Impact of artificial intelligence on data subjects’ rights: a practical overview
Abstract
The so-called data subjects ‘rights, regulated in Chapter III of Regulation (EU) 2016/679, are one of the most relevant guarantees available to individuals to gain effective control over their personal data. These rights include the rights of access, rectification, erasure, objection, portability and restriction of processing, in addition to the hitherto little-exercised right not to be subject to automated decisions. As a general rule, these rights are directly enforceable against the controller, who must provide a formal response within a defined period of time, even in those cases where a refusal of the request is appropriate. This article analyses the changes that the successive implementation of artificial intelligence systems may bring about in the requests of data subjects and the practical problems that data controllers who have to respond to them will probably face. In particular, it highlights the importance of a proper interpretation and application of Article 22 of Regulation (EU) 2016/679 on automated decisions.
Received: 30 May 2024
Accepted: 25 Octubre 2024
Downloads
References
Agencia Española de Protección de Datos. 2016. Orientaciones y garantías en los procedimientos de anonimización de datos personales. Acceso el 10 de octubre de 2024. https://www.aepd.es/guias/guia-orientaciones-procedimientos-anonimizacion.pdf.
Agencia Española de Protección de Datos. 2020. Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Acceso el 10 de octubre de 2024. https://www.aepd.es/documento/adecuacion-rgpd-ia.pdf.
Agencia Española de Protección de Datos. 2023. «Inteligencia Artificial: Sistema vs. tratamiento, medios vs. Finalidad» (post de 10 de abril). Acceso el 10 de octubre de 2024. https://www.aepd.es/prensa-y-comunicacion/blog/inteligencia-artificial-sistema-vs-tratamiento-medio-vs-finalidad.
Comité Europeo de Protección de Datos-Supervisor Europeo de Protección de Datos. 2021. Dictamen conjunto 5/2021 sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (Ley de Inteligencia Artificial). Acceso el 10 de octubre de 2024. https://www.edpb.europa.eu/system/files/2021-10/edpb-edps_joint_opinion_ai_regulation_es.pdf.
Comité Europeo de Protección de Datos. 2023. Directrices 01/2022 sobre los derechos de los interesados - Derecho de acceso. Acceso el 10 de octubre de 2024. https://www.edpb.europa.eu/system/files/2024-04/edpb_guidelines_202201_data_subject_rights_access_v2_es.pdf.
Comisión Europea. 2017. Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones relativa a la revisión intermedia de la aplicación de la Estrategia para el Mercado Único Digital. Un mercado único digital conectado para todos. Acceso el 10 de octubre de 2024. https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:52017DC0228.
Comisión Europea. 2018. Comunicación de la Comisión: Inteligencia artificial para Europa. Acceso el 10 de octubre de 2024. https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:52018DC0237.
Cotino, Lorenzo. 2024. «La primera sentencia del Tribunal de Justicia de la Unión Europea sobre decisiones automatizadas y sus implicaciones para la protección de datos y el Reglamento de inteligencia artificial». Diario LA LEY 80, Sección Ciberderecho. Acceso el 10 de octubre de 2024. https://diariolaley.laleynext.es/dll/2024/01/17/la-primera-sentencia-del-tribunal-de-justicia-de-la-union-europea-sobre-decisiones-automatizadas-y-sus-implicaciones-para-la-proteccion-de-datos-y-el-reglamento-de-inteligencia-artificial.
DOUE. 2024. Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) nº 300/2008, (UE) nº 167/2013, (UE) nº 168/2013, (UE) 2018/858), (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial), n. 1689, de 12 de julio. Acceso el 10 de octubre de 2024. https://www.boe.es/buscar/doc.php?id=DOUE-L-2024-81079.
Future of Privacy Forum. 2022. Automated decision-making under the GDPR: Practical cases from courts and data protection authorities. Acceso el 10 de octubre de 2024. https://fpf.org/wp-content/uploads/2022/05/FPF-ADM-Report-R2-singles.pdf.
Grupo de Trabajo del Artículo 29. 2017. Directrices sobre el derecho a la portabilidad de los datos. Acceso el 10 de octubre de 2024. https://www.aepd.es/sites/default/files/2019-09/wp242rev01-es.pdf.
Grupo de Trabajo del Artículo 29. 2018. Directrices WP 251, sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679. Acceso el 10 de octubre de 2024. https://www.aepd.es/documento/wp251rev01-es.pdf.
Herrán, Isabel. 2002. El derecho a la intimidad en la nueva ley orgánica de protección de datos personales. Madrid: Dickinson.
Information Commissioner’s Office. s.f. How do we ensure individual rights in our AI systems? Acceso el 10 de octubre de 2024. https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/artificial-intelligence/guidance-on-ai-and-data-protection/how-do-we-ensure-individual-rights-in-our-ai-systems/.
Ministerio de Trabajo y Economía Social. 2022. Información algorítmica en el ámbito laboral. Guía Práctica y herramienta sobre la obligación empresarial de información sobre el uso de algoritmos en el ámbito laboral. Acceso el 10 de octubre de 2024. https://www.mites.gob.es/ficheros/ministerio/inicio_destacados/Guia_Algoritmos_ES.pdf.
Murillo de la Cueva, Pablo Lucas. 2007. «Perspectivas del derecho a la autodeterminación informativa». IDP: Revista de Internet, derecho y política 5: 18-32. Acceso el 10 de octubre de 2024. https://raco.cat/index.php/IDP/issue/view/6978.
Parlamento Europeo. 2024. La Eurocámara aprueba una ley histórica para regular la inteligencia artificial. Notas de prensa. 13 de marzo. Acceso el 10 de octubre de 2024. https://www.europarl.europa.eu/news/es/press-room/20240308IPR19015/la-eurocamara-aprueba-una-ley-historica-para-regular-la-inteligencia-artificial.
Personal Data Protection Commission Singapore. 2022. Guía básica de anonimización. Acceso el 10 de octubre de 2024. https://www.aepd.es/documento/guia-basica-anonimizacion.pdf.
Privacy Internacional. 2017. Data is power: Towards additional guidance on profiling and automated decision-making in the GDPR. Acceso el 10 de octubre de 2024. https://privacyinternational.org/sites/default/files/2018-04/Data%20Is%20Power-Profiling%20and%20Automated%20Decision-Making%20in%20GDPR.pdf.