¿Innovación o Riesgo? Cómo el INAI Avaló el Uso de Datos Personales en Inteligencia Artificial

En un contexto donde la protección de datos personales es esencial para garantizar los derechos de privacidad, una reciente resolución del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) sobre una entidad financiera del sector Fintech plantea más preguntas que respuestas. La decisión, que avala el tratamiento de datos personales sensibles como listas de contactos y mensajes de texto, podría sentar un precedente peligroso al no abordar con profundidad aspectos críticos como la proporcionalidad y el consentimiento.

En este artículo analizaremos por qué esta resolución, aparentemente positiva para la empresa, deja abierta la puerta a prácticas que podrían vulnerar los derechos de los titulares y de terceros cuyos datos también son procesados sin autorización. Asimismo, exploraremos cómo la falta de un análisis detallado por parte del INAI compromete principios clave en la protección de datos personales. Este caso destaca la importancia de revisar críticamente el cumplimiento normativo, especialmente cuando se trata de modelos de negocio que dependen del uso intensivo de datos personales.

1.¿Qué avaló el INAI?

El INAI resolvió que una entidad financiera Fintech cumplía con los principios de proporcionalidad y licitud en el tratamiento de datos personales, basándose en su modelo de negocio centrado en inteligencia artificial y algoritmos para otorgar créditos.

Este modelo incluye la recopilación de datos sensibles, como:

• Lista de contactos: Para analizar la red social del titular y prevenir fraudes.

• Mensajes de texto: Para identificar palabras clave asociadas con riesgos crediticios o impagos.

• Registros de llamadas y datos técnicos del dispositivo: Como IMEI, ubicación GPS y lista de aplicaciones instaladas, utilizados para prevenir fraudes y mejorar los modelos de análisis crediticio.

  
  

El INAI determinó que estos datos son necesarios para las finalidades declaradas en el Aviso de Privacidad de la entidad, lo que dejó a la empresa libre de responsabilidad. Sin embargo, esta resolución ignora aspectos fundamentales que podrían generar riesgos significativos para la protección de datos personales.

2. Puntos críticos: ¿Qué se pasó por alto?

2.1. Datos de terceros procesados sin consentimiento

Uno de los problemas más alarmantes es que la resolución no aborda el hecho de que parte de los datos procesados no pertenecen al titular directo, sino a terceros:

• Lista de contactos: Esta información incluye nombres y números de personas que no están involucradas en la relación contractual y que no han otorgado su consentimiento para el tratamiento de sus datos.

• Mensajes de texto bidireccionales: Al procesar el contenido de los mensajes, también se involucra información de terceros que no han sido informados ni han autorizado este tratamiento.

  
  

Estas prácticas contradicen principios básicos de la LFPDPPP, que exige el consentimiento del titular para el tratamiento de sus datos y prohíbe la creación de bases de datos que incluyan información de terceros sin justificación legal.

2.2. Análisis de proporcionalidad insuficiente

El INAI realizó un análisis genérico de la proporcionalidad, avalando el tratamiento de un amplio conjunto de datos personales sin justificar detalladamente su idoneidad y necesidad para cada finalidad. Por ejemplo:

• Lista de contactos: ¿Es realmente indispensable para prevenir fraudes?

• Mensajes de texto: ¿Por qué el contenido específico de los mensajes es necesario para otorgar un crédito?

• Datos técnicos del dispositivo: ¿Cómo contribuyen exactamente al análisis crediticio o a la seguridad de las operaciones?

  
  

Un análisis adecuado debió considerar la legitimidad del tratamiento para cada tipo de dato y justificar su proporcionalidad para las finalidades declaradas.

3. Un riesgo latente: Precedentes peligrosos

La resolución deja abiertas las puertas a prácticas cuestionables que ya habían sido reguladas para proteger a los titulares. Por ejemplo, el uso de "referidos" —contactos de terceros utilizados sin su consentimiento— había sido motivo de sanciones en otros casos, pero en este fallo parece haberse normalizado nuevamente. Esto puede generar un retroceso en la protección de derechos, especialmente en modelos de negocio basados en inteligencia artificial, donde la recopilación masiva de datos es una práctica común.

Además, la falta de un análisis exhaustivo y caso por caso por parte del INAI establece un precedente que podría ser aprovechado por otras empresas para justificar el tratamiento excesivo de datos, debilitando los estándares actuales de protección.

4. Reflexiones y aprendizajes del caso

Este caso no solo subraya la importancia de la proporcionalidad en el tratamiento de datos personales, sino que también plantea preguntas críticas sobre el equilibrio entre innovación tecnológica y derechos de privacidad. Las empresas que operan modelos basados en inteligencia artificial deben asegurarse de que cada dato recabado esté estrictamente vinculado a una finalidad legítima y justificada, considerando siempre el impacto en los titulares y terceros.

Por su parte, el INAI, como autoridad garante, debe fortalecer sus análisis para evitar que resoluciones superficiales comprometan los avances logrados en la protección de datos personales.

La resolución del INAI sobre esta entidad Fintech pone de manifiesto los desafíos actuales en la protección de datos personales frente a modelos de negocio innovadores. Aunque el uso de inteligencia artificial puede justificar en algunos casos la recolección de ciertos datos, no se puede obviar la necesidad de un análisis detallado y proporcional que evalúe cada tipo de dato y su relación con la finalidad declarada.

Este caso deja un precedente preocupante, donde la falta de consentimiento explícito y la recolección de datos de terceros podrían normalizarse en el sector. Es fundamental que tanto las empresas como las autoridades refuercen sus prácticas y criterios para garantizar que el avance tecnológico no se convierta en un riesgo para la privacidad.

Si quieres profundizar en cómo garantizar la proporcionalidad y licitud en el tratamiento de datos personales en tu organización, agenda una consulta gratuita con nosotros. Juntos podemos analizar tus procesos y asegurarnos de que cumplan con los estándares más altos en protección de datos.