DICTAMEN DEL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS SOBRE EL LIBRO BLANCO DE LA COMISIÓN ACERCA DE LA INTELIGENCIA ARTIFICIAL - UN ENFOQUE EUROPEO PARA LA EXCELENCIA Y LA CONFIANZA

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Université de Montpellier I Francia.

cferreyros@hotmail.com

PROLOGO

El 29 de junio último se publicó el Dictamen del Supervisor Europeo de Protección de Datos sobre el Libro Blanco de la Comisión acerca de la Inteligencia Artificial - Un enfoque europeo para la excelencia y la confianza, en las versiones de lengua inglesa, alemana y francesa. La presente versión en español ha sido traducida del inglés por el suscrito con la ayuda del traductor de Google. Se ha conservado el contenido en la forma de páginas en que aparece en el versión html, incluyendo las citas de pie de página.

El Dictamen presenta la opinión del Supervisor Europeo de Protección de Datos, SEPD, según ésta, la Inteligencia Artificial, IA, no resolverá todos los problemas relativos al tratamiento de los datos, informaciones y conocimientos.  Los beneficios, costos y riesgos deben ser considerados por todo aquel que adopte esta tecnología, principalmente por las administraciones públicas quienes procesan ingentes cantidades de datos personales.

El Dictamen del SEPD sobre el Libro Blanco de IA, recomienda cuatro principales medidas: tener como referencia el Reglamento Europeo de Protección de Datos Personales; proteger de cualquier impacto negativo, contra los individuos, comunidades y sociedad en su conjunto que esta tecnología pudiera causar; proponer un esquema de clasificación de riesgos más robusto y matizado, asegurando que a cualquier daño potencial de las aplicaciones de IA correspondan  medidas de mitigación apropiadas; y tener presente una evaluación de impacto que defina claramente los vacíos regulatorios que pretende llenar.

Este texto es de interés de las administraciones públicas, secretarias de Gobierno Electrónico, desarrolladores de aplicativos basados en IA, investigadores,  responsables de seguridad, juristas.

---------------------------------------------------------------------------------------------------------

Dictamen 4/2020

Dictamen del Supervisor Europeo de Protección de Datos sobre el Libro Blanco de la Comisión sobre la Inteligencia Artificial - Un enfoque europeo para la excelencia y la confianza

EDPS Opinion on the European Commission’s White Paper on Artificial Intelligence – A European approach to excellence and trust.

https://edps.europa.eu/sites/edp/files/publication/20-06-19_opinion_ai_white_paper_en.pdf

---

Resumen Ejecutivo

El 19 de febrero de 2020, la Comisión Europea publicó un Libro Blanco sobre "Artificial Inteligencia: un enfoque europeo hacia la excelencia y la confianza”. Este forma parte de un paquete más amplio de documentos estratégicos, incluida también una Comunicación sobre "Una estrategia europea para los datos".

El objetivo del Libro Blanco es doble: establecer opciones de política para promover la adopción de Inteligencia Artificial ('IA') y para abordar 'los riesgos asociados con ciertos usos de esta nueva tecnología'. Para lograr tales objetivos, el Libro Blanco propone un conjunto de acciones para fomentar el desarrollo y la adopción de IA y un nuevo marco regulatorio que abordaría las preocupaciones

específicas para la IA que el marco actual no puede abordar.

Esta Dictamen presenta las opiniones del SEPD sobre el Libro Blanco en su conjunto, así como sobre ciertos aspectos específicos, como el enfoque basado en el riesgo propuesto, la aplicación de la regulación de IA o los requisitos específicos para la identificación biométrica remota (incluido el reconocimiento facial).

El SEPD reconoce la creciente importancia e impacto de IA. Sin embargo, la IA aparece con sus propios riesgos y no es una 'bala de plata' que resolverá todos los problemas. Los beneficios, costos y riesgos deben ser considerados por cualquiera que adopte una tecnología, especialmente por las administraciones públicas que procesan grandes cantidades de datos personales.

El SEPD acoge con gran satisfacción las numerosas referencias del Libro Blanco para un enfoque europeo de la IA, basado en los valores y derechos fundamentales de la UE y la consideración dada a la necesidad para el cumplimiento de la legislación europea de protección de datos .

Por lo tanto, el objetivo de las recomendaciones de este Dictamen es aclarar y, si fuera el caso, profundizar el desarrollo de las salvaguardas y controles respecto a la protección de datos personales, teniendo en cuenta la consideración específica del contexto de la IA.

Con este fin, el SEPD recomienda en particular que cualquier nuevo marco regulador para la IA:

- se aplique tanto a los Estados miembros de la UE como a las instituciones, oficinas, organismos y agencias de la UE;

- sea diseñado para proteger de cualquier impacto negativo, no solo a los individuos, sino también a las comunidades y sociedad en su conjunto;

- propone un esquema de clasificación de riesgos más robusto y matizado, asegurando cualquier daño potencial que plantean las aplicaciones de IA en correspondencia con las medidas de mitigación apropiadas;

- incluye una evaluación de impacto que define claramente los vacíos regulatorios que pretende llenar.

- evita la superposición de diferentes autoridades de supervisión e incluye un mecanismo de cooperación.

En cuanto a la identificación biométrica remota, el SEPD apoya la idea de una moratoria en el despliegue, en la UE, de reconocimiento automatizado en espacios públicos de características humanas, no solo de caras, sino también formas de caminar, huellas digitales, ADN, voz, pulsaciones de teclas y otros datos biométricos o señales de comportamiento, para que un debate informado y democrático pueda tener lugar y hasta el momento en que la UE y los Estados miembros tengan todas las garantías adecuadas, incluido un marco legal integral establecido para garantizar la proporcionalidad de las respectivas tecnologías y sistemas para el caso de uso específico.

El SEPD queda a disposición de la Comisión, el Consejo y el Parlamento Europeo para proporcionar más asesoramiento, y espera ser consultado a su debido tiempo según lo previsto en el artículo 42 del Reglamento (UE) 2018/1725. Los comentarios de este dictamen se entienden sin perjuicio de otros comentarios en el futuro sobre temas particulares y/o si hay más información disponible.

  

TABLA DE CONTENIDO

1. INTRODUCCIÓN Y ANTECEDENTES     5

2. OBJETIVOS GENERALES Y VISIÓN  ..... 6

3. NECESIDAD DE UN MARCO LEGAL MODIFICADO   8

4. EVALUACIÓN DEL FUTURO MARCO NORMATIVO PARA LA IA  10

4.1. Principio de precaución y enfoque basado en el riesgo   10

4.2. Evaluación del impacto de la protección de datos           15

4.3. Rendición de cuentas y cumplimiento                              17

4.4. Los requisitos reglamentarios                                           18

4.5. Controles y gobernanza                                                     19

5. OTRAS CUESTIONES ESPECÍFICAS                                     20

5.1. Identificación biométrica remota                                     20

5.2. Grupos vulnerables                                                           21

5.3. Acceso a los datos                                                              22

6. CONCLUSIONES                                                                        22

EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS,

Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, el artículo 16 del mismo,

Vista la Carta de los Derechos Fundamentales de la Unión Europea, y en particular sus artículos 7 y 8,

Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 Abril de 2016 sobre la protección de las personas físicas respecto al procesamiento de datos personales y sobre la libre circulación de dichos datos y por la que se deroga la Directiva 95/46/ CE (Protección general de datos Reglamento, 'RGPD')¹,

Vista la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 Abril de 2016 sobre la protección de las personas físicas respecto al procesamiento de datos personales por autoridades competentes a efectos de prevención, investigación, detección o enjuiciamiento de delitos o la ejecución de sanciones penales, y sobre la libre circulación de dichos datos, y por la que se deroga la Decisión Marco del Consejo  2008/977/ JHI²,

Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo de 23 Octubre de 2018 sobre la protección de las personas físicas con respecto al procesamiento de datos personales por las instituciones, organismos, oficinas y agencias de la Unión y sobre la libre circulación de dichos datos, y por el que se deroga el Reglamento (CE) no 45/2001 y la Decisión no 1247/2002/ CE³ («EUDPR»), en particular los Artículos 57, apartado 1, letra h), y artículo 58, apartado 3, letra c),

HA ADOPTADO EL SIGUIENTE DICTAMEN:

1. INTRODUCCIÓN Y ANTECEDENTES

1. El Libro Blanco de la Comisión "Sobre la inteligencia artificial: un enfoque europeo para la excelencia y la confianza'⁴ ('el Libro Blanco') es parte de la iniciativa No. 10 ('Un enfoque europeo a la IA') y se incluye en el 'Capítulo'  'Una Europa adecuada para la era digital' del Programa de Trabajo de la Comisión 2020.

2. El SEPD observa que el Libro Blanco está estrechamente relacionado con la 'Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Europeo Económico y Social y al Comité de las Regiones - una estrategia europea para los datos'⁵ (' Estrategia de Datos'), en relación con la cual el SEPD ha adoptado un Dictamen aparte⁶.

3. El 29 de enero de 2020, la Comisión consultó al SEPD sobre el proyecto del Libro Blanco y presentó preliminares comentarios informales. El SEPD acoge con satisfacción el hecho de que sus opiniones han sido solicitadas en una etapa temprana del procedimiento y alienta a la Comisión a continuar con esta buena práctica.

