IA vs RGPD: Tres vías alternativas de cumplimiento

Porque, a veces, el interés legítimo no es suficiente...

mar 07, 2025

[Suena la voz de Sofía Petrillo, la hierática abuela de “Las chicas de oro”]:

“Imaginad: Europa, 18 de diciembre de 2024”

Los DPDs de toda Europa (y parte del extranjero) tienen un ojo puesto en las vacaciones de Navidad y otro en la web del EDPB que tiene que publicar su Opinión 28/2024 sobre los tratamientos de datos personales en el contexto de modelos de Inteligencia Artificial.

Muchas esperanzas depositadas en ese texto, aunque las perspectivas no son nada halagüeñas.

Y se confirma: el documento, una vez leído, no desata ninguno de los nudos gordianos que “HATENASAN LA HINNOBASIÓ” en la Unión Europea.

No hay nada útil en ellas para facilitar la legitimación de cosas como (i) la formación de esos enormes data sets para entrenar tooodos esos modelos multimodales hegemónicos, ni (ii) el propio entrenamiento de los mismos.

¿O quizá sí? Veamos:

1.- La vía contractual

Empecemos por lo más agrio, que es tragarse uno sus propios sapos.

Tres cosas quedaron claras a partir de la hostiaca propinada por la DPC irlandesa a Meta en 2024 (está bien, fue la mano de la DPC la que gozó del glorioso contacto lateral con la desde entonces maltrecha mejilla de Meta, pero fue el EDPB el corresponsable del movimiento, bien que sin contacto con datos personales).

· No se debe confundir contrato y consentimiento

· El contrato sólo puede legitimar la parte de tratamiento estrictamente necesaria para er… el cumplimiento del contrato.

· El contrato debe vincular a interesado y responsable.

O así lo había interpretado yo durante mucho tiempo.

Demonios, de hecho, así se dice explícitamente en documentos como las guidelines de la DPC sobre bases legales de tratamiento (pg 11), o por ejemplo en muchas resoluciones de la AEPD. Una reciente: ésta de hace unas semanas.

Esta interpretación es garantista y la intención de las autoridades de control es obvia.

No en vano, Meta, por ejemplo, apelaba al cumplimiento de sus contratos firmados con las empresas a las que vende su publicidad personalizada…. para legitimar su tratamiento de datos de sus usuarios…

Y sin embargo, se puede tener buenas intenciones y no escapar a la alargada sombra del #CuñaoDelulu. Y estoy hablando por mí.

Porque es fácil pensar en situaciones en las que el tratamiento está legitimado y sin embargo, no media una relación contractual directa, sino indirecta entre responsable e interesado.

Por ejemplo, un actor de cine o un cantante, firma un contrato con una productora, en la que le ceden todos los derechos relacionados con una grabación (de su imagen y voz: datos personales) y autorizando su difusión y uso a la productora y a distribuidoras y, a su través, a todos los terceros que sea posible.

Porque cuantos más terceros publiquen, difundan, proyecten, vean (traten en definitiva) esos datos personales, más dinero ganarán tooodos los eslabones de la cadena.

Y obviamente, ni el actor ni el cantante firmarán contratos directamente con cada discoteca que pinche la canción o cine que proyecte la película. No hay contrato directo, hay un contrato master que permite una cesión de derechos, universal o con las limitaciones que procedan.

Visto así, parece que, si tenemos contratos con cuyo objeto sea una cesión universal de derechos (que permiten el uso para cualquier finalidad y/o en favor de cualquier tercero de determinados datos personales), por ejemplo: la imagen, o la voz, esta base contractual será válida para muchas cosas, y entre ellas, para el entrenamiento de modelos de IA.

Aunque el interesado no sea parte.

2.- Tratamientos ulteriores con finalidades compatibles

Estamos acostumbrados a la versión dura del principio de limitación de finalidad: uno de los viejos rockeros regulados en el art. 5 RGPD.

Sin embargo, el art. 5 lo que dice en realidad es que:

(i) se deben captar los datos para fines determinados, explícitos y legítimos y que

(ii) esos datos no se pueden utilizar ulteriormente para fines incompatibles con aquellos.

No que no se puedan utilizar para nada más.

Ni por nadie más.

Sino para nada incompatible.

Que es muy distinto.

Que la vía de los tratamientos compatibles es una vía tan prometedora como poco explorada –por decir algo- en temas de inteligencia artificial, lo llevo diciendo todo el 2024 en mis formaciones.

Desde diciembre pasado, lo dice también el EDPB, en la comentada Opinion 28/2024:

Ahí lo dejo.

3.- Las enseñanzas del “Social Media Listening” (que es una modalidad de “data scraping”)

Las plataformas de social media (“redes sociales” pero también las versiones digitales de los legacy media) han democratizado la libertad de expresión e información, proporcionando altavoz al ciudadano anónimo, quien puede adquirir en ellas tracción y popularidad para convertirse en “ciudadano periodista” o “cabeza visible de una determinada opinión compartida” por sí mismo, sin contar con los medios de comunicación tradicionales.

Este fenómeno trae consigo un incremento significativo de exposición pública (con todo lo que ello conlleva) en especial de quienes alcanzan el status de Influencer o Key Opinion Leader en la terminología especializada.

El Social Media Listening nace como una hibridación entre los tradicionales sondeos o métricas representativas de opinión pública del siglo XX y la posibilidad actual, de capturar la opinión de la totalidad de una comunidad presente en una determinada red social, pero ponderándola en función de la diversa influencia de sus componentes.

¿Cómo se justifica legalmente el tratamiento masivo de datos en que consiste el Social Media Listening?

En pocas palabras: el ciudadano anónimo que se convierte en influencer pierde proporcionalmente su protección por la normativa de privacidad.

De acuerdo con mi costumbre de que los ejemplos extremos son los más ilustrativos, y reservándome algo más compensado y visual para la próxima semana: lean, lean este artículo sobre la cantante Aitana.

Segunda parte aquí: