de resolución alternativa de litigios también deben clasificarse como de alto riesgo si los resultados de estos procedimientos tienen efectos jurídicos para las partes involucradas.
Apoyo, no sustitución: Las herramientas de IA pueden apoyar la toma de decisiones de los jueces y la independencia judicial, pero no deben sustituir la toma de decisiones finales, que debe seguir siendo una actividad humana.
Exclusiones: La clasificación de alto riesgo no se extiende a sistemas de IA destinados a actividades administrativas accesorias que no afectan directamente la administración de justicia en casos concretos, como la anonimización de resoluciones judiciales, la comunicación interna del personal o tareas administrativas.

La clasificación de un sistema de IA como de alto riesgo según el Reglamento no implica que su uso sea automáticamente lícito bajo otras leyes de la Unión Europea o nacionales, como expone el Considerando 63 del RIA:

El hecho de que un sistema de IA sea clasificado como un sistema de IA de alto riesgo en virtud del presente Reglamento no debe interpretarse como indicador de que su uso sea lícito con arreglo a otros actos del Derecho de la Unión o del Derecho nacional compatible con el Derecho de la Unión, por ejemplo, en materia de protección de los datos personales o la utilización de polígrafos y herramientas similares u otros sistemas para detectar el estado emocional de las personas físicas. Todo uso de ese tipo debe seguir realizándose exclusivamente en consonancia con los requisitos oportunos derivados de la Carta y de los actos aplicables del Derecho derivado de la Unión y del Derecho nacional. No debe entenderse que el presente Reglamento constituye un fundamento jurídico para el tratamiento de datos personales, incluidas las categorías especiales de datos personales, en su caso, salvo que el presente Reglamento disponga específicamente otra cosa.

Los sistemas de IA de alto riesgo deben cumplir con varios requisitos esenciales para mitigar riesgos a la salud, seguridad y derechos fundamentales. Estos requisitos incluyen, según el Considerando 66, los siguientes:

Gestión de riesgos: Implementar procesos para identificar, evaluar y mitigar riesgos asociados con el uso del sistema de IA.
Calidad y pertinencia de los datos: Asegurar que los conjuntos de datos utilizados sean de alta calidad y pertinentes para el propósito del sistema.
Documentación técnica y conservación de registros: Mantener documentación detallada y registros de las operaciones del sistema de IA.
Transparencia y comunicación: Proporcionar información clara y accesible a los responsables del despliegue del sistema.
Supervisión humana: Garantizar que haya supervisión humana adecuada para intervenir cuando sea necesario.
Solidez y precisión: Asegurar que el sistema sea robusto y preciso en su funcionamiento.
Ciberseguridad: Implementar medidas de seguridad para proteger el sistema contra ciberataques.

6. Prácticas de gestión y gobernanza de datos

Los datos de alta calidad y el acceso a estos son esenciales para garantizar el funcionamiento adecuado de muchos sistemas de IA, especialmente aquellos de alto riesgo que emplean técnicas de entrenamiento de modelos, como subraya el Considerando 67.

Es crucial implementar prácticas adecuadas de gestión y gobernanza de datos para asegurar que los conjuntos de datos utilizados para el entrenamiento, validación y prueba sean pertinentes, representativos, libres de errores y completos.

Estas prácticas deben incluir transparencia sobre el propósito original de la recopilación de datos, especialmente en el caso de datos personales, para cumplir con el Reglamento (UE) 2016/679. Los conjuntos de datos deben tener propiedades estadísticas adecuadas y mitigar posibles sesgos que puedan afectar la salud, seguridad y derechos fundamentales de las personas, evitando la discriminación. Los sesgos pueden ser inherentes a los datos históricos o generados en entornos reales, perpetuando y amplificando la discriminación, especialmente contra colectivos vulnerables.

Además, el requisito de que los datos sean completos y libres de errores no debe afectar el uso de técnicas de protección de la intimidad durante el desarrollo y prueba de sistemas de IA. Los conjuntos de datos deben considerar las características del entorno geográfico, contextual, conductual o funcional donde se utilizará el sistema de IA. Los requisitos de gobernanza de datos pueden cumplirse mediante terceros que ofrezcan servicios certificados, asegurando la integridad de los datos y las prácticas de entrenamiento, validación y prueba.

Para desarrollar y evaluar sistemas de IA de alto riesgo, según el Considerando 68 es esencial que ciertos agentes, como proveedores, organismos notificados, centros europeos de innovación digital, instalaciones de ensayo y experimentación, e investigadores, tengan acceso a conjuntos de datos de alta calidad en sus campos de actividad relacionados con el Reglamento. Los espacios comunes europeos de datos establecidos por la Comisión y la facilitación del intercambio de datos entre empresas y gobiernos son cruciales para proporcionar acceso fiable, responsable y no discriminatorio a estos datos. Por ejemplo, en el ámbito de la salud, el espacio europeo de datos sanitarios permitirá el acceso no discriminatorio a datos sanitarios y el entrenamiento de algoritmos de IA de manera segura, oportuna, transparente, fiable y respetuosa con la privacidad, con la debida gobernanza institucional. Las autoridades competentes, incluidas las sectoriales, que proporcionan o facilitan el acceso a datos, también pueden apoyar el suministro de datos de alta calidad necesarios para entrenar, validar y probar los sistemas de IA.

7. Derecho a la intimidad y a la protección de datos personales en la Inteligencia Artificial

El derecho a la intimidad y a la protección de datos personales debe garantizarse a lo largo de todo el ciclo de vida de los sistemas de IA. Para ello, se aplican los principios de minimización de datos y de protección de datos desde el diseño y por defecto, establecidos en el Derecho de la Unión en materia de protección de datos. Así se establece en el Considerando 69:

Las medidas adoptadas por los proveedores para garantizar el cumplimiento de estos principios podrán incluir no solo la anonimización y el cifrado, sino también el uso de una tecnología que permita llevar los algoritmos a los datos y el entrenamiento de los sistemas de IA sin que sea necesaria la transmisión entre las partes ni la copia de los datos brutos o estructurados, sin perjuicio de los requisitos en materia de gobernanza de datos establecidos en el presente Reglamento.

Igualmente, el Considerando 70 plantea la necesidad de proteger los derechos de terceros frente a la discriminación que podría provocar el sesgo de los sistemas de IA:

A fin de proteger los derechos de terceros frente a la discriminación que podría provocar el sesgo de los sistemas de IA, los proveedores deben —con carácter excepcional, en la medida en que sea estrictamente necesario para garantizar la detección y corrección de los sesgos asociados a los sistemas de IA de alto riesgo, con sujeción a las garantías adecuadas para los derechos y libertades fundamentales de las personas físicas y tras la aplicación de todas las condiciones aplicables establecidas en el presente Reglamento, además de las condiciones establecidas en los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva (UE) 2016/680— ser capaces de tratar también categorías especiales de datos personales, como cuestión de interés público esencial en el sentido del artículo 9, apartado 2, letra g), del Reglamento (UE) 2016/679 y del artículo 10, apartado 2, letra g), del Reglamento (UE) 2018/1725.

El artículo 9, apartado 2, letra g), del Reglamento (UE) 2016/679 determina la siguiente excepción, a partir de la prohibición establecida en el artículo 9.1, en términos similares al artículo 10, apartado 2, letra g), del Reglamento (UE) 2018/1725:

1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.