1 DO L 119 de 4.5.2016, p. 1)

2 DO L 119 de 4.5.2016, p. 89)

3 DO L 295 de 21.11.2018, p. 39)

4 COM (2020) 65 final.

5 COM (2020) 66 final.

6 Dictamen del SEPD 3/2020 sobre la estrategia europea de datos, https://edps.europa.eu/sites/edp/files/publication/20-06-16_opinion_data_strategy_en.pdf

4. El Libro Blanco está sujeto a consulta pública. El objetivo de la consulta es recopilar puntos de vista sobre el Libro Blanco en su conjunto, así como sobre ciertos aspectos específicos. Un similar pública consulta ha sido iniciada sobre la Comunicación de la Comisión Europea "Una Estrategia Europea de Datos'.

5. Esta opinión desarrolla algunos de los comentarios informales del SEPD y proporciona más aportes específicos a la Comisión Europea a la luz de la consulta pública. Además, esta dictamen se entiende sin perjuicio de cualquier comentario adicional que el SEPD pueda hacer basado en mayor información disponible en una etapa posterior, incluso en el contexto de futuras consultas legislativas sobre los actos jurídicos previstos en el Libro Blanco y el Programa de Trabajo de la Comisión.

6. Aunque las instituciones, organismos, oficinas y agencias de la Unión Europea están sujetos a la EUDPR en lugar de la RGPD, ambas regulaciones persiguen los mismos objetivos y sus principios son idénticos.⁷ Para reflejar esta coherencia, cualquier referencia a una disposición RGPD en este dictamen también indicará la disposición correspondiente de EUDPR entre paréntesis.

7. En aras de un enfoque coherente en toda la Unión, el SEPD recomienda que cualquier nuevo marco regulatorio para la IA se aplique tanto a los Estados miembros de la UE como a las instituciones, oficinas, organismos y agencias de la UE. Donde las instituciones de la Unión, organismos, oficinas y las agencias hagan uso de la Inteligencia Artificial ('IA'), estas deben estar sujetas a la misma normas como las que se aplican en los Estados miembros de la UE.

2. OBJETIVOS GENERALES Y VISIÓN

8. El SEPD acoge con gran satisfacción las numerosas referencias del Libro Blanco para un enfoque Europeo de la IA, basado en los valores y derechos fundamentales de la UE y la consideración dada a la necesidad de cumplir con la legislación europea de protección de datos. Al mismo tiempo, el SEPD espera que este firme compromiso se refleje plenamente en cualquier nuevo marco Europeo regulatorio para la IA a fin de lograr un respeto efectivo de los derechos fundamentales y valores, incluyendo la dignidad humana, el pluralismo, la igualdad, la no discriminación, el estado de derecho, el debido proceso y la protección de la vida privada y los datos personales.

9.  El SEPD recuerda que, de conformidad con el artículo 5 del RGPD y el artículo 4 de la EUDPR, el procesamiento de datos personales siempre debe respetar los principios generales de legalidad, justicia y transparencia; limitación de propósito; minimización de datos; exactitud; almacenamiento limitación; integridad y confidencialidad, así como la responsabilidad del controlador.

10. El Libro Blanco declara tener un doble objetivo, estableciendo opciones de política para promover la adopción de la IA y abordar 'los riesgos asociados con ciertos usos de esta nueva tecnología'. Dados estos objetivos, el SEPD está de acuerdo con la Comisión en que el término IA debe ser claramente definido para los propósitos de este Libro Blanco, así como cualquier posible futura iniciativa de formulación de políticas'. Sin embargo, el SEPD lamenta que el documento presente más de una definición y no abarca claramente ninguna de ellas: el Libro Blanco define primero

7 Siempre que las disposiciones del Reglamento (UE 2018/1725) sigan los mismos principios que las disposiciones del Reglamento (UE) 2016/679, estos dos conjuntos de disposiciones deberían, de conformidad con la jurisprudencia del Tribunal de Justicia de las Comunidades Europeas. La Unión debe interpretarse de manera homogénea, en particular porque el esquema del Reglamento EDPR debe ser entendido como equivalente al esquema del RGPD; Véase el considerando 5 del EDPR, que se refiere a la sentencia del TJCE de 9 de marzo. 2010, Comisión Europea contra República Federal de Alemania, Asunto C-518/07, ECLI: EU: C: 2010: 125, párrafo 28.

      IA como "la combinación de datos, algoritmos y potencia informática"; sin embargo el SEPD sugieren que dicha definición es demasiado ambigua ya que también es aplicable a otras tecnologías (por ejemplo, 'big data'). Más adelante, el Libro Blanco se refiere a las definiciones incluidas en el documento europeo. 'Comunicación de la Comisión sobre IA para Europa' y en el trabajo del experto de alto nivel Grupo sobre IA. El Libro Blanco termina dejando la tarea de definir la IA para el 'nuevo instrumento legal'. El SEPD opina que, con el Libro Blanco, La Comisión perdió la oportunidad de proponer una definición clara de IA que sirviera para enmarcar el alcance de las acciones y posibles propuestas legislativas futuras. En tal situación, será difícil entender cuál será el alcance de la posible legislación basada en este Libro blanco. El SEPD considera que cualquier definición de inteligencia artificial para un futuro instrumento jurídico debe tener en cuenta al menos los siguientes elementos: un modelo de toma de decisiones, un algoritmo que traduzca este modelo en código computable, los datos que este código usa como entrada y el ambiente que rodea su uso.⁸

11. Para lograr sus objetivos, el Libro Blanco declara como uno de sus principales bloques de construcción para establecer un marco político 'crear los incentivos correctos para acelerar la adopción de soluciones basado en IA'. Además, el Libro Blanco considera 'esencial que las administraciones públicas, hospitales, servicios públicos y servicios de transporte, supervisores financieros y otras áreas del público comiencen a desplegar rápidamente el interés por productos y servicios que dependan de la IA en sus actividades'⁹. Etiquetando a la IA como una tecnología 'esencial', el Libro Blanco parece presumir que es el tecnología más apropiada independientemente de los procesos de negocio de una autoridad pública y los riesgos que plantea su uso. El SEPD opina que no existe tal cosa como un 'bala de plata' tecnológica. La IA, como cualquier otra tecnología, es una mera herramienta, y debería ser diseñada para servir a la humanidad. IA, como cualquier otra tecnología, tiene ventajas y desventajas y las autoridades públicas y las entidades privadas deben considerar caso por caso basado en si una aplicación de IA es la mejor opción para lograr resultados importantes de interés público.

12. En la misma línea, el Libro Blanco establece que 'Un enfoque específico estará en las áreas de asistencia sanitaria y transporte donde la tecnología está madura para un despliegue a gran escala'. (Énfasis añadido). El Libro Blanco no proporciona ninguna referencia a evidencia científica que respalde dicha afirmación y corre el riesgo de promover una absorción ciega de IA. El Libro Blanco no define los criterios utilizados para evaluar el nivel de madurez de IA en una zona de aplicación específica¹⁰ El SEPD sugiere, por lo tanto, que un análisis más profundo y cuantificado, basado en fuentes identificadas, que las actualmente presentes en el Libro Blanco fortalecerían la posición de la Comisión y beneficiarían el debate público sobre el Libro Blanco asegurando un mayor calidad de los argumentos.

13. El SEPD también cree que algunas aplicaciones de IA (por ejemplo, reconocimiento facial en vivo) interfieren con derechos y libertades fundamentales de manera que puedan poner en tela de juicio la esencia de estos derechos y libertades. Debido a las primeras etapas del desarrollo de IA o el

8 La inspiración para estos elementos se puede encontrar en los siguientes documentos: HLEG on IA 'Una definición de Artificial Inteligencia: principales capacidades y disciplinas ', https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=56341 y AlgorithmWatch, " Automatización de la sociedad haciendo balance de la toma de decisiones automatizada en la UE (2019)", https://algorithmwatch.org/wp-content/uploads/2019/02/Automating_Society_Report_2019.pdf.

9 Libro Blanco sobre IA, sección 4.F

10 Si uno tomara el número de estudios de investigación llevados a cabo desde 2013 sobre el uso de la IA en la atención médica como sustituto para la madurez, uno encontrará niveles de madurez bastante diferentes (por ejemplo, 531 estudios sobre procesamiento y análisis de imágenes, 45 estudios sobre análisis patológico o 10 estudios sobre manejo de enfermedades); ver Journal of Biomedical Informatics, Volumen 100, diciembre de 2019, 'Transformar la atención médica con análisis de big data e inteligencia artificial: A estudio de mapeo sistemático ', https://www.sciencedirect.com/science/article/abs/pii/S1532046419302308

      despliegue y falta de visión completa de su impacto en nuestra sociedad, la Comisión Europea debería abogar por la aplicación estricta del enfoque del principio de precaución. Esta será profundizada en las siguientes secciones.

3. NECESIDAD DE UN MARCO LEGAL MODIFICADO

14. El SEPD acoge con satisfacción el invocación  una plena y efectiva aplicación y ejecución de normas legales existentes de la UE, así como una cuidadosa y objetiva evaluación de la necesidad de futuros ajustes legislativos.

15. El SEPD también está de acuerdo con el enfoque presentado en el Libro Blanco mediante el cual los sistemas operados de IA en la UE 'por ello es fundamental que todos los actores respeten las normas de la UE ... independientemente de si tienen su sede en la UE o no', ya que esto es coherente con el enfoque elegido por los legisladores de la UE para la protección de datos personales, en particular el RGPD.

16. El marco legal europeo de protección de datos es neutral en tecnología y no es un obstáculo para la adopción exitosa de nuevas tecnologías, en particular IA. Por el contrario, está destinado a fomentar la aplicación de cualquier tecnología al procesamiento de datos personales en el pleno respeto de los valores europeos y los derechos fundamentales.

