- Los métodos probabilísticos, utilizados para procesar datos personales, pueden generar falsos negativos, falsos positivos o errores de predicción, lo que plantea dudas sobre su cumplimiento con el principio de exactitud del RGPD.
- Sin embargo, estos métodos pueden utilizarse dentro de un tratamiento de datos, siempre que se implementen medidas para corregir las imprecisiones y cumplir con la finalidad explícita del tratamiento.
- El uso de estos métodos en escenarios específicos, como la estimación de la edad, requiere una evaluación detallada de exactitud e idoneidad para cumplir con la normativa de protección de datos.
El dilema de los métodos probabilísticos
El uso de métodos probabilísticos en el tratamiento de datos personales es común en muchos sistemas, especialmente en áreas como el aprendizaje automático (machine learning) y la inteligencia artificial (IA). Estos métodos permiten que las máquinas aprendan de grandes cantidades de datos y mejoren sus predicciones. Sin embargo, presentan un reto en cuanto a la exactitud requerida por el Reglamento General de Protección de Datos (RGPD).
El artículo 5.1.d del RGPD establece que los datos personales deben ser «exactos» y, en su caso, actualizados, y que cualquier dato inexacto debe corregirse o suprimirse de inmediato. Además, el principio de idoneidad dicta que el tratamiento debe ser efectivo para su propósito y lo menos intrusivo posible, según el toolkit del Supervisor Europeo de Protección de Datos.
¿Es posible cumplir con el RGPD utilizando métodos probabilísticos?
El uso de métodos probabilísticos puede ser compatible con el RGPD siempre que se garantice la exactitud en el tratamiento completo de los datos personales. Esto significa que el responsable del tratamiento debe corregir cualquier imprecisión derivada de las predicciones probabilísticas. No se trata de garantizar que cada operación probabilística sea perfectamente exacta, sino de que el tratamiento general cumpla con los fines previstos.
Un caso práctico: aseguramiento de la edad
Un ejemplo claro del uso de métodos probabilísticos es el aseguramiento de la edad, un proceso utilizado para verificar la edad de una persona en situaciones donde se debe controlar el acceso a contenidos o servicios restringidos para menores de edad.
Existen dos enfoques principales para asegurar la edad:
- Verificación: Se utiliza una fuente confiable, como un documento de identidad, para confirmar la edad.
- Estimación: Se predice la edad de una persona basándose en características como la cara o la voz, sin necesidad de documentos de identidad.
Aunque el enfoque de estimación de la edad basado en métodos probabilísticos es atractivo por su accesibilidad, presenta problemas de exactitud, especialmente para ciertas regiones geográficas, géneros o características físicas. Un estudio realizado por el Instituto Nacional de Estándares y Tecnología (NIST) reveló que la precisión de los algoritmos varía según factores como la calidad de la imagen, el uso de gafas, o el origen de la persona.
Uso combinado de métodos probabilísticos y verificaciones
Un escenario en el que los métodos probabilísticos pueden cumplir con el RGPD es cuando se utilizan combinados con métodos de verificación. Por ejemplo, un sistema que estime la edad de los usuarios mayores de 40 años con un bajo margen de error podría cumplir con los requisitos de exactitud para este grupo. Sin embargo, para los usuarios menores de 40 años, el responsable del tratamiento podría requerir una verificación más rigurosa, como la presentación de un documento de identidad, para evitar errores que clasifiquen a menores como adultos.
Este enfoque permite a los responsables del tratamiento utilizar operaciones probabilísticas sin basar todo el tratamiento en ellas, minimizando así los riesgos de error y garantizando el cumplimiento del RGPD.
Consideraciones clave para los responsables del tratamiento
Al implementar métodos probabilísticos, los responsables del tratamiento deben tener en cuenta los umbrales de error y el número de usuarios afectados. Un error aceptable en un pequeño grupo de usuarios puede convertirse en un problema grave si afecta a millones de personas. Además, deben evaluar cuidadosamente si es necesario complementar estos métodos con verificaciones adicionales para asegurar la exactitud e idoneidad del tratamiento en todos los casos.
No se debe optar siempre por un enfoque aditivo que combine probabilidades y verificaciones, ya que esto puede implicar la recopilación innecesaria de datos personales adicionales, lo cual va en contra del principio de minimización de datos del RGPD.
