GDPR & IA — Entender la protección de datos
AI procesa enormes cantidades de datos, a menudo sobre personas que no lo saben. GDPR te otorga derechos como interesado. Como operador, tienes obligaciones. Conocer ambos es un requisito fundamental para el uso responsable de la IA.
Entiendes los 6 principios del GDPR, conoces tus derechos como interesado y sabes qué obligaciones de protección de datos surgen con el uso de AI.
GDPR y AI — los fundamentos
~15 MinDSGVO y IA — los fundamentos
¿Qué es un dato personal?
Datos personales = toda información que se refiere a una persona identificable.
No solo nombre y correo electrónico. También: dirección IP, datos de ubicación, comportamiento de compra, patrones de clics, identificadores de dispositivos — y cualquier combinación que pueda llevar a la identificación.
Los sistemas de IA casi siempre procesan datos personales. La DSGVO se aplica.
Los 6 principios — en resumen
| Principio | Lo que exige | Relevancia para IA |
|---|---|---|
| Legalidad | Base legal para cada procesamiento | Establecer explícitamente consentimiento, contrato o interés legítimo |
| Limitación de propósito | Solo para el propósito indicado | Entrenamiento de IA ≠ Derecho de uso para otros fines |
| Minimización de datos | Mínimo de datos | Ingeniería de características: solo variables relevantes |
| Exactitud | Mantener los datos actualizados | Datos de entrenamiento obsoletos → discriminación obsoleta |
| Limitación de almacenamiento | No más tiempo del necesario | Política de retención para datos de entrenamiento |
| Integridad y confidencialidad | Protección contra el abuso | Controles de acceso, cifrado |
Sus derechos como persona afectada
| Derecho | Art. | Lo que puede solicitar |
|---|---|---|
| Acceso | 15 | ¿Qué datos? ¿Para qué? ¿Cuánto tiempo? |
| Rectificación | 16 | Corregir datos incorrectos |
| Supresión | 17 | "Derecho al olvido" |
| Limitación | 18 | Detener temporalmente el procesamiento |
| Oposición | 21 | Oponerse al procesamiento |
| No automatización completa | 22 | Revisión humana en decisiones significativas |
El Art. 22 es especialmente relevante para IA: Las decisiones automatizadas con un impacto significativo en las personas (rechazo de crédito, rechazo de empleo, precio del seguro) deben ser impugnables.
Categorías especiales de datos — protección aumentada
Estos datos, en principio, no deben ser procesados — salvo con consentimiento explícito:
- Datos de salud
- Origen étnico
- Opiniones políticas
- Creencias religiosas
- Afiliación sindical
- Datos biométricos
- Orientación sexual
Para desarrolladores de IA: Si los datos de entrenamiento permiten, incluso implícitamente, inferencias sobre estas categorías — riesgo aumentado.
Continuar: Obligaciones para operadores →
Revisión breve
1. ¿Qué principio del GDPR exige que solo se recopilen los datos necesarios?
2. ¿Qué significa GDPR Art. 22?
GDPR de un vistazo
- 6 Grundsätze: Rechtmäßigkeit, Zweckbindung, Sparsamkeit, Richtigkeit, Begrenzung, Sicherheit
- Art. 15: Du kannst fragen welche Daten gespeichert sind
- Art. 16: Du kannst falsche Daten korrigieren lassen
- Art. 17: Du kannst Löschung beantragen
- Art. 22: Automatische Entscheidungen können angefochten werden
GDPR en el uso de IA — Obligaciones para operadores
~15 MinObligaciones del GDPR en el uso de AI
Antes de comenzar: Tres obligaciones
1. Establecer la base legal
No hay procesamiento de datos sin base. Las más importantes para AI:
| Base | Cuándo es adecuada | Precaución |
|---|---|---|
| Consentimiento (Art. 6 Abs. 1 a) | Claramente voluntario, específico | Debe ser revocable en cualquier momento |
| Contrato (Art. 6 Abs. 1 b) | AI necesaria para el cumplimiento del contrato | Solo si es realmente necesario |
| Interés legítimo (Art. 6 Abs. 1 f) | Optimización interna | Documentar la ponderación de intereses |
Atención: "Queremos mejorar la AI" no es un interés legítimo que se aplique automáticamente. Se requiere una ponderación de intereses documentada.