17. El Libro Blanco declara que su objetivo es minimizar los riesgos planteados por IA e identifica los más significativos como 'la aplicación de reglas diseñadas para proteger derechos fundamentales' y 'cuestiones relacionadas con la seguridad y la responsabilidad'. Los primeros tipos de riesgos son detallados posteriormente sobre cómo afectan 'los derechos de libre expresión, protección de datos personales, privacidad y libertades políticas'. En la sección 5.B, del Libro Blanco se especifican los riesgos y situaciones donde el marco regulatorio de la UE podría necesitar mejoras para garantizar la aplicación adecuada:

• El riesgo respecto a la 'Aplicación y ejecución efectiva de la vigente legislación de la UE y nacional' articulada en torno a la opacidad de la IA, que se abordará en la sección de responsabilidad y cumplimiento a continuación en la sección 4.3.

• El riesgo 'Limitaciones del alcance de la legislación vigente de la UE' se centra en el producto marco regulatorio de seguridad de la UE.

• El riesgo de 'Cambiar la funcionalidad de los sistemas de IA', como se describe en el Libro Blanco¹¹, no es nuevo o exclusivo para aplicaciones de IA. El SEPD lamenta que el Libro Blanco no explique con más detalle por qué las actualizaciones de software que agregan nuevas funcionalidades presentan problemas de cumplimiento diferentes a los planteados al cambiar la funcionalidad a los no sistemas IA.

• El riesgo de 'Incertidumbre en cuanto a la asignación de responsabilidades ...' parece estar relacionado con el Legislación de la UE sobre la seguridad del producto. Dado que los requisitos de RGPD deben cumplirse por controladores de datos y procesadores de datos en el contexto de aplicaciones de IA cuando se procesan datos personales, es necesario asignar claramente estos roles para asignar adecuadamente responsabilidades. Una evaluación de impacto de protección de datos (DPIA) es una herramienta útil que ayuda a la asignación de responsabilidades.

11 'la integración del software, incluida la IA, en los productos puede modificar el funcionamiento de dichos productos y sistemas durante su ciclo de vida '(énfasis agregado)

•  Los "Cambios en el concepto de seguridad" se relacionan con los 'riesgos que la legislación de la UE actualmente no aborda explícitamente' y está vinculado al marco regulatorio de seguridad de los productos de la UE.

      Los vínculos entre estos riesgos y las brechas legislativas específicas que provocan la necesidad de una nueva regulación sigue sin ser clara. La evaluación de impacto de cualquier propuesta para una regulación del marco de  IA debe incluir claramente dichos enlaces.

18. Durante la segunda mitad de 2019, más de 350 organizaciones enviaron comentarios¹² al Grupo de Expertos de Alto Nivel sobre las Directrices confiables de IA¹³. Como parte de esa retroalimentación, el Libro Blanco menciona que la transparencia¹⁴, la trazabilidad¹⁵ y la supervisión humana¹⁶ son requisitos claves de las Directrices del Grupo de Expertos de Alto Nivel¹⁷ pero 'no están cubiertos específicamente según la legislación vigente en muchos sectores económicos'. El SEPD opina que el RGPD refleja completamente los requisitos claves mencionados y se aplica tanto al tratamiento de los datos personales en el sector privado como en el público. La transparencia es requerida por el Artículo 5 (1) (a) RGPD (legalidad, principio de equidad y transparencia) [Artículo 4 (1) (a) EUDPR] y Artículos 12 al 14 RGPD (requisitos de información transparente) [Artículos 14 a 16 EUDPR], mientras que la supervisión humana es considerado específicamente en el Artículo 22 RGPD [Artículo 24 EUDPR] y más ampliamente en el Artículo 5 (2) RGPD (responsabilidad) [Artículo 4 (2) EUDPR]. Por lo tanto, esto no parece un problema. para la legislación de protección de datos de la UE.

19. Ciertas aplicaciones de IA, como la vigilancia predictiva¹⁸ pueden tener efectos negativos como el exceso de vigilancia policial en colectividades, así como en individuos. Al mismo tiempo, las reglas de protección de datos están diseñadas para proteger principalmente a las personas, y puede no ser adecuado para abordar los riesgos de grupos de individuos. Dado que ningún individuo específico es discriminado si, por ejemplo, una vecindad se convierte lentamente en un área altamente patrullada, también las leyes contra la discriminación podrían ser difíciles de aplicar. El SEPD, por lo tanto, recomienda que cualquier regulación relacionada con la IA sea diseñada para proteger de cualquier impacto negativo, no solo a individuos, sino también a colectividades y la sociedad en su conjunto. A este respecto, el SEPD invita a la Comisión a idear modelos de gobernanza inclusivos que empoderarían a las organizaciones que representan a sociedades civiles (por ejemplo, ONG y otras asociaciones sin fines de lucro) para que también puedan ayudar a evaluar el impacto de las aplicaciones de IA en colectividades específicas y la sociedad en general.

20. El SEPD está de acuerdo con la Comisión en que cualquier futuro marco jurídico debe tener en cuenta elementos relacionados con la calidad y la trazabilidad de los datos, así como la transparencia y la supervisión humana y criterios específicos para sistemas de identificación biométrica. El SEPD compatibiliza totalmente con estos requisitos, que corresponden a algunos de los principios rectores establecidos en la

12 https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=57590

13 https://ec.europa.eu/digital-single-market/en/news/ethics-guidelines-trustworthy-IA

14 “Este requisito está estrechamente relacionado con el principio de explicabilidad y abarca la transparencia de los elementos relevante para un sistema de IA: los datos, el sistema y los modelos de negocio". Pautas de HLEGIA (página 18)

15 "Los conjuntos de datos y los procesos que producen la decisión del sistema de inteligencia artificial, incluidos los de recopilación de datos y datos etiquetados, así como los algoritmos utilizados, deben documentarse con el mejor estándar posible para permitir la trazabilidad y un aumento en la transparencia. Esto también se aplica a las decisiones tomadas por el sistema de IA. Esto permite identificar las razones por las cuales una decisión de IA fue errónea, lo que, a su vez, podría ayudar a prevenir futuros errores. La trazabilidad facilita la auditabilidad y la explicabilidad ”. Pautas HLEG (página 18)

16 “Los sistemas de IA deben apoyar la autonomía humana y la toma de decisiones, según lo prescrito por el principio de respeto a autonomía humana ". Pautas HLEG (página 15)

17 Comentarios obtenidos de la consulta pública sobre las pautas publicadas por la HLEG sobre IA.

18 IA y gobernanza global: cambiar el rumbo del crimen con la política predictiva https://cpr.unu.edu/IA-global- gobernanza-cambiando-la-marea-sobre-crimen-con-seguridad-predictiva.html

     Declaración sobre ética y protección de datos en IA, adoptada por la 40a Internacional Conferencia de Comisionados de Protección de Datos y Privacidad (ICDPPC) en Bruselas¹⁹. Además, el SEPD recomienda considerar también los otros principios rectores establecidos en la declaración ICDPPC, como el diseño y desarrollo responsable al aplicar los principios de privacidad por defecto y privacidad por diseño y el empoderamiento del individuo.

21. El SEPD admite el reconocimiento de los riesgos que el uso de la IA puede representar para una amplia gama de derechos fundamentales, incluidos, entre otros, la privacidad y la protección de datos personales²⁰. Sin embargo, el SEPD afirma que, además del aumento de la vigilancia y de formas inadecuadas de gobernanza (por ejemplo, mediante la clasificación y predicción del aprendizaje automático, incluyendo el comportamiento de las personas, con o sin reconocimiento facial) podrían ser considerados como factores de riesgo importantes para la IA, por ejemplo, debido a su potencial efecto de disminución sobre varios otros derechos fundamentales. Además, el Libro Blanco identifica dos fuentes de riesgos para los individuos: conjuntos de datos sesgados y diseño defectuoso del sistema de inteligencia artificial. El SEPD considera que también deben tenerse en cuenta otras fuentes de riesgo, incluida la falta de la calidad de los datos, o los riesgos derivados del uso de IA (como la tendencia humana a confiar en sistemas automatizados de toma de decisiones a ciegas²¹).

22. Si bien el SEPD acepta que el sesgo también podría afectar a los sistemas de inteligencia artificial que aprenden durante su operación, el Libro Blanco va más allá al afirmar que cuando el sistema de IA 'aprende' mientras está en operación ' ... el resultado no pudo haberse evitado o anticipado en la fase de diseño, los riesgos no se derivarán de una falla en el diseño original del sistema, sino más bien de la impactos prácticos de las correlaciones o patrones que el sistema identifica en un gran conjunto de datos '. (énfasis propio). El SEPD no está de acuerdo con esta evaluación. El diseño de la aplicación IA debería tener en cuenta el sesgo potencial en los datos de entrenamiento y, cuando corresponda, en Datos operacionales. El sesgo puede y debe medirse y corregirse durante el funcionamiento de la Aplicaciones IA tanto como se puede medir y corregir durante su desarrollo²².

4. EVALUACIÓN DEL MARCO REGULATORIO FUTURO PARA IA

4.1. Principio de precaución y enfoque basado en el riesgo.

23. El Libro Blanco sigue un enfoque basado en el riesgo "para ayudar a garantizar que la intervención regulatoria es proporcional", es decir, para limitar la aplicabilidad de la regulación propuesta en el marco de referencia. La propuesta del Libro Blanco es agregar ciertos requisitos legales, complementarios a los existentes, para aplicaciones IA de alto riesgo .

19 https://edps.europa.eu/sites/edp/files/publication/icdppc-40th_IA-declaration_adopted_en_0.pdf La Conferencia Internacional de Comisionados de Protección de Datos y Privacidad, ahora renombrada Asamblea de Privacidad Global, ha sido el primer foro mundial para las autoridades de protección de datos y privacidad durante más de cuatro décadas.

