Las directrices de la autoridad francesa se aplican a los sistemas de IA que: a) utilizan datos personales; b) emplean técnicas de aprendizaje automático; c) son sistemas de propósito general, término definido por el Reglamento de IA (AI Act) para indicar sistemas que pueden incorporarse fácilmente a herramientas y productos; d) aprenden de forma continua o completa en un momento dado de su desarrollo.
En términos generales, la CNIL recomienda las siguientes medidas para adaptar estos sistemas:
1) Definir la finalidad del sistema de IA: los propósitos deben estar definidos de antemano, ser explícitos, comprensibles y legítimos. Además, deben ser compatibles con las misiones de la organización.
2) Definición de responsabilidades en el tratamiento de datos personales: las figuras de responsable, encargado, corresponsable deben estar bien delimitadas y alineadas con los conceptos del AI Act (proveedores, implantadores, importadores y distribuidores de IA).
3) Definir las bases legales para el tratamiento: excepcionalmente podrán utilizarse las bases de ejecución de contrato y cumplimiento de obligaciones legales.
4) Comprobación de que los datos personales pueden utilizarse: interpretación de la finalidad de la recogida y compatibilidad con este nuevo uso. Se recomienda realizar una prueba de compatibilidad.
5) Los datos personales deben reducirse al mínimo, sin prohibir la formación de sistemas de IA con un gran volumen de datos. En este caso, deben considerarse los aspectos de la reflexión sobre la utilidad a largo plazo y la aplicación de medios técnicos para recopilar la información necesaria.
6) Realizar un informe de evaluación de impacto sobre la protección de datos personales.