El CEPD se pronuncia acerca del papel de las autoridades de protección de datos en el marco del Reglamento de Inteligencia Artificial”.

Por Alicia Bermejo Chacón

El día 16 de julio, el Comité Europeo de Protección de Datos (en adelante, “CEPD”), publicó el Statement 3/2024 on data protection authorities´role in the Artificial Intelligence Act framework (en adelante, la “Declaración”).

Como su propio nombre deja entender, esta Declaración se centra en las funciones (o posibles funciones) que desempeñan las autoridades de protección de datos (en adelante, “ADPs”) dentro del nuevo marco normativo establecido por el Reglamento UE 2024/1689 de Inteligencia Artificial (en adelante, “RIA”).

Este Reglamento, que tiene como objetivo el establecimiento de un marco armonizado en toda la Unión Europea para la comercialización y uso de sistemas de Inteligencia Artificial (en adelante, “IA”), se publica en un contexto donde la innovación tecnológica debe ponderarse con la protección de derechos fundamentales como la privacidad y la protección de datos. El RIA se considera, por tanto, pieza clave para garantizar que el desarrollo y despliegue de sistemas de IA se realice de manera fiable, centrada en el ser humano y garantizando la salud, seguridad y los derechos fundamentales de los usuarios.

Desde esta perspectiva, el RIA y el Reglamento (UE) 2016/679 de protección de datos (en adelante, “RGPD”) deben entenderse como normativas complementarias, que se refuerzan mutuamente. El RGPD es plenamente aplicable al tratamiento de los datos personales involucrados en el ciclo de vida de un sistema de IA, que son, de hecho, uno de los elementos centrales de los mismos.

Con lo anterior, el CEPD pretende resaltar los posibles problemas de supervisión y coordinación que podrían surgir de la designación de autoridades competentes por parte de los Estados miembros (pues es una de las obligaciones establecidas en el RIA) en áreas tan estrechamente relacionadas con las cuestiones de protección de datos.

Es por ello que el CEPD recomienda que los Estados miembros designen a las ADPs como autoridad nacional competente en materia de IA.

En palabras del CEPD, las ADPs, con su extensa experiencia en la supervisión de tecnologías emergentes y su profundo conocimiento del tratamiento de datos personales, han demostrado ser actores indispensables en el despliegue de la IA de manera segura y fiable. Así mismo, la designación de las ADPs como autoridades competentes en materia de IA beneficia a todos los interesados, pues facilita las interacciones entre los diferentes organismos reguladores que se ocupan tanto del RIA como del RGPD.

En definitiva, el CEPD considera que las ADPs pueden proporcionar una supervisión independiente y eficaz de los sistemas de IA que, además, beneficiaría a todos los intervinientes en su trabajo (tal como las evaluaciones de impacto, estrechamente relacionadas) como en las comunicaciones.

No obstante, la atribución de nuevas tareas y competencias en materia de supervisión de los sistemas de IA debe ir aparejada de nuevos recursos humanos y financieros adicionales y adecuados para ello.

Finalmente, la Declaración enfatiza en la importancia de una cooperación estrecha entre la Comisión Europea, al Oficina de IA de la UE, el CEPD y las ADPs.

Todo lo plasmado en la Declaración, y, por ende, en este post, son recomendaciones del CEPD. Esto es, algunos Estados miembros ya han decidido el nombramiento de la autoridad de control en materia de IA (como, por ejemplo, España), por lo que, las recomendaciones de la Declaración pueden no ser especialmente relevantes para dichos países.

No obstante lo anterior, la Declaración reitera de nuevo la importancia de la cooperación entre todos los agentes intervinientes en los sistemas de IA, pues la misma es vital para asegurar que los modelos de IA que procesan datos personales se desarrollen y desplieguen de acuerdo con la legalidad, equidad y transparencia, minimizando así los riesgos asociados y garantizando la protección de los derechos de los ciudadanos en un entorno digital cada vez más complejo.