20 Véase también el documento de la Agencia de Derechos Fundamentales 'Tecnología de reconocimiento facial: derechos fundamentales consideraciones en el contexto de ley aplicación', 27 noviembre 2019, https://fra.europa.eu/sites/default/files/fra_uploads/fra-2019-facial-recognition-technology-focus-paper-1_en.pdf

21 'De hecho, la naturaleza supuestamente confiable de las soluciones basadas en matemáticas IA lleva a quienes toman decisiones sobre la base de los resultados de los algoritmos a crear la imagen de los individuos y la sociedad que sugieren los análisis. Por otra parte, esta actitud puede verse reforzada por el riesgo de posibles sanciones por tomar una decisión que ignore los resultados proporcionados por analísis' IA y protección de datos: desafíos y remedios previstos. Informe encargado por el Consejo de Europa al profesor Alessandro Mantelero. https://rm.coe.int/report-on-artificial-intelligence-artificial-intelligence-y-data-pro/ 16808b2e39

22 Tay, el chatbot de inteligencia artificial de Microsoft, recibe un curso intensivo sobre racismo en Twitter https://www.theguardian.com/technology/2016/mar/24/tay-microsofts-IA-chatbot-gets-a-crash-course-in-racism- from-twitter? CMP = twt_a-technology_b-gdntech

24. En relación con los riesgos planteados a los interesados por cualquier aplicación de IA que procese datos personales, dicha regulación complementaria parece innecesaria, ya que el enfoque basado en el riesgo ya incorporado en los artículos 32 (seguridad de procesamiento) y 35 (Impacto de protección de datos Evaluación) del RGPD [Artículos 33 y 39 EDPR] es transparente y debe adaptarse a la necesidades específicas de cada aplicación. En febrero de 2020, el EDPB concluyó²³ 'que es prematuro revisar el texto legislativo en este momento'.

25. La estrategia basada en el riesgo del Libro Blanco establece (p17): 'Los requisitos obligatorios contenidos en el nuevo marco regulatorio sobre IA (ver sección D a continuación) en principio solo se aplicaría a aquellas aplicaciones identificadas como de alto riesgo de acuerdo con [los] dos criterios acumulativos " del sector de alto riesgo y del uso e impacto de la aplicación de IA (énfasis propio).

26. El SEPD sugiere lo siguiente cuando y sí se estableciera un nuevo marco regulatorio adoptado:

27. Sobre los criterios acumulativos de alto riesgo, el SEPD considera que el concepto de «alto riesgo» en El Libro Blanco es demasiado estrecho, ya que pareciera excluir a las personas de estar adecuadamente protegidas de las aplicaciones de IA que podrían infringir sus derechos fundamentales. El Libro Blanco reconoce la falta de cobertura total de la definición al afirmar que 'también puede haber casos excepcionales en los que, debido a los riesgos en juego, el uso de aplicaciones de inteligencia artificial para ciertos fines debe considerarse de alto riesgo'.

28. El SEPD considera que el enfoque para determinar el nivel de riesgo del uso de las aplicaciones de IA deberían ser más robustas y más matizadas, y las Directrices de la Junta Europea de Protección de Datos sobre la Evaluación de Impacto de Protección de Datos (DPIA) y determinar si es probable que el procesamiento resulte de un alto riesgo' para a los efectos del Reglamento 2016/679²⁴.

29. Teniendo en cuenta el principio de precaución, el SEPD recomienda que el proceso de determinación de alto riesgo debe modificarse, al procesarse datos personales, de la siguiente manera:

• Para satisfacer el criterio de "uso e impacto nocivo" del Libro Blanco debería obligarse al controlador a llevar a cabo una evaluación de impacto de protección de datos para determinar si la aplicación de IA debe considerarse de alto riesgo.

• Los criterios para determinar el nivel de riesgo deben reflejar las Directrices de la Junta Europea de Protección de Datos antes mencionadas, y por lo tanto debería incluir: evaluación o puntuación; toma de decisiones automatizada con efecto significativo legal o similar; monitoreo sistemático; información sensible; datos procesados a gran escala; conjuntos de datos que han sido emparejados o combinados; data sobre sujetos de datos vulnerables; uso innovador o aplicación de soluciones tecnológicas u organizativas; transferencia de datos a través de las fronteras fuera de la Unión Europea; si el procesamiento en sí mismo 'previene a los interesados en el ejercicio de un derecho, el uso de un servicio o un contrato.

23 Contribución del EDPB a la evaluación del RGPD conforme al Artículo 97 (p. 4 ) https://edpb.europa.eu/our-work- herramientas/ nuestros-documentos/ otros/ contribución-edpb-Evaluation-RGPD-under-article-97_en

24 La Junta Europea de Protección de Datos aprobó las Directrices del Grupo de Trabajo del Artículo 29 de 2017 sobre Protección de Datos Evaluación de impacto (DPIA) y determinar si el procesamiento es 'probable que resulte de un alto riesgo' para los fines de Reglamento 2016/679 (wp248rev.01) durante su primera sesión plenaria el 25 de mayo 2018 . https://ec.europa.eu/newsroom/article29/item-detIAl.cfm?item_id=611236

• Además, la Comisión debería reconocer que los '[r] iesgos, están relacionados con el impacto negativo potencial de los derechos, libertades e intereses del interesado, deberían ser determinados teniendo en cuenta criterios objetivos específicos, como la naturaleza de los datos personales (por ejemplo, sensibles o no), la categoría del interesado (por ejemplo, menor o no), el número de interesados afectados y el propósito del procesamiento. La gravedad y la probabilidad de impactos en los derechos y libertades del interesado de constituir elementos a tener en cuenta para evaluar los riesgos para la privacidad del individuo'²⁵

• El criterio de "sector" mencionado en el Libro Blanco no serviría como criterio, sino en cambio, como una indicación presunta de que hay una necesidad de evaluación por defecto (es decir, a través de un DPIA) de los riesgos planteados por la aplicación de IA, y que cualquier riesgo de este tipo podría ser aún más grave que en otro sector.

30. La noción de riesgo de impacto del Libro Blanco parece igualmente demasiado limitada. Al lado del 'impacto en las partes afectadas', el SEPD considera que la evaluación del nivel de riesgo de un uso dado de IA también debe basarse en consideraciones sociales más amplias, incluyendo el impacto en el proceso democrático, el debido proceso y el estado de derecho, el interés público, el potencial para una mayor vigilancia general, el medio ambiente²⁶ y (concentraciones de) poder de mercado.

31. Con respecto al impacto específicamente en las personas, el Libro Blanco reconoce que el daño causado por la IA puede ser tanto material como inmaterial²⁷ . Sin embargo, cuando se trata del tipo de daño tomado en cuenta para determinar el estado de riesgo (alto), el Libro Blanco considera un gama mucho más estrecha de daños y riesgos²⁸. Al determinar si las aplicaciones de IA son calificadas como de alto riesgo, el SEPD recomienda a la Comisión que no se limite a tales consideraciones estrechas y tener bastante en cuenta la amplia gama de daños y riesgos que enfrentan los individuos.

32. Adicionalmente, aunque el Libro Blanco reconoce (p. 11) que las aplicaciones de IA pueden generar riesgos debido a 'fallas en el diseño general de los sistemas de IA o [...] del uso de datos sin corregir posibles sesgos', el SEPD recomienda que también reconozca que las aplicaciones de IA también pueden generar riesgos debido a que son parciales o incluso arbitrarias, atribuyendo erróneamente variables, o no clasificar algunos datos. Además, debe reconocer que los riesgos también pueden surgir del mismo acto de delegar tareas a máquinas (aquí, IA) que anteriormente estaban asignadas a los humanos. La decisión de 'resolver' un problema social utilizando una aplicación de IA agrega riesgos adicionales, que deben considerarse contra cualquier aumento supuesto en eficiencia.

Por ejemplo, estos sistemas requieren una gran cantidad de datos que deben recopilarse y almacenarse, y esto crea riesgos de privacidad y seguridad; Es posible que las aplicaciones de IA no puedan tomar

25 Artículo 29 Grupo de Trabajo 2014, Declaración sobre el papel de un enfoque basado en el riesgo en la protección legal de datos marcos, p4.

26 El impacto ambiental de entrenar una aplicación de IA y el uso profuso de la IA podría ser perjudicial para los objetivos medioambientales de la UE:

https://www.technologyreview.com/2019/06/06/239031/trIAning-a-single-IA-model- puede emitir tanto carbono como cinco autos en sus vidas/

27 'tanto material (seguridad y salud de las personas, incluida la pérdida de vidas, daños a la propiedad) como inmateriales (pérdida de privacidad, limitaciones al derecho a la libertad de expresión, dignidad humana, discriminación, por ejemplo, en el acceso a empleo), y puede relacionarse con una amplia variedad de riesgos 'White Paper, página 10

28 'Efectos legales o de similar importancia para los derechos de un individuo o una empresa; riesgo de lesiones, muerte o material significativo o daño inmaterial; efectos que no pueden ser evitados razonablemente por individuos o legales entidades ". Libro Blanco, página 17

en consideraciones factores humanos que no se derivan de los datos; las aplicaciones de IA pueden beneficiarse de la excesiva confianza humana y tomar la apariencia de verdad objetiva o el aura de fiabilidad científica. Por lo tanto, cuando la aplicación de IA procesa datos personales, existe debería ser evidente su necesidad y proporcionalidad 29 .