2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes: (…) g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

Para garantizar la trazabilidad de los sistemas de IA de alto riesgo y verificar su cumplimiento con el Reglamento, es esencial disponer de información clara sobre su desarrollo y funcionamiento durante toda su vida útil, como reconoce el Considerando 71 del RIA:

Para permitir la trazabilidad de los sistemas de IA de alto riesgo, verificar si cumplen los requisitos previstos en el presente Reglamento, así como vigilar su funcionamiento y llevar a cabo la vigilancia poscomercialización, resulta esencial disponer de información comprensible sobre el modo en que se han desarrollado y sobre su funcionamiento durante toda su vida útil. A tal fin, es preciso llevar registros y disponer de documentación técnica que contenga la información necesaria para evaluar si el sistema de IA de que se trate cumple los requisitos pertinentes y facilitar la vigilancia poscomercialización. Dicha información debe incluir las características generales, las capacidades y las limitaciones del sistema y los algoritmos, datos y procesos de entrenamiento, prueba y validación empleados, así como documentación sobre el sistema de gestión de riesgos pertinente, elaborada de manera clara y completa. La documentación técnica debe mantenerse adecuadamente actualizada durante toda la vida útil del sistema de IA. Además, los sistemas de IA de alto riesgo deben permitir técnicamente el registro automático de acontecimientos, mediante archivos de registro, durante toda la vida útil del sistema.

8. Datos personales e Inteligencia Artificial para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales.

El artículo 10 de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, regula específicamente el tratamiento de categorías especiales de datos personales:

El tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual o las orientaciones sexuales de una persona física solo se permitirá cuando sea estrictamente necesario, con sujeción a las salvaguardias adecuadas para los derechos y libertades del interesado y únicamente cuando:

a) lo autorice el Derecho de la Unión o del Estado miembro;

b) sea necesario para proteger los intereses vitales del interesado o de otra persona física, o

c) dicho tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos.

Este artículo, como resalta el Considerando 94 del RIA, permite el tratamiento solo cuando sea estrictamente necesario, con salvaguardias adecuadas para los derechos y libertades del interesado, y cuando esté autorizado por el Derecho de la Unión o de los Estados miembros. Además, dicho uso debe respetar los principios del artículo 4, apartado 1, de la misma Directiva, que incluyen la licitud y lealtad del tratamiento, la transparencia, la limitación de la finalidad, la exactitud y la limitación del plazo de conservación.

El uso de sistemas de identificación biométrica remota en diferido para prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales debe estar sujeto a garantías debido a su carácter intrusivo, como recuerda el Considerando 95 del RIA. Estos sistemas deben utilizarse de manera proporcionada y legítima, solo cuando sea estrictamente necesario:

Sin perjuicio del Derecho de la Unión aplicable, en particular el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680, teniendo en cuenta el carácter intrusivo de los sistemas de identificación biométrica remota en diferido, el uso de este tipo de sistemas debe estar sujeto a garantías. Los sistemas de identificación biométrica remota en diferido deben utilizarse siempre de manera proporcionada y legítima, en la medida de lo estrictamente necesario y, por ende, de forma selectiva por lo que respecta a las personas que deben identificarse, la ubicación y el alcance temporal y a partir de un conjunto limitado de datos de grabaciones de vídeo obtenidas legalmente. En cualquier caso, los sistemas de identificación biométrica remota en diferido no deben utilizarse en el marco de la garantía del cumplimiento del Derecho de tal forma que se produzca una vigilancia indiscriminada. Las condiciones para la identificación biométrica remota en diferido en ningún caso deben servir para eludir las condiciones de la prohibición y las estrictas excepciones aplicables a la identificación biométrica remota en tiempo real.

9. Modelos de IA de uso general y seguridad jurídica

El concepto de modelos de IA de uso general debe definirse claramente y diferenciarse de los sistemas de IA para garantizar la seguridad jurídica.

Estos modelos se caracterizan por su generalidad y capacidad para realizar diversas tareas competentes, entrenándose con grandes volúmenes de datos mediante métodos como el aprendizaje autosupervisado, no supervisado o por refuerzo.

El Reglamento establece normas específicas para estos modelos, especialmente aquellos con riesgos sistémicos, aplicables incluso cuando están integrados en un sistema de IA. Las obligaciones de los proveedores se aplican una vez que los modelos se introducen en el mercado, y no se aplican cuando se usan internamente sin afectar a terceros ni a los derechos de las personas, como destaca el Considerando 97 del RIA:

Los modelos de IA de uso general pueden introducirse en el mercado de diversas maneras, por ejemplo, a través de bibliotecas, interfaces de programación de aplicaciones (API), como descarga directa o como copia física. Estos modelos pueden modificarse o perfeccionarse y transformarse en nuevos modelos. Aunque los modelos de IA son componentes esenciales de los sistemas de IA, no constituyen por sí mismos sistemas de IA. Los modelos de IA requieren que se les añadan otros componentes, como, por ejemplo, una interfaz de usuario, para convertirse en sistemas de IA. Los modelos de IA suelen estar integrados en los sistemas de IA y formar parte de dichos sistemas. El presente Reglamento establece normas específicas para los modelos de IA de uso general y para los modelos de IA de uso general que entrañan riesgos sistémicos, que deben aplicarse también cuando estos modelos estén integrados en un sistema de IA o formen parte de un sistema de IA. Debe entenderse que las obligaciones de los proveedores de modelos de IA de uso general deben aplicarse una vez que los modelos de IA de uso general se introduzcan en el mercado. Cuando el proveedor de un modelo de IA de uso general integre un modelo propio en un sistema de IA propio que se comercialice o ponga en servicio, se debe considerar que dicho modelo se ha introducido en el mercado y, por tanto, se deben seguir aplicando las obligaciones establecidas en el presente Reglamento en relación con los modelos, además de las establecidas en relación con los sistemas de IA. En cualquier caso, las obligaciones establecidas en relación con los modelos no deben aplicarse cuando un modelo propio se utilice en procesos puramente internos que no sean esenciales para suministrar un producto o un servicio a un tercero y los derechos de las personas físicas no se vean afectados. Teniendo en cuenta su potencial para causar efectos negativos importantes, los modelos de IA de uso general con riesgo sistémico deben estar siempre sujetos a las obligaciones pertinentes establecidas en el presente Reglamento. La definición no debe incluir los modelos de IA utilizados antes de su introducción en el mercado únicamente para actividades de investigación, desarrollo y creación de prototipos. Lo anterior se entiende sin perjuicio de la obligación de cumplir lo dispuesto en el presente Reglamento cuando, tras haber realizado dichas actividades, el modelo se introduzca en el mercado.

La generalidad de un modelo de IA puede determinarse por varios factores, incluyendo el número de parámetros. Se considera que los modelos con al menos mil millones de parámetros, entrenados con grandes volúmenes de datos mediante autosupervisión a escala, poseen un grado significativo de generalidad (Considerando 98 del RIA). Estos modelos son capaces de realizar de manera competente una amplia variedad de tareas diferenciadas.

