La AEPD y el EDPS analizan cómo esta arquitectura de IA puede transformar sectores como el jurídico, sanitario y financiero sin comprometer los datos personales
En plena expansión de la inteligencia artificial generativa, el nuevo informe elaborado por la Agencia Española de Protección de Datos (AEPD) y el Supervisor Europeo de Protección de Datos (EDPS) pone el foco en una tecnología que ha pasado más desapercibida, pero que puede tener implicaciones profundas en términos de protección de datos, descentralización y cumplimiento normativo: el aprendizaje federado (Federated Learning).
Este modelo permite entrenar sistemas de IA distribuidos sin necesidad de centralizar los datos. En lugar de enviar la información a un servidor central, los dispositivos o entidades locales procesan los datos in situ y solo comparten actualizaciones del modelo (como gradientes o pesos), minimizando así los riesgos de privacidad.
¿Qué es exactamente el aprendizaje federado?
El informe define el aprendizaje federado como una forma colaborativa de entrenamiento de modelos de IA, en la que múltiples participantes aportan valor sin exponer sus datos. Esta metodología se alinea con principios clave del RGPD, como la minimización de datos y la responsabilidad proactiva.
Existen dos enfoques:
- Con servidor central: ideal para escenarios corporativos o institucionales.
- Totalmente descentralizado (DFL): cada nodo se comunica directamente con los demás sin pasar por un servidor, garantizando aún más privacidad.
También se distingue entre aprendizaje:
- Horizontal: cada cliente tiene datos con la misma estructura (por ejemplo, varios hospitales con historias clínicas similares).
- Vertical: los clientes tienen datos distintos pero sobre los mismos individuos (por ejemplo, un banco y una aseguradora).
Aplicaciones clave del aprendizaje federado
Sector sanitario: El informe cita casos reales en los que el aprendizaje federado ha permitido entrenar modelos sobre cáncer cerebral sin centralizar datos médicos, protegiendo la información sensible de los pacientes.
Modelos de voz y predicción de texto: Tecnologías como Google Assistant o Gboard ya utilizan esta técnica para mejorar la personalización sin exponer audios ni historiales de escritura.
Transporte autónomo: Vehículos que comparten modelos, no datos: los coches pueden intercambiar información sobre condiciones de tráfico o comportamientos peatonales sin revelar datos de ubicación ni identidad.
¿Por qué es relevante para los despachos profesionales?
En un entorno cada vez más exigente en términos de cumplimiento normativo, esta tecnología permite:
- Desarrollar sistemas de análisis jurídico, fiscal o contable sin exponer información sensible de los clientes.
- Coordinar proyectos entre despachos (por ejemplo, fusión de jurisprudencia) sin necesidad de compartir archivos directamente.
- Participar en espacios de datos europeos sin riesgo de brechas legales.
Ventajas destacadas desde el prisma de la protección de datos
Según el informe:
- No se transfieren datos personales, solo parámetros de los modelos.
- Facilita el cumplimiento del RGPD al incorporar privacidad desde el diseño.
- Reduce el impacto de brechas de seguridad al evitar repositorios centrales.
También aporta mejoras en la gestión del consentimiento, ya que el tratamiento permanece controlado localmente por el interesado.
Desafíos y riesgos
A pesar de sus beneficios, el aprendizaje federado no está exento de problemas técnicos:
- Riesgos de ataques de inferencia, por los cuales un atacante podría intentar reconstruir datos originales a partir de los parámetros del modelo.
- Dificultades de calidad de datos, al no poder centralizarlos ni compararlos entre dispositivos.
- Complejidad técnica y costes de implementación, sobre todo en escenarios con dispositivos limitados o clientes poco homogéneos.
El informe propone medidas como el cifrado, enclaves seguros, agregación segura y privacidad diferencial para mitigar estos riesgos.
Conclusión: ¿qué deben hacer los despachos a partir de ahora?
El aprendizaje federado representa una oportunidad estratégica para liderar en innovación sin comprometer la privacidad. Desde la redacción de políticas internas hasta la oferta de servicios jurídicos sobre proyectos de IA, los despachos que entiendan esta arquitectura estarán mejor posicionados para:
- Asesorar a clientes sobre proyectos tecnológicos sensibles.
- Cumplir con el Reglamento de IA de la UE y el RGPD simultáneamente.
- Integrar IA en sus procesos internos de forma ética y segura.