33. En el nuevo marco que se destina solo a aplicaciones de IA de alto riesgo, el Libro Blanco reconoce los riesgos y daños específicos de la IA que pueden provocar las aplicaciones de IA (ver parte superior de p12). Para abordarlos, se propone de actualizar cierta legislación de la UE y, en la medida en que no todos los riesgos y daños estarían cubiertos por las leyes existentes, para presentar una IA específica salvaguardas en un nuevo 'marco regulatorio para la IA'.

34. Sin embargo, las actualizaciones a la legislación de la UE sugeridas en el Libro Blanco (en la sección B) no cubren todos estos daños y riesgos, y las nuevas salvaguardas presentadas (en la sección D) solamente cubre los riesgos causados ​​por las aplicaciones de IA de alto riesgo . En el entendido del SEPD, que mientras el Libro Blanco reconoce una amplia variedad de riesgos y daños provocados por las aplicaciones de IA específicamente, las medidas que sugiere solo abordarían una parte de ellas, a saber, el categoría 'alto riesgo'.

35. Este enfoque no refleja el enfoque precautorio adoptado por la Unión Europea en la legislación de protección de datos personales³⁰. El enfoque adoptado en el RGPD (y el EUDPR) está basado también en el riesgo, pero, de manera crucial, en forma de capas, mientras que el Libro Blanco de IA parece tomar un enfoque "todo o nada":

• Las reglas del RGPD se aplican en el entendimiento de que no existe tal cosa como 'cero-riesgo' en la operación de procesamiento de datos personales. Cada operación de procesamiento de datos personales implica riesgos (aunque tal vez mínimos), especialmente el procesamiento automatizado, y especialmente a través de nuevas tecnologías. Por lo tanto, hay un cierto número de obligaciones que deberían cumplirse en cualquier caso para todas las actividades de procesamiento. Además de eso, cuando los riesgos aumentan (alto riesgo), las obligaciones también aumentan.

• En contraste con ese enfoque, el Libro Blanco parece proponer que solo las aplicaciones de IA de alto riesgo requieren obligaciones adicionales específicas (adicionales a cualquier obligación ya aplicable), y si los riesgos disminuyen, las obligaciones adicionales desaparecen.

36. El principio de precaución aplicado tradicionalmente en la UE³¹ exigen medidas de precaución siempre que (1) los riesgos desconocidos resulten imposibles de evaluar, o (2) existan riesgos graves pero la probabilidad de ocurrencia no puede preverse adecuadamente. El principio de precaución. en la práctica, reduce el umbral para la intervención reguladora (regulatoria u otra)³² y su

29 La razón subyacente para implementar el sistema de IA debe quedar clara y, en el caso de la rentabilidad y efectividad, bien respaldado.

30 Véase especialmente el Grupo de Trabajo del Artículo 29 de 2014, Declaración sobre el papel de un enfoque basado en el riesgo en la protección de datos marcos legales, https://ec.europa.eu/justice/article-29/documentation/opinion- recomendación/ archivos/ 2014/ wp218_en.pdf.

31 El principio de precaución es reconocido por la Comisión como aplicable cuando "la evidencia científica es insuficiente, no concluyente o incierta y hay indicaciones a través de una evaluación científica objetiva preliminar que existen motivos razonables para preocuparse de que los efectos potencialmente peligrosos (...) puedan ser inconsistentes con el nivel de protección elegido. "Véase la Comunicación de la Comisión Europea sobre el principio de precaución (COM (2000) 1 final), disponible a: https://eur-lex.europa.eu/legal- contenido/ EN/ TXT/ PDF/? uri = CELEX: 52000DC0001 & from = EN .

32 En lugar de prohibiciones, moratorias o eliminación gradual, las medidas de precaución pueden tomar la forma de estándares fortalecidos, estrategias de contención, acuerdos de licencia, medidas de monitoreo, requisitos de etiquetado, responsabilidad

aplicación al contexto de IA parece especialmente relevante³³. Por lo tanto, la opinión del SEPD es que los riesgos y daños que no satisfacen los requisitos para calificar como "alto riesgo" deben evitarse o mitigarse, en la medida de lo posible. Con este fin, el SEPD sugiere que si la Comisión presentara una nueva normativa específica marco de IA, un cierto número de garantías razonables deberían aplicarse a todas las aplicaciones de IA independientemente del nivel de riesgo, como tener medidas técnicas y organizativas establecidas (incluida la documentación³⁴ ) ser completamente transparente sobre los objetivos, el uso y el diseño de sistemas algorítmicos implementados³⁵; asegurando la robustez del sistema de IA; o implementar y ser transparente sobre los mecanismos disponibles de responsabilidad, reparación y supervisión independiente.

37. Si bien la Comisión, en su enfoque de la IA, pretende "no ser excesivamente prescriptivo", para evitar crear 'una carga desproporcionada, especialmente para las PYME' (p17), el resultado de un tal enfoque podría crear una carga desproporcionada sobre los derechos fundamentales de las personas e intereses en su lugar. El SEPD sugiere inspirarse en un debate similar durante las discusiones y negociaciones del RGPD, y es de la opinión de que el enfoque de resultado en capas en el RGPD logra un mejor equilibrio entre las cargas y los beneficios .

38. El SEPD observa además que la protección de los derechos fundamentales podría garantizar, en ciertos escenarios, no solo salvaguardas específicas sino también una clara limitación en el uso de IA donde ciertos usos de la tecnología son evidentemente incompatibles con los derechos fundamentales³⁶. Por ello, el SEPD sugiere que algunos escenarios IA de alto riesgo deberían estar prohibidos desde el principio: siguiendo el enfoque del principio de precaución europeo, y en particular cuando el impacto en los individuos y la sociedad en su conjunto aún no es comprendida completamente, debería considerarse una prohibición temporal. El SEPD considera que estas situaciones potenciales deberían ser explícitamente abordadas en cualquier posible marco regulatorio futuro. El SEPD sugiere hacerse cargo, a este respecto, al enfoque "prudente" y "adaptado al riesgo" propuesto por la Comisión Ética Alemana de Datos, al prohibir total o parcialmente los sistemas algorítmicos 'con un insostenible potencial de daño'³⁷.

39. Además de cualquier nuevo requisito que la Comisión pueda establecer para aplicaciones de IA, y en línea con los Principios Rectores de la ONU sobre Empresas y Derechos Humanos, la Comisión también debe enfatizar el deber del sector privado de ejercer la debida diligencia estándar y tomar medidas continuas, documentadas, proactivas y reactivas hacia la protección de los derechos humanos. Las evaluaciones de riesgos, que tienen mucho sentido en entornos técnicos, donde los operadores manejan sus propios riesgos operacionales, pueden no reflejar la amplitud necesaria al evaluar el impacto en los derechos fundamentales y el impacto en la protección de datos

disposiciones o esquemas de compensación. Véase el artículo 191, apartado 2, del TFUE; cf. también Asunto C-180/96, Reino Unido v. Comisión, Rec. 1998, p. I-2269, párr. 99

33 El SEPD considera que este principio es aplicable a los riesgos para la privacidad y la protección de datos personales, y por lo tanto sugiere considerar su aplicación con respecto a los riesgos que plantea la IA. Vea las Directrices del SEPD sobre proporcionalidad, nota al pie no. 53, en la página 24: https://edps.europa.eu/sites/edp/files/publication/19-12- 19_edps_proportionality_guidelines2_en.pdf

34 La documentación transparente es una herramienta interna indispensable para que los controladores administren la responsabilidad de manera efectiva y para el control ex-post de las DPA, así como para el ejercicio de los derechos de los interesados. Va más allá de la información a dar a los interesados, y podría aumentar la protección hasta un mecanismo de verificación ex-ante completo - y todos los recursos, conocimientos y consenso político que requieren - materializado.

35 Los secretos comerciales y los derechos de propiedad intelectual no son más que una defensa parcial contra los requisitos de transparencia y solo se puede confiar en la medida estrictamente necesaria para proteger los intereses de sus titulares.

36 El SEPD también sugiere que las consideraciones éticas deberían entrar en juego respecto al uso que se hace de una aplicación IA.

37 https://datenethikkommission.de/wp-content/uploads/191023_DEK_Kurzfassung_en_bf.pdf

evaluaciones (DPIA) (que también tienen en cuenta derechos distintos del derecho a los datos protección, donde sea relevante) es más apropiado.

4.2. Evaluación de impacto de protección de datos

40. El DPIA previsto en el artículo 35 del RGPD [artículo 39 EUDPR] es una herramienta para la Gestión de riesgos de los derechos y libertades de las personas. Un DPIA es obligatorio antes del tratamiento de datos utilizando tecnologías innovadoras si es probable que el procesamiento genere un alto riesgo a los derechos y libertades de los individuos. El SEPD lamenta que el Libro Blanco no mencione explícitamente las DPIA, a pesar de su compromiso de minimizar los riesgos que plantea la IA 'en la aplicación de reglas diseñadas para proteger los derechos fundamentales'.

41. El despliegue de sistemas de IA probablemente cumpla al menos uno de los criterios establecidos en el artículo 35 (3) RGPD [Artículo 39 (3) EUDPR]³⁸ . Además, el artículo 35 (4) del RGPD [artículo 39 (4) EUDPR] permite a las autoridades supervisoras de protección de datos de cada Estado miembro de la UE (y el SEPD) para publicar una lista del tipo de operaciones de procesamiento, que están sujetas a requisito para una DPIA. El EDPB publicó orientación adicional sobre cómo determinar cuándo la realización de una DPIA es obligatoria³⁹. Entre otras, las autoridades supervisoras de Polonia, Italia, Grecia, Austria y la República Checa requieren un DPIA para algunos o todos los usos de las aplicaciones IA. (por ejemplo, en Polonia se requiere un DPIA para 'evaluación de la solvencia crediticia, con el uso de algoritmos de IA 'mientras que en la República Checa se requiere tal DPIA para' automatizar sistemas expertos que incluyen IA 'cuando se usan para análisis o perfilamiento de IA de sistemas de TI).