10. Base jurídica para el tratamiento de datos en aplicaciones de Inteligencia Artificial

El Considerando 140 del RIA establece que el propio Reglamento debe proporcionar la base jurídica para que los proveedores y potenciales proveedores en el espacio controlado de pruebas para la IA utilicen datos personales recabados para otros fines, con el objetivo de desarrollar sistemas de IA en favor del interés público, bajo ciertas condiciones:

(…) de conformidad con el artículo 6, apartado 4, y el artículo 9, apartado 2, letra g), del Reglamento (UE) 2016/679 y los artículos 5, 6 y 10 del Reglamento (UE) 2018/1725, y sin perjuicio de lo dispuesto en el artículo 4, apartado 2, y el artículo 10 de la Directiva (UE) 2016/680. Siguen siendo aplicables las demás obligaciones de los responsables del tratamiento y los derechos de los interesados en virtud del Reglamento (UE) 2016/679, el Reglamento (UE) 2018/1725 y la Directiva (UE) 2016/680. En particular, el presente Reglamento no debe ofrecer una base jurídica en el sentido del artículo 22, apartado 2, letra b), del Reglamento (UE) 2016/679 y del artículo 24, apartado 2, letra b), del Reglamento (UE) 2018/1725. Los proveedores y los proveedores potenciales en el espacio controlado de pruebas para la IA deben proporcionar las garantías adecuadas y cooperar con las autoridades competentes, también siguiendo sus indicaciones y actuando con rapidez y de buena fe para mitigar adecuadamente cualquier riesgo considerable para la seguridad, la salud y los derechos fundamentales que se detecte y pueda surgir durante el desarrollo, las pruebas y la experimentación en dicho espacio.

Debido a que estas referencias legislativas podrían no ser suficientemente explícitas, seguidamente se identifica el sentido de cada una de ellas y se trascribe el texto normativo específico:

Artículo 6, apartado 4 del Reglamento (UE) 2016/679: Este artículo trata sobre la licitud del tratamiento de datos personales para fines distintos de aquellos para los que fueron recogidos originalmente, siempre que se cumplan ciertas condiciones y se proporcionen garantías adecuadas:

4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;

b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;

c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;

d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;

e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.

Artículo 9, apartado 2, letra g) del Reglamento (UE) 2016/679: Permite el tratamiento de categorías especiales de datos personales cuando es necesario por razones de un interés público esencial, siempre que se respeten los derechos fundamentales y se establezcan medidas adecuadas para proteger los intereses del interesado:

2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes (…):

g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

Artículos 5, 6 y 10 del Reglamento (UE) 2018/1725:
- Artículo 5: Establece los principios relativos al tratamiento de datos personales por las instituciones de la UE.
- Artículo 6: Define la licitud del tratamiento de datos personales por las instituciones de la UE.
- Artículo 10: Trata sobre las condiciones para el tratamiento de categorías especiales de datos personales por las instituciones de la UE.
Artículo 4, apartado 2 de la Directiva (UE) 2016/680: Establece los principios relativos al tratamiento de datos personales por las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales:

1. Los Estados miembros dispondrán que los datos personales sean:

a) tratados de manera lícita y leal;

b) recogidos con fines determinados, explícitos y legítimos, y no ser tratados de forma incompatible con esos fines;

c) adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados;

d) exactos y, si fuera necesario, actualizados; se habrán de adoptar todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que son tratados;

e) conservados de forma que permita identificar al interesado durante un período no superior al necesario para los fines para los que son tratados;

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidentales, mediante la aplicación de medidas técnicas u organizativas adecuadas.

2. Se permitirá el tratamiento de los datos personales, por el mismo responsable o por otro, para fines establecidos en el artículo 1, apartado 1, distintos de aquel para el que se recojan en la medida en que:

a) el responsable del tratamiento esté autorizado a tratar dichos datos personales para dicho fin de conformidad con el Derecho de la Unión o del Estado miembro, y

b) el tratamiento sea necesario y proporcionado para ese otro fin de conformidad con el Derecho de la Unión o del Estado miembro.

Artículo 10 de la Directiva (UE) 2016/680: Trata sobre las condiciones para el tratamiento de categorías especiales de datos personales por las autoridades competentes:

Artículo 10

Tratamiento de categorías especiales de datos personales

a) lo autorice el Derecho de la Unión o del Estado miembro;

b) sea necesario para proteger los intereses vitales del interesado o de otra persona física, o

c) dicho tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos.

Artículo 22, apartado 2, letra b) del Reglamento (UE) 2016/679: Permite decisiones individuales automatizadas, incluida la elaboración de perfiles, cuando están autorizadas por el Derecho de la Unión o de los Estados miembros y se establecen medidas adecuadas para proteger los derechos del interesado:

1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

2. El apartado 1 no se aplicará si la decisión:

a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;

b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o

c) se basa en el consentimiento explícito del interesado.

Artículo 24, apartado 2, letra b) del Reglamento (UE) 2018/1725: Permite decisiones individuales automatizadas por las instituciones de la UE bajo ciertas condiciones y con medidas adecuadas para proteger los derechos del interesado:

Decisiones individuales automatizadas, incluida la elaboración de perfiles

2. El apartado 1 no se aplicará si la decisión:

a) es necesaria para la celebración o el cumplimiento de un contrato entre el interesado y el responsable del tratamiento;

b) está autorizada por una normativa de la Unión que establezca asimismo medidas adecuadas para salvaguardar los derechos y las libertades y los intereses legítimos del interesado; o

c) se basa en el consentimiento expreso del interesado.

11. Competencia e independencia de las autoridades u organismos públicos nacionales

El RIA respeta las competencias y la independencia de las autoridades nacionales que supervisan la aplicación del Derecho de la Unión y protegen los derechos fundamentales.

Estas autoridades deben tener acceso a la documentación creada según el Reglamento cuando sea necesario. Se debe establecer un procedimiento de salvaguardia para garantizar una ejecución adecuada frente a sistemas de IA que presenten riesgos para la salud, la seguridad o los derechos fundamentales, como recuerda el Considerando 157:

El presente Reglamento se entiende sin perjuicio de las competencias, funciones, poderes e independencia de las autoridades u organismos públicos nacionales pertinentes que supervisan la aplicación del Derecho de la Unión que protege los derechos fundamentales, incluidos los organismos de igualdad y las autoridades de protección de datos. Cuando sea necesario para su mandato, dichas autoridades u organismos públicos nacionales también deben tener acceso a cualquier documentación creada en virtud del presente Reglamento. Debe establecerse un procedimiento de salvaguardia específico para garantizar una ejecución adecuada y oportuna frente a sistemas de IA que presenten un riesgo para la salud, la seguridad o los derechos fundamentales. El procedimiento relativo a dichos sistemas de IA que presentan un riesgo debe aplicarse a los sistemas de IA de alto riesgo que presenten un riesgo, a los sistemas prohibidos que hayan sido introducidos en el mercado, puestos en servicio o utilizados contraviniendo las prácticas prohibidas establecidas en el presente Reglamento y a los sistemas de IA que hayan sido comercializados infringiendo los requisitos de transparencia establecidos en el presente Reglamento y que presenten un riesgo.

