Con carácter general, la IA es la capacidad de una máquina de realizar análisis e inferencias a partir de información compleja o incompleta. Una definición más limitada es la llamada IA-débil, que se caracteriza por desarrollar soluciones capaces de resolver un problema concreto y acotado. Este documento se centra la adecuación al Reglamento de aquellos tratamientos de datos que incorporen partes de IA-débil.
La guía, dirigida a responsables que incorporen componentes de IA en sus tratamientos, así como a desarrolladores y encargados que den soporte a dicho tratamiento, comienza por introducir la relación entre la IA y la protección de datos, puesto que un elemento de IA podría estar tratando datos personales en distintas etapas de su ciclo de vida y, en consecuencia, tendría que cumplir con las obligaciones que establece el RGPD. Posteriormente, repasa las distintas relaciones que se pueden dar entre el responsable del tratamiento de datos personales con los terceros a los que podría contratar para realizar tareas.
Asimismo, se recogen las condiciones que deben cumplir estas tecnologías para garantizar y demostrar que el tratamiento efectuado se adecua al RGPD. Entre ellas se encuentran aspectos como la legitimación para el tratamiento, la información, el ejercicio de derechos y la toma de decisiones automatizadas. El documento también aborda la gestión de riesgo de un tratamiento para los derechos y libertades como parte del concepto de responsabilidad activa establecido en el RGPD, centrándose en aspectos como la exactitud, la minimización de datos, la evaluación de impacto y el análisis de la proporcionalidad del tratamiento, entre otros. Finalmente, analiza la posibilidad de que el uso de tecnologías basadas en IA implique transferencias internacionales de datos.
La Guía concluye con un apartado de conclusiones en el que la Agencia pone de manifiesto que la puesta en el mercado de tecnologías que hacen tratamientos de datos en los que se utiliza IA exige que se apliquen garantías de calidad y privacidad. También recuerda que el cumplimiento de lo establecido en el RGPD exige cierto nivel de madurez a los modelos de IA, de forma que se pueda determinar objetivamente la adecuación de los tratamientos y la existencia de medidas para gestionar sus riesgos.