42. El artículo 35 del RGPD [artículo 39 de la EUDPR] se refiere a un probable alto riesgo “para los derechos y libertades de individuos". La referencia a "los derechos y libertades" de los interesados principalmente se refiere a los derechos de protección de datos y privacidad, pero también puede involucrar a otros derechos fundamentales como la libertad de expresión, libertad de pensamiento, libertad de movimiento, prohibición de discriminación, derecho a la libertad, conciencia y religión⁴⁰.

43. Es importante tener en cuenta que los requisitos del RGPD para un DPIA incluyen no solo una evaluación de riesgo, sino también una descripción detallada del procesamiento de datos previsto. La parte de  la evaluación de riesgo trata de identificar los riesgos y las medidas para abordarlos y mitigarlos. Los riesgos deben ser medidos entre si y se les debe dar un valor o puntaje que los hada escalables. Este valor debe basarse en la probabilidad y la gravedad de los riesgos. La descripción del procesamiento de datos previsto debe incluir el alcance, la naturaleza, el contexto y propósitos del procesamiento de datos.

44. La DPIA también requiere además una evaluación de la necesidad y la proporcionalidad del tratamiento. La evaluación de la necesidad debe demostrar que el despliegue de IA es de hecho, la herramienta más adecuada para cumplir el objetivo de una actividad específica de procesamiento de datos. Si

38 Las actividades de procesamiento de datos están sujetas a la obligación de producir un DPIA si (1) existe una sistemática y extensiva evaluación de datos personales basada en el procesamiento automatizado, incluida la elaboración de perfiles, y sobre cuales decisiones se basan que dará como resultado efectos legales o similares significativos efectos (2) el procesamiento involucra una gran escala de datos sensibles o datos relacionados con condenas penales y delitos, o (3) el procesamiento implica el monitoreo sistemático de áreas de acceso público a gran escala.

39 El Grupo de Trabajo del Artículo 29 adoptó un documento 'Orientación sobre la Evaluación del Impacto de la Protección de Datos (DPIA) y determinar si el procesamiento es "probable que genere un alto riesgo" a los efectos del Reglamento (UE) 2016/679 que contiene pautas detalladas sobre cómo y cuándo se debe llevar a cabo una DPIA.

40 Consejo Europeo de Protección de Datos, Directrices sobre evaluación de impacto de protección de datos (DPIA) y determinación si el procesamiento "es probable que genere un alto riesgo" a los efectos del Reglamento 2016/679, WP 248 rev.01.

existen otros métodos menos intrusivos con niveles más bajos de riesgos potenciales que también podrían ayudar a lograr el propósito del procesamiento, se necesitan argumentos específicos para mostrar por qué el controlador de datos optó por usar IA en su lugar.

La evaluación de proporcionalidad debe tener en cuenta una serie de factores, en particular:

• el interés de los controladores de datos y los derechos y libertades de las personas y

• las expectativas razonables de las personas y el propósito de los datos procesados.

El SEPD señala que si la evaluación del impacto en la protección de datos muestra que el procesamiento implicaría un alto riesgo para los derechos y libertades de los interesados, a menos que el controlador de los datos tome medidas para mitigar el riesgo, existe la obligación de consultar la autoridad de supervisión según el Artículo 36 (1) RGPD [Artículo 40 EUDPR]. El SEPD por lo tanto sugiere que un futuro marco legal debería establecer el requisito de una evaluación de impacto para cualquier despliegue previsto de sistemas de IA. Cuando esto involucra el procesamiento de datos personales, deben cumplirse los requisitos del RGPD para el DPIA; para otras situaciones, la propuesta de evaluación de impacto de IA podría incluir lo siguiente componentes:

1. Identificación de los derechos fundamentales en cuestión.

a. ¿Cuáles son los derechos fundamentales afectados o potencialmente afectados?

b. ¿Cuál es la naturaleza de estos derechos fundamentales? ¿Se ve afectado un derecho absoluto?

2. Identificar los riesgos para esos derechos durante el desarrollo y durante el

fase de despliegue

a. ¿Cuáles son los factores de riesgo?

b. ¿Cuál es la probabilidad de que se manifiesten los riesgos?

c. ¿En qué medida los riesgos tendrían un impacto en los derechos fundamentales?

3. Identificar las medidas para mitigar los derechos afectados.

a. Qué métodos, técnicos u organizativos están a disposición para garantizar que núcleo de los derechos fundamentales no se verá afectado?

4. Equilibrio de intereses y riesgos.

a. ¿Cuáles son los impactos positivos/negativos de la limitación en lo derechos fundamentales?

b. ¿Cuáles son los impactos positivos/negativos del procesamiento para el individuo?⁴¹

El SEPD considera que la introducción de una evaluación de riesgo de este tipo está en línea con la estrategia de la Comisión para implementar mejor la Carta de los Derechos Fundamentales por parte de la

41 Véase Heleen L. Janssen, 'Un enfoque para una evaluación del impacto de los derechos fundamentales en la toma de decisiones automatizada ' Ley Internacional de Privacidad de Datos, Volumen 10, Número 1, febrero de 2020, páginas 76–106, https://doi.org/10.1093/idpl/ipz028 .

Unión Europea⁴². Por lo tanto, aunque no es una idea completamente nueva como tal, su aplicación debe considerarse para el procesamiento de datos personales utilizando IA, dado el grave impacto y la naturaleza innovadora de la tecnología.

45. Finalmente, el SEPD recomienda, siempre que sea posible, hacer públicos los resultados de tales evaluaciones, o al menos los principales hallazgos y conclusiones de la DPIA, como una garantía y medida para mejorar la transparencia.

4.3. Responsabilidad y ejecución

46. En la página 10, el Libro Blanco establece que 'algunas características específicas de la IA (por ejemplo, la opacidad) pueden hacer la aplicación y la ejecución de esta legislación más difícil '. Según el Libro, tales dificultades de aplicación requerirían 'examinar si la legislación actual es capaz de abordar los riesgos de la IA y puede hacerse cumplir de manera efectiva, así sean necesarias las adaptaciones de la legislación, o si se necesita nueva legislación '.

47. En la página 12, el Libro Blanco desarrolla aún más las características problemáticas presentes en muchas aplicaciones de IA que incluyen entre ellas la 'opacidad ('efecto de caja negra'), la complejidad, imprevisibilidad y comportamiento parcialmente autónomo "especificando que" pueden hacer difícil de verificar el cumplimiento y puede obstaculizar la aplicación efectiva de las normas de la legislación vigente de la UE destinadas a proteger los derechos fundamentales. Sin embargo, tales características no son exclusivas para aplicaciones de IA. Por ejemplo, en el procesamiento de datos personales a través de Big Data las técnicas pueden ser tan complejas y algunas aplicaciones que no usan IA (por ejemplo, aquellas que administran los trenes automatizados⁴³) son parcial o totalmente autónomos.

48. La opacidad atribuida a algunos tipos de aplicaciones de IA se relaciona con la incapacidad humana para explicar el razonamiento detrás de la decisión de la aplicación de IA. Tal problema proviene de la forma en que esas aplicaciones representan el conocimiento y la experiencia que utilizan para crear decisiones Por lo tanto, el SEPD sugiere que los procedimientos transparentes de prueba y auditoría, mencionado en la sección 5.F en el contexto de evaluaciones de conformidad anteriores, debe ser parte de cualquier aplicación de IA que procese datos personales. Hacer que dichos procedimientos estén disponibles públicamente garantizaría que las autoridades de supervisión pudieran realizar sus tareas, pero también mejoraría la confianza del usuario en las aplicaciones de IA.

49. Si, como sugiere el Libro Blanco, la opacidad u otras características específicas de la IA requieren la revisión de legislación existente, el SEPD hace hincapié en la necesidad de un sólido análisis de brechas regulatorias en las evaluaciones de impacto exigidas por las mejores directrices de regulación de la Comisión⁴⁴ y el Acuerdo Interinstitucional entre el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea para una mejor legislación⁴⁵. Tal análisis describiría las características relevantes de IA, las brechas de la legislación actual que necesitan enmienda y el enfoque de las enmiendas propuestas para llenar tales vacíos.

42 Comunicación de la CE Estrategia para la efectiva aplicación de la Carta de los Derechos Fundamentales por parte de la Unión Europea ' COM (2010) 573 FINAL, Bruselas, 19.10.2010.

43 https://en.wikipedia.org/wiki/List_of_automated_trIAn_systems

44 https://ec.europa.eu/info/law/law-making-process/planning-and-proposing-law/better-regulation-why-and-cómo/ una mejor regulación-directrices-y-caja de herramientas_en

45 DO L 123 de 12.5.2016, p. 1–14.

50. El Libro Blanco cuestiona si las autoridades competentes y las personas afectadas podrían 'verificar cómo se tomó una decisión dada con la intervención de IA y, por lo tanto, si se respetaron las normas pertinentes". Al SEPD le gustaría recordar el principio de responsabilidad que sustenta el RGPD, según el cual es el controlador de datos que debe demostrar cumplimiento con el RGPD. Reclamaciones sobre la falta de sesgo discriminatorio humano (o cualquier otro) en la aplicación de IA debe ser verificable⁴⁶.

