Claves de las auditorías de tratamientos de datos personales basados en inteligencia artificial

Recomendados:  Protección avanzada de datos y continuidad de negocio con Nutanix y Veeam Webinar  Transacciones electrónicas europeas: cumpliendo con eIDAS Webinar

La nueva guía de la AEPD incluye los requisitos necesarios para realizar auditorías de tratamientos de datos que incluyan inteligencia artificial y un listado de posibles objetivos de control y controles específicos que podrían incorporarse a estos procesos desde una perspectiva de protección de datos.

La realización de tratamientos de datos personales en los que se utiliza Inteligencia Artificial (IA) para realizar análisis e inferencias exige que se aplique un modelo de desarrollo maduro que proporcione garantías de calidad y privacidad por el impacto que podrían tener en los derechos y libertades de los ciudadanos, explica la agencia.

El Reglamento General de Protección de Datos (GDPR, en sus siglas inglesas) establece en su artículo 24 la obligación por parte de aquellos que tratan datos de aplicar “medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento”. Estas medidas han de ser seleccionadas “teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas” y una de esas herramientas para “garantizar y poder demostrar” el cumplimiento del GDPR es la realización de auditorías. Eso requiere disponer de criterios objetivos diseñados para ejecutar la auditoría de componentes de IA desde una perspectiva de protección de datos.

En este sentido, subraya que habrá que inventariar el algoritmo auditado, identificar las responsabilidades y cumplir con el principio de transparencia; identificar las finalidades, analizar la proporcionalidad y necesidad del tratamiento y los límites en la conservación de los datos; asegurar la calidad de los datos y controlar posibles sesgos y verificar y validar las acciones realizadas y los resultados obtenidos dando cumplimiento al principio de responsabilidad activa del reglamento europeo, entre otros.

El texto está dirigido, principalmente, a responsables y encargados que han de auditar tratamientos que incluyan componentes basados en IA, de cara a garantizar y poder demostrar el cumplimiento de obligaciones y principios en materia de protección de datos a los que están sujetos; a los desarrolladores que quieran ofrecer garantías sobre sus productos y soluciones; a los Delegados de Protección de Datos encargados tanto de supervisar los tratamientos como de asesorar a los responsables y, por último, a los equipos de auditores encargados de evaluar dichos tratamientos.

El documento ha sido preparado a partir de un estudio realizado por Éticas Research and Consulting bajo el encargo y la supervisión de la agencia y las revisiones realizadas por expertos del Artificial Intelligence Hub del Consejo Superior de Investigaciones Científicas (CSIC AI HUB), del Observatorio del impacto social y ético de la inteligencia artificial (OdiseIA), de la Asociación Profesional de Cuerpos Superiores de Sistemas y Tecnologías de la Información de las Administraciones Públicas (ASTIC), Grupo de Innovación Docente en Ciberseguridad (CiberGID)-ETSI Informática - UNED y del Centro para el Desarrollo Tecnológico e Industrial (CDTI).