La Comisión Nacional de los Mercados y la Competencia (CNMC) publicó el 28 de agosto de 2023 un Informe sobre el proyecto de Real Decreto que establece un entorno controlado de pruebas para el ensayo del cumplimiento de normas armonizadas en materia de inteligencia artificial (IPN/CNMC/020/23), de 25 de julio de 2023. En este Informe la CNMC analiza el proyecto mencionado que creará un entorno controlado de pruebas (en inglés sandbox) y se pronuncia, entre otros aspectos, sobre las implicaciones en materia de protección de datos personales.
El proyecto de Real Decreto (en adelante, PRD) fue sometido a consulta pública por la Secretaría de Estado de Digitalización e Inteligencia Artificial, con carácter de urgencia, entre los días 19 y 29 de mayo de 2023. El Informe de la CNMC responde a la solicitud hecha por el Ministerio de Asuntos Económicos y Transformación Digital el 5 de julio de 2023 y se emitió en ejercicio de las competencias que le atribuyen a aquélla en virtud de la Ley 3/2013, de 4 de junio, de creación de la CNMC (art. 5.2).
En materia de protección de datos, el Informe de la CNMC destaca la necesidad de tener en cuenta los riesgos que plantea la inteligencia artificial (en adelante, IA) en materia de protección de datos. Esta es una observación general que se incluye al comienzo del Informe y que se convierte también en una recomendación, afirmando en este último caso, y por lo que aquí interesa, que "la IA presenta indudables ventajas para nuestra economía y sociedad pero se debe ser consciente de los riesgos sobre aspectos como la protección de datos personales".
Otra referencia relevante es a las garantías en materia de protección de datos y confidencialidad de los participantes en el sandbox, que se incluyen en los artículos 13 y 15 del PRD.
El primero de estos artículos (art. 13) se refiere a la obligación de los participantes de cumplir con la normativa sobre protección de datos, siendo necesario tener en cuenta que podría haber otra normativa aplicable además del Reglamento (UE) 2016/679, de 27 de abril de 2016, General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). Si, por ejemplo, se llevasen a cabo tratamientos de datos personales mediante el uso de la inteligencia artificial en el ámbito policial y judicial penal, sería aplicable la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. Y el citado artículo también indica que la aceptación de participación en el sandbox "implicará reconocimiento del cumplimiento de la legislación en materia de protección de datos".
Y el segundo artículo (art. 15) tiene por objeto la garantía de confidencialidad sobre la información que aporten los participantes, lo que podría incluir también datos personales que sean tratados.
La recomendación que hace la CNMC en su Informe es importante ya que los participantes en el sandbox tendrán que identificar y evaluar los riesgos, incluido también el derivado del tratamiento de datos personales, máxime cuando se hace uso de la inteligencia artificial.
Además, aunque no es objeto del Informe de la CNMC, es necesario tener en consideración que, según lo previsto en el PRD, cuando se entrene al sistema de inteligencia artificial con datos, lo que incluiría datos personales, tendrán que cumplir con los criterios de calidad especificados por el órgano competente. Según la definición dada en el PRD, el órgano competente es la "Secretaría de Estado de Digitalización e Inteligencia Artificial y cualquier otra autoridad que, conforme con la legislación vigente, tenga atribuidas competencias específicas sobre la actividad de los sistemas de inteligencia artificial propuestos por las entidades participantes en el entorno controlado de pruebas". En materia de protección de datos personales cabría plantear a quién corresponden estas competencias y si, en su caso, es necesario revisar y proponer nuevas competencias de autoridades como las de la Agencia Española de Protección de datos.
Sobre la inteligencia artificial y la protección de datos personales, es necesario recordar que la Agencia Española de Protección de Datos (AEPD), publicó, en 2020 el documento titulado Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial, Una introducción. Y en 2021 publicó una Guía sobre los Requisitos para Auditorías de Tratamientos que incluyan la IA. Posteriormente la AEPD ha publicado también un mapa de referencia para los tratamientos de datos personales que incluyen inteligencia artificial.
El PRD también incluye una referencia a la ciberseguridad, que deberá tenerse en cuenta desde el momento de la definición de las especificaciones de diseño del sistema de inteligencia artificial y que es necesaria también para asegurar el derecho fundamental a la protección de datos personales.