51. El Libro Blanco expresa preocupaciones⁴⁷ sobre la posible falta de medios de las autoridades supervisoras para hacer cumplir la regulación existente sobre IA. El SEPD comparte esas preocupaciones y subraya la necesidad de proporcionar a las autoridades de supervisión los recursos para mantenerse al día no solo con IA, sino también con cualquier desarrollo tecnológico⁴⁸. La evaluación EDPB del RGPD mostró⁴⁹ que la mayoría de las DPA que consideraban sus 'recursos desde un punto de vista humano, financiero y técnico 'no fueron suficientes. Deben ser alentadas la cooperación e investigaciones conjuntas entre todos los organismos de supervisión relevantes, incluidas las autoridades supervisoras de protección de datos.

52. El Libro Blanco menciona (p. 14) que 'La falta de transparencia (opacidad de la IA) hace que sea difícil identificar y probar posibles infracciones a las leyes, incluidas las disposiciones legales que proteger los derechos fundamentales, atribuir responsabilidad y cumplir las condiciones para reclamar compensación'. El SEPD opina que la transparencia en las aplicaciones en IA va más allá de la inteligibilidad e incluye proporcionar a los usuarios información clara sobre el uso de sistemas de IA.

4.4. Requisitos reglamentarios

53. El SEPD acoge con satisfacción la lista de requisitos reglamentarios incluida en la sección 5.D, los cuales en su mayoría se superponen con la legislación de protección de datos existente y la Declaración antes mencionada sobre ética y protección de datos en IA. Sin embargo, considera que requisitos como la falta de discriminación injusta, o la robustez y la precisión son tan fundamentales que deberían aplicarse a cualquier aplicación de IA, no solo a las aplicaciones de IA de "alto riesgo".

54. El SEPD considera que la mayoría de los requisitos descritos en la sección 5.D, como 'Robustez y precisión' o 'informar claramente a las personas cuando interactúan con una aplicación de IA y no con un ser humano está cubierta por las normas de protección de datos existentes. El SEPD acoge con satisfacción el enfoque del requisito de supervisión humana, que está en línea con el empoderamiento individual previsto en la mencionada Declaración de ética de ICDPPC y protección de datos en IA y va más allá de los requisitos del artículo 22 del RGPD (toma de decisiones individual automatizada, incluyendo la elaboración de perfiles) [Artículo 24 EUDPR].

55. El SEPD está de acuerdo con la pertinencia del requisito de suministro de información. Sin embargo, la granularidad apropiada de la información será diferente en diferentes contextos.

46 Por ejemplo, en noviembre de 2019 un destacado desarrollador de software afirmó que la tarjeta de crédito de Apple era "sexista" contra mujeres que solicitan crédito. La complejidad del sistema de IA no permitió a la entidad de crédito demostrar su imparcialidad. El Departamento de Servicios Financieros del Estado de Nueva York está investigando el caso. https://www.nytimes.com/2019/11/10/business/Apple-credit-card-investigation.html

47 '... las autoridades encargadas de hacer cumplir la ley pueden encontrarse en una situación [...] en la que no cuentan con la adecuada capacidades técnica para inspeccionar sistemas ".

48 Un informe publicado en abril de 2020 evaluó el personal técnico y el presupuesto de las autoridades de protección de datos en la UE desde que el RGPD entró en vigencia y criticó el desarrollo de su capacidad de aplicación técnica.

49 Contribución del EDPB a la evaluación del RGPD conforme al Artículo 97 (p. 30)https://edpb.europa.eu/our- herramientas de trabajo/ nuestros documentos/ otros/ contribución-edpb-Evaluation-RGPD-under-article-97_en

Por lo tanto, el SEPD recomienda desarrollar estándares informacionales destinados a armonizar la información proporcionada a las personas para diferentes tipos de aplicaciones de IA.

4.5. Controles y gobernanza

56. La sección 5.F del Libro Blanco propone una evaluación objetiva de conformidad previa obligatoria para sistemas de IA de alto riesgo. La Comisión Europea define⁵⁰ evaluaciones de conformidad como análisis de riesgos para garantizar que los productos cumplan con ciertas reglas antes de colocarlos en el mercado, realizados durante la fase de diseño y producción.

57. Por un lado, la evaluación de conformidad previa verificaría el cumplimiento de los requisitos reglamentarios descritos en la sección 5.D. Por otro lado, un DPIA (que sería ser obligatorio para aplicaciones de IA de alto riesgo de acuerdo con el RGPD) ayudaría al controlador para verificar el cumplimiento del RGPD. El SEPD observa un posible conflicto entre esos dos controles, debido a la superposición entre sus conjuntos de requisitos. Conclusiones divergente sobre cada verificación para una aplicación de IA crearía confusión e incertidumbre legal, y por lo tanto debe evitarse. Por lo tanto, el SEPD recomienda a la Comisión asegurarse de que el posible marco regulatorio futuro no cree superposición entre las autoridades de supervisión e incluir un mecanismo de cooperación entre tales autoridades.

58. El Libro Blanco solicita el establecimiento de mecanismos de conformidad similares " Donde no se pueda confiar en tales mecanismos existentes ', pero no aclara cuáles serían las autoridades competentes involucradas en dicho mecanismo de conformidad. Si la Comisión Europea siguiera el llamado para el establecimiento de una Agencia Europea para IA⁵¹, no está claro cómo evitar una superposición de competencias.

59. La Sección 5. G propone un esquema de etiquetado voluntario para aquellos sistemas de IA no clasificados como de alto riesgo. Esta etiqueta se usaría para quienes se comprometan a cumplir con los requisitos reglamentarios en la sección 5.D o un conjunto específico de requisitos similares especialmente establecidos para los fines de tal esquema de etiquetado. Sin embargo, la IA carece de estándares que permitan la aplicación de IA a los desarrolladores que verifican constantemente su cumplimiento. Sin tales estándares, el valor del esquema de etiquetado voluntario sería, en el mejor de los casos, limitado.

60. El SEPD recibe con agrado la mención a la aplicación ex post y la supervisión del cumplimiento por parte de las autoridades competentes. Sin embargo, tales controles no deberían limitarse a la verificación de  la documentación y prueba de las aplicaciones. Otros aspectos, como verificar la transparencia (incluida la capacidad de explicar cómo se llega a las decisiones) y las pruebas realizadas también podrían ser necesarios datos de entrenamiento para garantizar su adecuación.

61. El SEPD apoya plenamente los objetivos definidos por el Libro Blanco para una Estructura Europea de Gobernanza en IA ('para evitar la fragmentación de responsabilidades, aumentar la capacidad en los Estados miembros, y asegurarse de que Europa se equipa progresivamente con la capacidad necesaria para probar y certificar productos y servicios habilitados para IA.') . Será crucial que, como se menciona más adelante en el documento, dicha estructura evite duplicar las ya existentes

50 https://europa.eu/youreurope/business/product-requirements/compliance/conformity-assessment/index_en.htm

51 Parlamento Europeo, Comisión de Asuntos Jurídicos, Proyecto de informe con recomendaciones a la Comisión sobre el marco de aspectos ético de IA, robótica y tecnologías relacionadas https://www.europarl.europa.eu/doceo/document/JURI-PR-650508_EN.pdf

funciones, y que involucra a las autoridades existentes a nivel de la UE, como la Junta de Protección de Datos Europeos.

5. OTRAS CUESTIONES ESPECÍFICAS

5.1. Identificación biométrica remota

62. El Libro Blanco reconoce los riesgos para los derechos fundamentales provocados por Identificación Biométrica Remota (RBI), una observación compartida por el SEPD. La Identificación Biométrica Remota plantea dos problemas: la (distante, escalable y, a veces, encubierta) identificación de individuos, y el (distante, escalable y a veces encubierto) procesamiento de sus datos biométricos. Las tecnologías relacionadas con cualquiera de estas dos características, ya sea que dependan o no de la inteligencia artificial, puede ser igualmente problemática y puede que tenga que caer bajo las mismas limitaciones que la RBI.

63. Los riesgos planteados a los derechos y libertades de las personas por los sistemas RBI, como el reconocimiento facial en vivo en lugares públicos, debe identificarse y mitigarse adecuadamente, y tal proceso debería involucrar a los más afectados por el uso de dicha tecnología. Algunos de los riesgos de RBI provienen del hecho de que los sistemas RBI se ocultan fácilmente, sin fricción, a menudo se presentan como mero "experimento", pero podría convertirse fácilmente en omnipresente vigilancia compleja.

64. Una vez que la infraestructura que soporta RBI está en su lugar, puede usarse fácilmente para otros fines ('función de arrastre'). Algunos han afirmado recientemente que los sistemas RBI, o partes de otras infraestructuras técnicas, podrían utilizarse para combatir la pandemia en curso de diferentes maneras, como a través de la medición del distanciamiento social o del uso de máscaras, o controles de temperatura (cuando las cámaras tienen termómetros integrados). Algunas de estas nuevas aplicaciones pueden no caer bajo el alcance del RGPD, pero sin embargo tendría un efecto escalofriante en sociedades democracia. Tales usos de la IA, y tales funciones, por lo tanto, deben abordarse adecuadamente en cualquier regulación sobre IA.

65. Si bien RBI puede plantear serios desafíos de derechos fundamentales, al SEPD le gustaría destacar que las tecnologías relacionadas con RBI las cuales no tienen como objetivo la identificación del individuo, también plantean serias preocupaciones de privacidad: por ejemplo, la detección de emociones en reconocimiento facial en tiempo real –puede inferir sentimientos de los individuos⁵².

