Inteligencia Artificial: La AEPD la considera, ¿tratamiento o herramienta?

La AEPD ha publicado un informe acerca de su criterio sobre la naturaleza de la Inteligencia Artificial, expresando que la Inteligencia Artificial no es en sí misma un tratamiento, sino que se trata de un medio.


Considera la Agencia que cualquier sistema de Inteligencia Artificial es exclusivamente un medio que podrá ser seleccionado por un responsable de tratamiento para llevar a cabo actividades y gestionar un tratamiento.


Por lo tanto, distingue claramente entre ambas, separándolas por cuanto recuerda que debemos distinguir:


  1. Finalidad de un tratamiento de datos, que puede ser por ejemplo, llevar a cabo un proceso de selección de personal.
  2. Los medios seleccionados por el responsable de tratamiento para llevarlo a cabo, que siguiendo idéntico ejemplo anterior, igualmente podrían ser, llevar a cabo la selección por sí mismo con su propio departamento de recursos humanos, encargarlo a una empresa de selección, o gestionarlo mediante herramientas electrónicas como un programa adaptado a la selección de personal, que podrá incorporar o no, herramientas de inteligencia artificial.


En caso de que el responsable opte por utilizar herramientas de inteligencia artificial, habrá de definir si los resultados de conllevarían una decisión automática o por el contrario, podrá determinar que se incluya una supervisión humana que tome la decisión final. Por ello, las decisiones automatizadas son una opción, no la propia naturaleza del sistema de inteligencia artificial, siendo el responsablequien decide y determina si incluye una operación adicional de supervisión humana sobre los resultados producidos por el sistema IA.


En resumen:

La IA ofrece una herramienta que se empleará por el responsable de tratamiento como un conjunto de operaciones dentro de una actividad de tratamiento específica,  no comportando tratamientos por sí mismos, pudiendo compaginarse con otras herramientas y residir en diferentes ubicaciones, nube, en local, etc.

No obstante, en caso de que hayan sido incluidos en algunas de las operaciones necesarias para llevar a cabo el tratamiento con su finalidad explícita, sí serán parte del tratamiento,  en cuyo caso tendremos que analizar los riesgos específicos de un modo concreto.


CURIOSIDADES & NOTICIAS

Eliminación de datos de autónomos de bases de datos empresariales

21 de mayo de 2025
La Agencia Española de Protección de Datos (AEPD) ha ordenado el cese de la comunicación de datos personales de miles de autónomos por parte de la Cámara de España a la empresa Camerdata, tras el ciberataque sufrido y detectarse que el flujo de la información no estaba autorizado por los autónomos, ya que se utilizaban datos provenientes de la Agencia Tributaria que posteriormente eran comunicados a terceros, cuando el interesado en momento alguno otorgó su consentimiento.

Una inmobiliaria fotografiaba buzones de edificios y es sancionada

16 de mayo de 2025
Recientemente, una inmobiliaria ha sido sancionada por la AEPD por captar los datos de propietarios e inquilinos de edificios que visitaba uno de sus trabajadores, al que obligaba a capturar fotografía de los buzones de estos inmuebles con la finalidad de utilizarlos para sus pesquisas y ofrecer a titulares, ponerlos a la venta o alquiler en el mercado. Tras el proceso de investigación de la AEPD se constató que la empresa disponía de una ingente cantidad de datos personales sin autorización o en espera de ella. El trabajador que venía captando las fotografías fue despedido cuando se negó a llevar a cabo las prácticas descritas.

Sanción a Generali e ING por filtración de datos

13 de mayo de 2025
Estos leones gigantes, también sufrieron un ciberataque en el que quedaron vulnerados sus sistemas y se pudo acceder indebidamente a los datos personales de miles de clientes. Ahora, a AEPD le ha impuesto unas sanciones muy cuantiosas por no haber implementado las medidas acordes a sus capacidades y sistemas, en base a que se ha considerado por esta entidad que el tratamiento no garantizaba una seguridad "adecuada" de los datos personales. En particular, se les ha impuesto sanciones de 4 y 1,6 millones, por infringir la normativa sobre medidas técnicas y organizativas para proteger los datos, la seguridad del tratamiento y no contar con la adecuada evaluación de un impacto relativa a la protección de datos.
¿Tienes más interés?