2. Verificar la DPIA — ¿cuándo es obligatoria?
Una Evaluación de Impacto en la Protección de Datos (DPIA) es obligatoria según el Art. 35 del GDPR en caso de:
- Perfilado sistemático de personas
- Procesamiento de categorías especiales de datos (→ Módulo 1)
- Decisiones automatizadas con impacto significativo
- Monitoreo de empleados asistido por AI
¿Qué tan extensa? La DPIA documenta: ¿Qué se procesa? ¿Por qué? ¿Qué riesgos surgen? ¿Qué medidas de protección se implementan?
3. Informar a los afectados
Antes del procesamiento, los afectados deben saber:
- Quién procesa los datos (nombre, contacto)
- Por qué (propósito y base legal)
- Cuánto tiempo
- A quién se transfieren
- Si se realizan decisiones automatizadas (Art. 13 Abs. 2 f)
En operación: Dos obligaciones críticas
Reportar incidentes de datos (Art. 33)
En caso de pérdida de datos, robo o acceso no autorizado:
- 72 horas para reportar a la autoridad de supervisión de protección de datos
- Si hay un alto riesgo para los afectados: también informar directamente a los afectados (Art. 34)
No hay excepción para sistemas de AI. Una filtración de datos de un sistema de AI desencadena las mismas obligaciones.
Cumplir con las políticas de retención
Los datos de entrenamiento de AI están sujetos a las mismas obligaciones de eliminación que cualquier otro dato personal. "Necesitamos los datos para el reentrenamiento" no es una razón de retención ilimitada.
Caso práctico: El chatbot que aprende
Un chatbot de servicio al cliente registra todas las conversaciones "para mejorar". En las conversaciones, ocasionalmente se mencionan datos de salud.
Infracciones del GDPR:
- Falta de consentimiento para datos de salud (Art. 9 — categoría especial)
- Violación de la finalidad: conversación para atención al cliente ≠ consentimiento para entrenamiento de AI
- Los afectados no fueron informados sobre el uso de AI
Qué hacer:
- Eliminar inmediatamente los datos de salud de los datos de entrenamiento
- Informar a la autoridad de protección de datos (si hay un riesgo significativo)
- Ajustar el proceso: obtener consentimiento antes de usar para entrenamiento
Resumen: La lista de verificación del GDPR para AI
Antes del uso:
☐ Base legal documentada
☐ DPIA verificada (y realizada si es necesario)
☐ Afectados informados
☐ Categorías de datos verificadas (¿categorías especiales?)
En operación:
☐ Política de retención definida e implementada
☐ Controles de acceso activos
☐ Proceso para incidentes de datos presente (¡plazo de 72h!)
☐ Proceso de derechos de los afectados definido
Volver: Fundamentos del GDPR | Iniciar evaluación →
Caso práctico: El chatbot y los datos sensibles
Un chatbot de servicio al cliente recopila historiales de conversación para "mejorar". Un usuario se queja de que el chatbot conoce sus datos de salud de una conversación anterior, a pesar de que nunca dio su consentimiento explícito para que estos se almacenaran.
Lösung anzeigen
Al menos dos infracciones del GDPR:
- Falta de base legal (Art. 6): Para datos de salud (Art. 9 — categoría especial) se necesita consentimiento explícito. "Recopilación de datos de entrenamiento" no es una base suficiente.
- Violación de la limitación de propósito (Art. 5): Los datos de una conversación no pueden ser utilizados para entrenamiento sin más.
Lo que la empresa debe hacer:
- Inmediatamente: Eliminar datos de salud de los datos de entrenamiento
- Informar a los afectados (Art. 34 si hay alto riesgo)
- Notificar a la autoridad de protección de datos si la infracción es significativa (Art. 33, plazo de 72 horas)
- Ajustar el proceso: Obtener consentimiento antes de usar para entrenamiento
Tus datos
¿En qué servicios digitales tienes la sensación de que saben más sobre ti de lo que deberían?
- Werbung die zu gut zu meinen Gesprächen passt
- Empfehlungen die zeigen dass mein Verhalten beobachtet wird
- Systeme die mich 'kennen' ohne dass ich mich erinnere Daten gegeben zu haben
Lo que te llevas
- Als Betreiber: Rechtsgrundlage vor Datenverarbeitung klären
- Zweckbindung: Daten nur für den angegebenen Zweck nutzen
- DPIA: Bei Hochrisiko-Verarbeitung Datenschutz-Folgenabschätzung Pflicht
- ⏰ Panne: 72 Stunden Zeit um Datenschutzbehörde zu informieren