De manera complementaria el Considerando 168 prevé que el cumplimiento del Reglamento debe garantizarse mediante sanciones y medidas de ejecución, así como que los Estados miembros deben tomar todas las medidas necesarias para aplicar sus disposiciones, estableciendo sanciones efectivas, proporcionadas y disuasorias, respetando el principio de non bis in idem:

Se debe poder exigir el cumplimiento del presente Reglamento mediante la imposición de sanciones y otras medidas de ejecución. Los Estados miembros deben tomar todas las medidas necesarias para garantizar que se apliquen las disposiciones del presente Reglamento, también estableciendo sanciones efectivas, proporcionadas y disuasorias para las infracciones, y para respetar el principio de non bis in idem. A fin de reforzar y armonizar las sanciones administrativas por infracción del presente Reglamento, deben establecerse los límites máximos para la imposición de las multas administrativas en el caso de ciertas infracciones concretas. A la hora de determinar la cuantía de las multas, los Estados miembros deben tener en cuenta, en cada caso concreto, todas las circunstancias pertinentes de la situación de que se trate, considerando especialmente la naturaleza, gravedad y duración de la infracción y de sus consecuencias, así como el tamaño del proveedor, en particular si este es una pyme o una empresa emergente. El Supervisor Europeo de Protección de Datos debe estar facultado para imponer multas a las instituciones, los órganos y los organismos de la Unión incluidos en el ámbito de aplicación del presente Reglamento.

12. Definición de IA y Datos Personales

12.1 Definiciones más relevantes

El Reglamento define un sistema de IA como un sistema basado en máquinas con capacidades de inferencia y adaptación.

Por otro lado, los datos personales incluyen información biométrica utilizada para identificación o categorización. Esta interacción entre IA y datos biométricos exige salvaguardas adicionales para prevenir usos indebidos.

De este modo, el artículo 2.7 del RIA dispone lo siguiente:

7. El Derecho de la Unión en materia de protección de los datos personales, la intimidad y la confidencialidad de las comunicaciones se aplicará a los datos personales tratados en relación con los derechos y obligaciones establecidos en el presente Reglamento. El presente Reglamento no afectará a los Reglamentos (UE) 2016/679 o (UE) 2018/1725 ni a las Directivas 2002/58/CE o (UE) 2016/680, sin perjuicio del artículo 10, apartado 5, y el artículo 59 del presente Reglamento.

Entre las definiciones del artículo 3 del RIA, se destacan las siguientes en relación con la materia de protección de datos de carácter personal:

1) «sistema de IA»: un sistema basado en una máquina que está diseñado para funcionar con distintos niveles de autonomía y que puede mostrar capacidad de adaptación tras el despliegue, y que, para objetivos explícitos o implícitos, infiere de la información de entrada que recibe la manera de generar resultados de salida, como predicciones, contenidos, recomendaciones o decisiones, que pueden influir en entornos físicos o virtuales;

2) «riesgo»: la combinación de la probabilidad de que se produzca un perjuicio y la gravedad de dicho perjuicio;

29) «datos de entrenamiento»: los datos usados para entrenar un sistema de IA mediante el ajuste de sus parámetros entrenables;

30) «datos de validación»: los datos usados para proporcionar una evaluación del sistema de IA entrenado y adaptar sus parámetros no entrenables y su proceso de aprendizaje para, entre otras cosas, evitar el subajuste o el sobreajuste;

31) «conjunto de datos de validación»: un conjunto de datos independiente o una parte del conjunto de datos de entrenamiento, obtenida mediante una división fija o variable;

32) «datos de prueba»: los datos usados para proporcionar una evaluación independiente del sistema de IA, con el fin de confirmar el funcionamiento previsto de dicho sistema antes de su introducción en el mercado o su puesta en servicio;

33) «datos de entrada»: los datos proporcionados a un sistema de IA u obtenidos directamente por él a partir de los cuales produce un resultado de salida;

34) «datos biométricos»: los datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física, como imágenes faciales o datos dactiloscópicos;

35) «identificación biométrica»: el reconocimiento automatizado de características humanas de tipo físico, fisiológico, conductual o psicológico para determinar la identidad de una persona física comparando sus datos biométricos con los datos biométricos de personas almacenados en una base de datos;

36) «verificación biométrica»: la verificación automatizada y uno-a-uno, incluida la autenticación, de la identidad de las personas físicas mediante la comparación de sus datos biométricos con los datos biométricos facilitados previamente;

37) «categorías especiales de datos personales»: las categorías de datos personales a que se refieren el artículo 9, apartado 1, del Reglamento (UE) 2016/679, el artículo 10 de la Directiva (UE) 2016/680 y el artículo 10, apartado 1, del Reglamento (UE) 2018/1725;

38) «datos operativos sensibles»: los datos operativos relacionados con actividades de prevención, detección, investigación o enjuiciamiento de delitos cuya divulgación podría poner en peligro la integridad de las causas penales;

39) «sistema de reconocimiento de emociones»: un sistema de IA destinado a distinguir o inferir las emociones o las intenciones de las personas físicas a partir de sus datos biométricos;

40) «sistema de categorización biométrica»: un sistema de IA destinado a incluir a las personas físicas en categorías específicas en función de sus datos biométricos, a menos que sea accesorio a otro servicio comercial y estrictamente necesario por razones técnicas objetivas;

41) «sistema de identificación biométrica remota»: un sistema de IA destinado a identificar a las personas físicas sin su participación activa y generalmente a distancia comparando sus datos biométricos con los que figuran en una base de datos de referencia;

42) «sistema de identificación biométrica remota en tiempo real»: un sistema de identificación biométrica remota, en el que la recogida de los datos biométricos, la comparación y la identificación se producen sin una demora significativa; engloba no solo la identificación instantánea, sino también, a fin de evitar la elusión, demoras mínimas limitadas;

49) «incidente grave»: un incidente o defecto de funcionamiento de un sistema de IA que, directa o indirectamente, tenga alguna de las siguientes consecuencias:

a) el fallecimiento de una persona o un perjuicio grave para su salud;

b) una alteración grave e irreversible de la gestión o el funcionamiento de infraestructuras críticas;

c) el incumplimiento de obligaciones en virtud del Derecho de la Unión destinadas a proteger los derechos fundamentales;

d) daños graves a la propiedad o al medio ambiente;

50) «datos personales»: los datos personales tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

51) «datos no personales»: los datos que no sean datos personales tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

12.2 Prácticas de IA prohibidas

El artículo 5 del RIA detalla las prácticas de IA que están prohibidas para proteger a las personas de posibles daños y abusos, muchas relacionadas con la protección de datos de carácter personal, y para mayor precisión de trascribe según su literalidad:

1. Quedan prohibidas las siguientes prácticas de IA:

a) la introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA que se sirva de técnicas subliminales que trasciendan la conciencia de una persona o de técnicas deliberadamente manipuladoras o engañosas con el objetivo o el efecto de alterar de manera sustancial el comportamiento de una persona o un colectivo de personas, mermando de manera apreciable su capacidad para tomar una decisión informada y haciendo que tomen una decisión que de otro modo no habrían tomado, de un modo que provoque, o sea razonablemente probable que provoque, perjuicios considerables a esa persona, a otra persona o a un colectivo de personas;

b) la introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA que explote alguna de las vulnerabilidades de una persona física o un determinado colectivo de personas derivadas de su edad o discapacidad, o de una situación social o económica específica, con la finalidad o el efecto de alterar de manera sustancial el comportamiento de dicha persona o de una persona que pertenezca a dicho colectivo de un modo que provoque, o sea razonablemente probable que provoque, perjuicios considerables a esa persona o a otra;

c) la introducción en el mercado, la puesta en servicio o la utilización de sistemas de IA para evaluar o clasificar a personas físicas o a colectivos de personas durante un período determinado de tiempo atendiendo a su comportamiento social o a características personales o de su personalidad conocidas, inferidas o predichas, de forma que la puntuación ciudadana resultante provoque una o varias de las situaciones siguientes:

i) un trato perjudicial o desfavorable hacia determinadas personas físicas o colectivos de personas en contextos sociales que no guarden relación con los contextos donde se generaron o recabaron los datos originalmente,

ii) un trato perjudicial o desfavorable hacia determinadas personas físicas o colectivos de personas que sea injustificado o desproporcionado con respecto a su comportamiento social o la gravedad de este;

d) la introducción en el mercado, la puesta en servicio para este fin específico o el uso de un sistema de IA para realizar evaluaciones de riesgos de personas físicas con el fin de valorar o predecir el riesgo de que una persona física cometa un delito basándose únicamente en la elaboración del perfil de una persona física o en la evaluación de los rasgos y características de su personalidad; esta prohibición no se aplicará a los sistemas de IA utilizados para apoyar la valoración humana de la implicación de una persona en una actividad delictiva que ya se base en hechos objetivos y verificables directamente relacionados con una actividad delictiva;

e) la introducción en el mercado, la puesta en servicio para este fin específico o el uso de sistemas de IA que creen o amplíen bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales de internet o de circuitos cerrados de televisión;

f) la introducción en el mercado, la puesta en servicio para este fin específico o el uso de sistemas de IA para inferir las emociones de una persona física en los lugares de trabajo y en los centros educativos, excepto cuando el sistema de IA esté destinado a ser instalado o introducido en el mercado por motivos médicos o de seguridad;

g) la introducción en el mercado, la puesta en servicio para este fin específico o el uso de sistemas de categorización biométrica que clasifiquen individualmente a las personas físicas sobre la base de sus datos biométricos para deducir o inferir su raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, vida sexual u orientación sexual; esta prohibición no incluye el etiquetado o filtrado de conjuntos de datos biométricos adquiridos lícitamente, como imágenes, basado en datos biométricos ni la categorización de datos biométricos en el ámbito de la garantía del cumplimiento del Derecho;

h) el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho, salvo y en la medida en que dicho uso sea estrictamente necesario para alcanzar uno o varios de los objetivos siguientes:

i) la búsqueda selectiva de víctimas concretas de secuestro, trata de seres humanos o explotación sexual de seres humanos, así como la búsqueda de personas desaparecidas,

ii) la prevención de una amenaza específica, importante e inminente para la vida o la seguridad física de las personas físicas o de una amenaza real y actual o real y previsible de un atentado terrorista,

iii) la localización o identificación de una persona sospechosa de haber cometido un delito a fin de llevar a cabo una investigación o un enjuiciamiento penales o de ejecutar una sanción penal por alguno de los delitos mencionados en el anexo II que en el Estado miembro de que se trate se castigue con una pena o una medida de seguridad privativas de libertad cuya duración máxima sea de al menos cuatro años.

El párrafo primero, letra h), se entiende sin perjuicio de lo dispuesto en el artículo 9 del Reglamento (UE) 2016/679 en lo que respecta al tratamiento de datos biométricos con fines distintos de la garantía del cumplimiento del Derecho.

13. Datos y gobernanza de datos

El RIA describe los requisitos para el desarrollo de sistemas de IA de alto riesgo, centrándose en la calidad y gestión de los conjuntos de datos de entrenamiento, validación y prueba.

Estos conjuntos deben cumplir criterios específicos de gobernanza y gestión, incluyendo decisiones de diseño, origen y tratamiento de datos, y evaluación de sesgos. Además, deben ser representativos, completos y sin errores.

Se permite el uso de datos personales especiales bajo estrictas condiciones para detectar y corregir sesgos. Los requisitos también aplican a conjuntos de datos de prueba para sistemas que no usan técnicas de entrenamiento de modelos de IA.

El artículo 10 del RIA regula los datos y gobernanza de datos en estos términos:

1. Los sistemas de IA de alto riesgo que utilizan técnicas que implican el entrenamiento de modelos de IA con datos se desarrollarán a partir de conjuntos de datos de entrenamiento, validación y prueba que cumplan los criterios de calidad a que se refieren los apartados 2 a 5 siempre que se utilicen dichos conjuntos de datos.

2. Los conjuntos de datos de entrenamiento, validación y prueba se someterán a prácticas de gobernanza y gestión de datos adecuadas para la finalidad prevista del sistema de IA de alto riesgo. Dichas prácticas se centrarán, en particular, en lo siguiente:

a) las decisiones pertinentes relativas al diseño;

b) los procesos de recogida de datos y el origen de los datos y, en el caso de los datos personales, la finalidad original de la recogida de datos;

c) las operaciones de tratamiento oportunas para la preparación de los datos, como la anotación, el etiquetado, la depuración, la actualización, el enriquecimiento y la agregación;

d) la formulación de supuestos, en particular en lo que respecta a la información que se supone que miden y representan los datos;

e) una evaluación de la disponibilidad, la cantidad y la adecuación de los conjuntos de datos necesarios;

f) el examen atendiendo a posibles sesgos que puedan afectar a la salud y la seguridad de las personas, afectar negativamente a los derechos fundamentales o dar lugar a algún tipo de discriminación prohibida por el Derecho de la Unión, especialmente cuando las salidas de datos influyan en las informaciones de entrada de futuras operaciones;

g) medidas adecuadas para detectar, prevenir y mitigar posibles sesgos detectados con arreglo a la letra f);

h) la detección de lagunas o deficiencias pertinentes en los datos que impidan el cumplimiento del presente Reglamento, y la forma de subsanarlas.

3. Los conjuntos de datos de entrenamiento, validación y prueba serán pertinentes, suficientemente representativos y, en la mayor medida posible, carecerán de errores y estarán completos en vista de su finalidad prevista. Asimismo, tendrán las propiedades estadísticas adecuadas, por ejemplo, cuando proceda, en lo que respecta a las personas o los colectivos de personas en relación con los cuales está previsto que se utilice el sistema de IA de alto riesgo. Los conjuntos de datos podrán reunir esas características para cada conjunto de datos individualmente o para una combinación de estos.

4. Los conjuntos de datos tendrán en cuenta, en la medida necesaria para la finalidad prevista, las características o elementos particulares del entorno geográfico, contextual, conductual o funcional específico en el que está previsto que se utilice el sistema de IA de alto riesgo.