66. Es de suma importancia evaluar si la tecnología es necesaria o proporcional en la situación relevante donde se desplegará, o incluso si se desea⁵³. Para este fin, el SEPD apoya la idea de una moratoria sobre el despliegue, en la UE, de sistemas automatizados de reconocimiento en espacios públicos de rasgos humanos, no solo de rostros sino también de marcha, huellas digitales, ADN, voz, pulsaciones de teclas y otras señales biométricas o de comportamiento, de modo que puede tener lugar un debate informado y democrático y hasta el momento en que la UE y los Estados miembros cuenten con todas las garantías adecuadas, incluida una legislación integral marco establecida para garantizar la proporcionalidad de las respectivas tecnologías y sistemas para el caso de uso específico.

52 Expresiones Emocionales Reconsideradas: Desafíos para Inferir la Emoción de los Movimientos Faciales Humanos https://journals.sagepub.com/stoken/default+domIAn/10.1177%2F1529100619832930-FREE/pdf 53 En 2020 un estudio realizado por la Agencia de los Derechos Fundamentales de la Unión Europea demostró que más del 80% de los europeos están en contra de compartir sus datos faciales con las autoridades.

67. El uso del RBI por parte de las autoridades públicas en momentos de emergencia nacional, como durante una crisis sanitaria transfronteriza o nacional, siempre debe ser necesaria por razones de interés público sustancial, sobre la base de la legislación de la Unión o de los Estados miembros, transparente, responsable, proporcional al objetivo perseguido, sujeto a salvaguardas específicas, claramente limitado en el tiempo y compatible con la esencia de los derechos fundamentales y el respeto de dignidad humana.

5.2. Grupos vulnerables

68. El SEPD se congratula de que la Comisión reconozca los riesgos específicos de las aplicaciones IA que tienden a imponerse a un grupo vulnerable de personas. Sin embargo, el Libro Blanco considera estos riesgos explícitamente solo en relación con 'los derechos de respeto a la vida privada y protección de datos personales en el núcleo de las preocupaciones de derechos fundamentales cuando se usa tecnología facial de reconocimiento 'donde hay' un potencial impacto en la no discriminación y los derechos de grupos especiales, como niños, personas mayores y personas con discapacidad'.

69. Primero, en ausencia de una definición legal adoptada formalmente de grupos vulnerables, el SEPD sugiere un enfoque pragmático específico del contexto . El grupo vulnerable de personas debe incluir niños, ancianos y personas con discapacidades, minorías étnicas o grupos marginados históricamente, mujeres, comunidades LGBTQIA+, comunidad de trabajadores y otras personas en riesgo de exclusión.

70. Además, el SEPD considera que la cuestión de los grupos vulnerables no solo debe ser considerado en el contexto de sistemas remotos de identificación biométrica, sino en un contexto más amplio. El SEPD destaca que los sistemas de IA deben ser justos y respetuosos con la dignidad humana y los derechos y libertades de los individuos. En el contexto de grupos vulnerable, la equidad implica no discriminación . Discriminación voluntaria e involuntaria es un atributo inherente en la toma de decisiones humanas, y si no se actúa con cuidado, los sistemas de IA pueden reflejan este sesgo humano natural. Como el Libro Blanco establece con razón, 'el mismo sesgo cuando está presente en la IA podría tener un efecto mucho mayor, afectando y discriminando a muchas personas'. Esto puede dar lugar a ramificaciones directas e indirectas en muchos aspectos de la vida, como el social, aspectos económicos y de salud.

71. En cualquier caso, cuando se produce dicha aplicación de IA, existe un alto riesgo de tangibilidad (daño material a la propiedad, pérdida cuantificable) y no tangible (pérdida de privacidad, limitaciones a la derecho de dignidad humana) daño. Por lo tanto, los intereses especiales de los grupos vulnerables deben ser tomado en cuenta en cualquier situación similar a la lista mencionada anteriormente. El SEPD anima a que la Comisión proporcione una lista no exhaustiva de aplicaciones de IA de diversos sectores y para diversos fines que pueden poner en peligro el derecho a la igualdad de trato y la discriminación según lo establecido en los artículos 20 y 21 de la Carta de los Derechos Fundamentales de la Unión Europea.

72. El SEPD sugiere que para evitar tales efectos adversos, los grupos vulnerables deberían ser considerado tanto durante el desarrollo y el uso de IA. Incluso en las primeras etapas, en el entrenamiento de sistemas IA, se debe prestar especial atención a los grupos vulnerables, ya que la mayoría de las veces las inexactitudes de la IA surgen del etiquetado incorrecto de los datos de entrenamiento o conjuntos de datos no representativos. Como establece el Libro Blanco, se podrían prever requisitos 'para tomar medidas razonables destinadas a garantizar que dicho uso posterior de los sistemas de IA no conduzca a resultados que impliquen discriminación prohibida. Estos requisitos podrían implicar en particular obligaciones de utilizar conjuntos de datos que sean suficientemente representativos, especialmente, para garantizar que todas las  dimensiones relevantes de género, etnia y otros posibles motivos de discriminación prohibida sean adecuadamente reflejadas en esos conjuntos de datos'. Dichas medidas podrían incluir por ejemplo, el requisito de nivel de entrada para evaluar la calidad de los datos, la posibilidad de supervisión humana, reparación o un 'derecho a la explicación' en el que el despliegue de IA conlleva un impacto negativo para el individuo, similar a las disposiciones del artículo 22 (4) RGPD sobre la toma de decisiones automatizadas y perfilamiento.

5.3. Acceso a los datos

73. El Libro Blanco señala que la informática de vanguardia es una tendencia relevante en la evolución y desarrollo de IA. Esta opinión es coherente con la expresada en la Comisión Europea de Estrategia de Datos. Sin embargo, ni el Libro Blanco ni la Estrategia de Datos explican cómo la más cercana ubicación de datos físicos se traduciría en una mejor disponibilidad de datos o confiabilidad en la IA.

74. Si bien la ubicación de los datos puede tener consecuencias legales (por ejemplo, leyes o normas aplicables a las transferencias internacionales de datos personales), la disponibilidad de datos no depende de su ubicación física sino en los controles técnicos para acceder a ellos (por ejemplo, a través de Interfaces del Programa de Aplicación y formatos de intercambio de datos). Datos cercanos a los usuarios (por ejemplo, datos almacenado en un reloj inteligente) podría ser inaccesible para ellos a menos que haya una API u otros medios técnicos que permiten acceder a esos datos. Por otro lado, los datos almacenados en una nube privada a miles de kilómetros de distancia podría estar lista a mano, si el almacenamiento en la nube es fácilmente accesible para sus usuarios.

75. El SEPD considera que la Comisión debería fomentar el desarrollo y la adopción de Interfaces de Programa de Aplicación estandarizadas⁵⁴ (API). La adopción de tales API facilitaría el acceso a los datos a los usuarios autorizados independientemente de la ubicación de esos datos y sería un controlador para la portabilidad de datos.

76. El SEPD subraya que el marco regulador de la UE debería aplicarse a los conjuntos de datos publicados fuera de la UE, pero utilizados en la UE. Las aplicaciones de IA desarrolladas o utilizadas por el sector de público europeo o por empresas no pueden confiar en conjuntos de datos que no cumplan con la legislación de protección de datos de la UE o ser contrario a los valores y derechos fundamentales de la UE.

6. CONCLUSIONES

77. El SEPD está totalmente de acuerdo con las Comisiones en la necesidad de un enfoque europeo de la IA y en este sentido, acoge con gran satisfacción el compromiso del Libro Blanco con los derechos fundamentales y valores europeos.

78. Sin embargo, el SEPD considera que las propuestas expuestas en el Libro Blanco necesitan más ajustes y aclaraciones en algunas cuestiones relevantes. Entre los temas que exigirían más claridad en cualquier futura propuesta legislativa esta el vínculo entre los riesgos que plantea IA y las brechas legislativas relacionadas, el enfoque basado en el riesgo aplicado a las aplicaciones de IA y la definición de IA en sí misma que debería permitir definir claramente el alcance de la legislación propuesta.

54 Las instituciones de crédito están desarrollando APIs para garantizar el acceso 'objetivo, no discriminatorio y proporcionado' a datos financieros según lo requerido por la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 Noviembre de 2015 sobre servicios de pago en el mercado interior

79. El SEPD recomienda además que cualquier nuevo marco regulatorio para la IA:

- se aplica tanto a los Estados miembros de la UE como a las instituciones, oficinas, organismos y agencias de la UE;

- está diseñado para proteger de cualquier impacto negativo, no solo en individuos, sino también en comunidades y la sociedad en su conjunto;

- propone un esquema de clasificación de riesgos más robusto y matizado, asegurando cualquier daño potencial que plantean las aplicaciones de IA, el mismo que corresponde con las medidas de mitigación apropiadas;

- incluye una evaluación de impacto que define claramente los vacíos regulatorios que pretende llenar.

- evita la superposición de diferentes autoridades de supervisión e incluye un mecanismo de cooperación.

80. Con respecto a la identificación biométrica remota, el SEPD apoya la idea de una moratoria sobre el despliegue, en la UE, de reconocimiento automatizado en espacios públicos de características humanas, no solo de caras sino también de marcha, huellas digitales, ADN, voz, pulsaciones de teclas y otras señales biométricas o de comportamiento, para que pueda tener lugar un debate informado y democrático,  hasta el momento en que la UE y los Estados miembros tengan todas las garantías adecuadas, incluyendo un marco legal integral para garantizar la proporcionalidad de la tecnologías y sistemas respectivos para el caso de uso específico.

81. Si hubiera un nuevo marco legal como se refleja en el Libro Blanco y el Programa de Trabajo de la Comisión, el SEPD proporcionará asesoramiento adicional a la Comisión según lo previsto en el artículo 42 de la EUDPR.

Bruselas, 29 de junio de 2020

Wojciech Rafał WIEWIÓROWSKI