5. En la medida en que sea estrictamente necesario para garantizar la detección y corrección de los sesgos asociados a los sistemas de IA de alto riesgo de conformidad con lo dispuesto en el apartado 2, letras f) y g), del presente artículo, los proveedores de dichos sistemas podrán tratar excepcionalmente las categorías especiales de datos personales siempre que ofrezcan las garantías adecuadas en relación con los derechos y las libertades fundamentales de las personas físicas. Además de las disposiciones establecidas en los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva (UE) 2016/680, para que se produzca dicho tratamiento deben cumplirse todas las condiciones siguientes:

a) que el tratamiento de otros datos, como los sintéticos o los anonimizados, no permita efectuar de forma efectiva la detección y corrección de sesgos;

b) que las categorías especiales de datos personales estén sujetas a limitaciones técnicas relativas a la reutilización de los datos personales y a medidas punteras en materia de seguridad y protección de la intimidad, incluida la seudonimización;

c) que las categorías especiales de datos personales estén sujetas a medidas para garantizar que los datos personales tratados estén asegurados, protegidos y sujetos a garantías adecuadas, incluidos controles estrictos y documentación del acceso, a fin de evitar el uso indebido y garantizar que solo las personas autorizadas tengan acceso a dichos datos personales con obligaciones de confidencialidad adecuadas;

d) que las categorías especiales de datos personales no se transmitan ni transfieran a terceros y que estos no puedan acceder de ningún otro modo a ellos;

e) que las categorías especiales de datos personales se eliminen una vez que se haya corregido el sesgo o los datos personales hayan llegado al final de su período de conservación, si esta fecha es anterior;

f) que los registros de las actividades de tratamiento con arreglo a los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva (UE) 2016/680 incluyan las razones por las que el tratamiento de categorías especiales de datos personales era estrictamente necesario para detectar y corregir sesgos, y por las que ese objetivo no podía alcanzarse mediante el tratamiento de otros datos.

6. Para el desarrollo de sistemas de IA de alto riesgo que no empleen técnicas que impliquen el entrenamiento de modelos de IA, los apartados 2 a 5 se aplicarán únicamente a los conjuntos de datos de prueba.

14. Transparencia y comunicación de información a los responsables del despliegue

El Reglamento de Inteligencia Artificial (RIA) establece en el artículo 10 y concordantes que los sistemas de inteligencia artificial de alto riesgo deben cumplir con criterios estrictos de transparencia y comunicación de información hacia los responsables del despliegue.

Esto incluye el diseño, desarrollo y documentación adecuada de estos sistemas, con el objetivo de garantizar su uso correcto y ético, conforme a los siguientes elementos:

Principales requisitos de transparencia son los siguientes:
1. Diseño Transparente

Los sistemas de IA deben garantizar un nivel de transparencia suficiente para permitir que los responsables del despliegue comprendan e interpreten correctamente los resultados. Esto debe alinearse con las obligaciones de cumplimiento establecidas en el RIA.

Instrucciones de Uso Detalladas

Los sistemas de IA de alto riesgo deben estar acompañados de instrucciones de uso claras, completas y accesibles en formatos adecuados. Esta información debe permitir a los responsables del despliegue operar los sistemas de manera segura y responsable.

Contenido Obligatorio de las Instrucciones de Uso

Las instrucciones deben incluir, como mínimo:

Información del Proveedor: Identidad y datos de contacto del proveedor y su representante autorizado, si aplica.
1. Características y Limitaciones del Sistema:
  1. Finalidad prevista del sistema.
  1. Nivel de precisión, robustez y ciberseguridad, incluyendo las métricas utilizadas para evaluarlas.
  1. Circunstancias previsibles que puedan afectar al rendimiento del sistema, incluyendo riesgos para la salud, la seguridad y los derechos fundamentales.
  1. Capacidades técnicas para explicar los resultados.
  1. Especificaciones sobre datos de entrada y conjuntos de datos utilizados para el entrenamiento y validación.
Cambios en el Sistema
Información sobre las modificaciones en el sistema desde la evaluación inicial de conformidad.
Supervisión Humana
Medidas técnicas para facilitar la interpretación de los resultados por parte de los responsables del despliegue, según el artículo 14 del RIA.
Requisitos Técnicos

Especificaciones sobre los recursos computacionales, la vida útil del sistema, las medidas de mantenimiento necesarias y la frecuencia de estas.

Gestión de Registros

Descripción de los mecanismos para almacenar e interpretar registros de acuerdo con el artículo 12.

15. Obligaciones de los responsables del despliegue de sistemas de IA de alto riesgo

El artículo 26 del Reglamento de IA detalla las obligaciones que los responsables del despliegue de sistemas de inteligencia artificial de alto riesgo deben cumplir para garantizar su uso adecuado, seguro y conforme a las normativas vigentes.

Uso de los sistemas según las instrucciones

Los responsables del despliegue deben implementar medidas técnicas y organizativas que aseguren el uso de los sistemas de IA de alto riesgo conforme a las instrucciones proporcionadas por el proveedor.

Supervisión humana cualificada

La supervisión humana debe ser realizada por personas con la formación, competencias y autoridad necesarias.

Respeto a obligaciones previas

Estas obligaciones no sustituyen otras normativas nacionales o de la Unión Europea ni impiden que los responsables organicen sus recursos para implementar medidas de supervisión humana.

Datos de entrada relevantes

Los responsables deben garantizar que los datos de entrada sean representativos y adecuados para la finalidad prevista del sistema de IA, siempre que tengan control sobre ellos.

Monitorización y Gestión de Riesgos

Los responsables deben monitorizar el funcionamiento del sistema según las instrucciones de uso.

Si se identifican riesgos (artículo 79) o incidentes graves, deben informar al proveedor o distribuidor, a la autoridad de vigilancia del mercado y suspender su uso.

Los responsables deben reportar incidentes graves de forma inmediata.

Conservación de archivos de registro

Los registros generados automáticamente por el sistema deben conservarse por al menos seis meses o más, según lo estipulado por las leyes aplicables, especialmente en materia de protección de datos.

Las entidades financieras deben conservar estos registros como parte de su documentación interna según las normativas financieras.

Información a los trabajadores

Antes de usar un sistema de IA de alto riesgo en el lugar de trabajo, los empleadores deben informar a los trabajadores y sus representantes.

Registro de sistemas por autoridades públicas

Las autoridades públicas deben asegurarse de que el sistema esté registrado en la base de datos de la UE antes de usarlo.

Evaluaciones de impacto en protección de datos

Los responsables deben usar la información proporcionada por los proveedores para realizar evaluaciones de impacto sobre la protección de datos, conforme al artículo 35 del Reglamento General de Protección de Datos (RGPD).

Uso de sistemas de identificación biométrica remota

Cualquier uso en investigaciones penales requiere autorización previa de una autoridad judicial o administrativa vinculante (máximo 48 horas).

No se permite su uso de forma indiscriminada o sin relación directa con delitos, procesos penales o amenazas reales.

Todo uso debe documentarse y reportarse anualmente a las autoridades pertinentes.

Información a las personas físicas afectadas

Los responsables deben informar a las personas afectadas sobre el uso de estos sistemas, especialmente si se trata de decisiones relacionadas con ellas.

Cooperación con Autoridades

Los responsables deben colaborar con las autoridades competentes en todas las medidas relacionadas con el sistema de IA.

En esta materia se pueden tener en cuenta otras regulaciones relevantes, como las siguientes:

Reglamento General de Protección de Datos (RGPD), Artículo 35:
Detalla las obligaciones de realizar evaluaciones de impacto sobre protección de datos para sistemas que procesen información sensible.
Directiva (UE) 2016/680 sobre Protección de Datos en Materia Penal.
Aborda el tratamiento de datos personales en actividades de cumplimiento de la ley y su interacción con los sistemas de IA.
Principios de la OCDE sobre la IA. Incluyen directrices sobre el uso transparente, responsable y ético de sistemas de IA en contextos de alto riesgo[6].
Evaluaciones de Impacto Ético. El informe de «Ethics Guidelines for Trustworthy AI» de la Comisión Europea[7] establece pautas para identificar riesgos éticos y sociales en el uso de la IA. Este documento establece un marco para lograr una IA confiable, que debe cumplir con tres componentes principales a lo largo de todo su ciclo de vida:
1. Legalidad: Cumplir con todas las leyes y regulaciones aplicables.
1. Ética: Asegurar la adhesión a principios y valores éticos.
1. Robustez: Ser robusta tanto desde una perspectiva técnica como social
Legislaciones sobre IA en Estados Miembros de la UE
Algunos países de la Unión han adoptado normativas más restrictivas sobre el uso de IA en contextos como la identificación biométrica. Ejemplo: Leyes en Alemania y Francia sobre vigilancia biométrica.

El Artículo 26 del RIA es crucial para garantizar que los sistemas de IA de alto riesgo se utilicen de manera ética, responsable y conforme al marco legal vigente. Destaca la necesidad de supervisión humana, gestión adecuada de datos y transparencia hacia las personas afectadas. Las disposiciones también enfatizan la protección de derechos fundamentales y la prevención de usos indebidos en contextos de alto riesgo.

16. Tratamiento ulterior de datos personales para el desarrollo de sistemas de IA en favor del interés público en el espacio controlado de pruebas para la IA

El artículo 59 del RIA regula el uso de datos personales previamente recabados con otros fines para el desarrollo, entrenamiento y prueba de sistemas de IA en espacios controlados, siempre que se cumplan estrictas condiciones y se garantice el respeto a los derechos fundamentales y a las normativas de protección de datos.

16.1 Condiciones generales para el tratamiento de datos personales

El tratamiento ulterior de datos personales solo podrá realizarse en espacios controlados de pruebas de IA si se cumplen las siguientes condiciones acumulativas:

Finalidad en interés público esencial

El sistema de IA debe desarrollarse para proteger un interés público esencial en uno o varios de los siguientes ámbitos:

Salud y seguridad pública: Incluyendo prevención, diagnóstico, control y tratamiento de enfermedades, así como mejora de sistemas sanitarios.
Medio ambiente: Protección contra la contaminación, biodiversidad, transición ecológica, mitigación del cambio climático, etc.
Sostenibilidad energética.
Seguridad de infraestructuras críticas: Transporte, movilidad y resiliencia de redes.
Eficiencia administrativa: Mejora de la calidad de los servicios públicos.
Necesidad de datos personales

Solo se pueden usar datos personales si los requisitos establecidos en el capítulo III, sección 2 del reglamento no pueden cumplirse mediante:

Datos anonimizados.
Datos sintéticos.
Otros tipos de datos no personales.
Supervisión y mitigación de riesgos

Deben implementarse mecanismos eficaces para:

Detectar riesgos elevados para los derechos y libertades de los interesados, según el RGPD (art. 35) y el Reglamento (UE) 2018/1725 (art. 39).
Mitigar esos riesgos sin demora o detener el tratamiento si es necesario.
Entorno de tratamiento aislado y protegido

Los datos deben ser procesados en un entorno funcionalmente separado, controlado por el proveedor potencial. Solo personas autorizadas pueden acceder a ellos.

Restricciones sobre la compartición de datos

Los datos originales solo pueden compartirse de acuerdo con el Derecho de la Unión en materia de protección de datos. Los datos generados dentro del espacio controlado no podrán salir del mismo.

Protección de derechos de los interesados

El tratamiento no puede dar lugar a decisiones o medidas que afecten a los interesados.
Debe garantizarse que los derechos de los interesados establecidos en la normativa de la UE no se vean afectados.
Eliminación de datos

Los datos personales deben ser eliminados una vez concluida la participación en el espacio controlado o al final del período de conservación permitido.

Conservación de archivos de registro

Se deben mantener archivos de registro del tratamiento mientras dure la participación en el espacio controlado, salvo que las normativas de la UE o nacionales dispongan otra cosa.

Documentación técnica completa

Debe conservarse una descripción completa del proceso y la lógica del entrenamiento, prueba y validación del sistema, así como los resultados obtenidos.

Transparencia pública

Se debe publicar en el sitio web de la autoridad competente una síntesis del proyecto de IA desarrollado, con sus objetivos y resultados previstos, excluyendo datos sensibles relativos a actividades como control fronterizo, inmigración o asilo.

16.2 Tratamiento de datos con fines de seguridad pública

Cuando el tratamiento se realice para prevención, investigación, detección o enjuiciamiento de delitos, o para garantizar la seguridad pública, se aplicarán estas normas:

Debe basarse en un derecho específico (de la Unión o nacional).
Debe cumplir todas las condiciones del apartado 1, como interés público esencial, supervisión y protección de derechos.

16.3 Compatibilidad con otras normativas de protección de datos

El apartado 1 no afecta:

A normativas que prohíban el tratamiento de datos para fines distintos a los expresamente autorizados.
A normativas que permitan desarrollar, probar o entrenar sistemas de IA basados en otras bases jurídicas establecidas en la legislación de la UE sobre protección de datos.

16.4 Elementos clave del artículo 59 del RIA

Protección del Interés Público

Solo se permite el tratamiento ulterior de datos personales si beneficia directamente intereses públicos esenciales, como la salud, el medio ambiente, la seguridad y la eficiencia administrativa.

Respeto a los Derechos Fundamentales

Las condiciones establecidas garantizan la privacidad, seguridad y derechos de los interesados, en cumplimiento del RGPD y otras normativas de la UE.

Mecanismos de Supervisión y Transparencia

El artículo exige medidas de supervisión eficaces, documentación detallada y transparencia pública sobre los proyectos desarrollados.

Limitación de Uso y Conservación

El tratamiento está limitado al espacio controlado de pruebas, y los datos deben ser eliminados al finalizar el proyecto o cuando ya no sean necesarios.

Seguridad Pública y Excepciones

El uso de datos con fines de seguridad pública requiere una base jurídica específica, además de cumplir todas las condiciones generales.

Este artículo equilibra el uso innovador de la IA en beneficio del interés público con la protección de datos personales y los derechos fundamentales de los ciudadanos. Establece un marco estricto que permite la experimentación en espacios controlados sin comprometer la privacidad, la transparencia ni el cumplimiento normativo.

17. Medidas dirigidas a proveedores y responsables del despliegue, en particular pymes, incluidas las empresas emergentes

El artículo 62 establece medidas específicas destinadas a apoyar a las pymes (pequeñas y medianas empresas) y empresas emergentes (startups) en la implementación del Reglamento de IA, facilitando su participación en espacios controlados de pruebas, actividades de formación y sensibilización, y procesos de normalización.

Además, se considera la reducción de tasas para la evaluación de conformidad y el desarrollo de herramientas centralizadas de apoyo.

17.1 Medidas que deben adoptar los estados miembros

Acceso prioritario a espacios controlados de pruebas

Prioridad para Pymes: Las pymes y startups con domicilio social o sucursal en la UE tendrán acceso prioritario a los espacios controlados de pruebas para IA.
Criterios: Este acceso prioritario está condicionado al cumplimiento de los requisitos de admisibilidad y criterios de selección.
Inclusión de Otras Pymes: No se impedirá el acceso a otras pymes que cumplan también con los criterios establecidos.
Actividades de sensibilización y formación

Se organizarán actividades específicas adaptadas a las necesidades de las pymes, startups, responsables del despliegue y autoridades locales públicas.
Objetivo: Facilitar la comprensión y aplicación del Reglamento de IA.
Comunicación y asesoramiento
Canales de Comunicación: Los Estados miembros:
- Utilizarán canales existentes o crearán nuevos para comunicarse con pymes, startups, responsables del despliegue y otros agentes innovadores.
- Proporcionarán asesoramiento y resolverán dudas sobre el Reglamento y la participación en espacios controlados de pruebas.
Participación en Normalización
Se fomentará la implicación de las pymes y otras partes interesadas en el desarrollo de normas relacionadas con el Reglamento.

17.2 Reducción de tasas de evaluación de conformidad

Al fijar las tasas para la evaluación de conformidad según el artículo 43, se considerarán los intereses específicos de las pymes, incluidas startups. Estas tasas:

Se reducirán proporcionalmente: Según el tamaño de la empresa, el tamaño del mercado y otros indicadores pertinentes.
Objetivo: Minimizar la carga financiera para las pymes.

17.3 Medidas que adoptará la Oficina de IA

Modelos Normalizados

La Oficina de IA proporcionará modelos normalizados relacionados con los ámbitos regulados por el Reglamento, según las solicitudes del Consejo de IA.

Plataforma Única de Información

Creará y mantendrá una plataforma de información centralizada, destinada a todos los operadores de la UE, que proporcione información clara y accesible sobre el Reglamento y herramientas y recursos que faciliten el cumplimiento normativo.

Campañas de Comunicación

Organizará campañas adecuadas para aumentar la sensibilización sobre las obligaciones derivadas del Reglamento y facilitar la adaptación de los actores relevantes.

Mejores prácticas en contratación pública

Evaluará y fomentará la convergencia de las mejores prácticas en procedimientos de contratación pública relacionados con sistemas de IA.

Esto busca garantizar transparencia y facilitar el acceso de las pymes y startups a oportunidades de contratación pública.

17.4 Elementos clave del artículo 62

Facilitación del acceso a innovación y recursos:

Las pymes y startups tendrán acceso prioritario a espacios de pruebas para IA, lo que facilita su participación en la experimentación y desarrollo de tecnología innovadora.

Apoyo a la formación y sensibilización:

Los Estados miembros deben garantizar que las pymes y startups comprendan sus obligaciones normativas mediante actividades de formación y asesoramiento.

Reducción de barreras económicas:

Las tasas de evaluación de conformidad se ajustarán al tamaño y capacidad económica de las pymes, promoviendo su cumplimiento normativo sin cargas desproporcionadas.

Creación de herramientas centralizadas:

La Oficina de IA proporcionará modelos normalizados y plataformas de información accesibles para facilitar la comprensión y aplicación del Reglamento.

Promoción de mejores prácticas:

La convergencia de buenas prácticas en contratación pública garantizará que las pymes tengan acceso a procesos de licitación más equitativos y transparentes.

18. Conclusiones

Las empresas deben adoptar un enfoque proactivo y riguroso para cumplir con el Reglamento de IA, asegurando la transparencia, la calidad de los datos, la supervisión humana y la protección de los derechos fundamentales.

Con una implementación adecuada, la IA puede convertirse en una herramienta poderosa para mejorar la eficiencia y seguridad en diversos sectores, garantizando un futuro más seguro y sostenible.

Como conclusiones prácticas para empresas sobre la relación entre IA y datos personales en el Reglamento de IA, cabe destacar las siguientes:

Cumplimiento normativo y gestión de riesgos
1. Normas Armonizadas: Las empresas deben asegurarse de que sus sistemas de IA cumplan con las normas armonizadas establecidas por el Reglamento (UE) 2024/1689, especialmente si se consideran de alto riesgo.
1. Gestión de Riesgos: Implementar procesos robustos para identificar, evaluar y mitigar riesgos asociados con el uso de IA, garantizando la protección de los derechos fundamentales y la privacidad de los datos personales.
Transparencia y documentación
1. Transparencia: Proveer información clara y accesible sobre el funcionamiento de los sistemas de IA, incluyendo su diseño, desarrollo y limitaciones.
1. Documentación Técnica: Mantener documentación detallada y actualizada sobre los algoritmos, datos y procesos de entrenamiento, prueba y validación utilizados en los sistemas de IA.
Calidad y gobernanza de datos
1. Calidad de Datos: Asegurar que los conjuntos de datos utilizados para el entrenamiento, validación y prueba sean pertinentes, representativos, libres de errores y completos.
1. Gobernanza de Datos: Implementar prácticas adecuadas de gestión y gobernanza de datos, incluyendo la transparencia sobre el propósito original de la recopilación de datos y la mitigación de posibles sesgos.
Supervisión humana y ética
1. Supervisión Humana: Garantizar que haya supervisión humana adecuada para intervenir cuando sea necesario, especialmente en sistemas de IA de alto riesgo.
1. Directrices Éticas: Adherirse a las Directrices éticas para una IA fiable, que incluyen principios como la acción y supervisión humanas, solidez técnica y seguridad, gestión de la privacidad y de los datos, transparencia, diversidad, no discriminación y equidad, bienestar social y ambiental, y rendición de cuentas.
Protección de datos personales
1. Minimización de Datos: Aplicar los principios de minimización de datos y de protección de datos desde el diseño y por defecto.
1. Tratamiento de Datos Sensibles: Tratar categorías especiales de datos personales solo cuando sea estrictamente necesario y con garantías adecuadas para los derechos y libertades fundamentales de las personas físicas.
Evaluaciones de impacto y supervisión continua
1. Evaluaciones de Impacto: Realizar evaluaciones de impacto sobre la protección de datos conforme al artículo 35 del RGPD, especialmente para sistemas de IA de alto riesgo.
1. Supervisión Continua: Monitorizar el funcionamiento del sistema de IA y reportar cualquier incidente grave de forma inmediata a las autoridades competentes.
Acceso a espacios controlados de pruebas
1. Espacios Controlados de Pruebas: Participar en espacios controlados de pruebas para IA, que permiten el desarrollo, entrenamiento y prueba de sistemas de IA en un entorno regulado y seguro.
1. Apoyo a Pymes y Startups: Aprovechar las medidas específicas destinadas a apoyar a las pymes y startups, incluyendo acceso prioritario a espacios controlados de pruebas, actividades de formación y sensibilización, y reducción de tasas para la evaluación de conformidad.
Prohibiciones y restricciones
1. Prácticas Prohibidas: Evitar prácticas de IA prohibidas, como la manipulación subliminal, la explotación de vulnerabilidades, la puntuación ciudadana, y el uso indebido de sistemas de identificación biométrica remota en tiempo real.
1. Restricciones en el Uso de Datos: Cumplir con las restricciones sobre la compartición y uso de datos personales, asegurando que los datos generados dentro de espacios controlados no salgan de estos.

[1] Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) n.° 300/2008, (UE) n.° 167/2013, (UE) n.° 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial), (2024). https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32024R1689#tit_1

[2] Parlamento Europeo y Consejo. (2016). Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Diario Oficial de La Unión Europea, 27, 1–88. http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.SPA&toc=OJ:L:2016:119:TOC

[3] Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

[4] Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89)

[5] Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

[6] Cfr. https://oecd.ai/en/ai-publications/futures

[7] Cfr. https://digital-strategy.ec.europa.eu/en/library/ethics-guidelines-trustworthy-ai