Sin duda, el uso de la inteligencia artificial está facilitando y automatizando la realización de determinados procesos. Sin embargo, su utilización puede generar ciertas incertidumbres, en cuanto a su adecuación al cumplimiento normativo (Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales). Especialmente, en cuanto a los derechos y libertades de los usuarios y demás individuos que se vean afectados por esta tecnología.
Concretamente, es habitual que en el ámbito de la inteligencia artificial se realice un uso o tratamiento de datos, que pueden ser de carácter personal o no. Por ejemplo, el uso del “aprendizaje automático” implica que, a través la utilización de determinados datos, se creen una serie de patrones y de criterios, de manera que el sistema pueda realizar una inferencia. Por otra parte, también es posible que, con el tratamiento realizado, se tomen decisiones automatizadas que pueda producir efectos en la esfera jurídica de una persona que afecten a la vida privada del individuo, a su seguridad física, o su interacción con otras personas… etc.
En relación a ello, en enero de 2021 se publica la guía de la Agencia Española de Protección de Datos (AEPD) sobre los “Requisitos para Auditorías de Tratamientos que Incluyan IA”. En este sentido, las auditorías de tratamientos de datos de carácter personal se utilizan como herramientas para evaluar si se cumple o no con la normativa aplicable en la materia. Por ello, es necesario utilizar determinados controles específicos que indiquen si se cumplen o no estos requisitos al realizar un uso de la inteligencia artificial.
Precisamente, es necesario que estas auditorías tengan en cuenta controles específicos que garanticen el objetivo de velar por este cumplimiento normativo y proteger los derechos y libertades de los interesados.
Concretamente se establecen los siguientes objetivos de control y posibles controles:
- Identificación y transparencia del componente:
- Inventario del componente auditado: el elemento de inteligencia artificial estará identificado con un nombre o código, identificación de la versión y fecha de creación; será necesario realizar una documentación de un histórico de las versiones de la evolución del componente de IA utilizado.
- Identificación de responsabilidades: se deberá tener los datos identificativos y de contacto de las personas responsables de las etapas del ciclo de ida del componente de IA; los contratos asociados a las etapas de tratamiento; realizar la oportuna inscripción en el Registro de Actividades de Tratamiento de los responsables y encargados del tratamiento; y en caso de que corresponda, identificación del delegado de protección de datos y comunicación de su existencia a la Autoridad de Control.
- Transparencia: se recomiendan los siguientes controles como la documentación del origen de los datos, o la existencia de documentación suficiente para comprender la lógica del componente de IA.
- Propósito del componente de inteligencia artificial.
- Identificación de las finalidades y usos previstos: como medida de control, es necesario documentar las finalidades y usos del elemento de IA.
- Identificación del contexto de uso del componente IA. Se prevén como controles la documentación del contexto jurídico, social y económico que pueda estar relacionado con el elemento de IA o la definición de la estructura contractual entre las partes, con determinación del reparto de tareas y responsabilidades.
- Análisis de la proporcionalidad y necesidad: es necesario garantizar que el tratamiento realizado cumple estos principios que exigidos en el RGPD.
- Determinación de los destinatarios de los datos. Se proponen como controles la identificación de las obligaciones de información a los interesados con relación el tratamiento de datos, de entre las que se contienen la indicación de los destinatarios de los datos o la intención de realizar transferencias internacionales.
- Limitación de la conservación de los datos: los datos deberán conservarse por el tiempo estrictamente necesario, por lo que habrá que identificar las bases legitimadoras para la conservación o las etapas del ciclo de vida del componente IA en las que es necesario conservar los datos de carácter personal tratados.
- Análisis de categorías de los interesados: con relación a ello, es necesario identificar las categorías de interesados y las consecuencias que el tratamiento puede producir en éstos.
- Fundamentos de componente inteligencia artificial.
- Identificación de la política de desarrollo de componente IA: es necesario que estas políticas de desarrollo tengan en cuenta la política de protección de datos.
- Implicación del DPD: se recomienda que el Delegado de Protección de Datos tenga formación específica en la materia y que cuente con el asesoramiento de expertos sobre la materia del componente específico de IA que sea objeto de la auditoría.
- Gestión de los datos.
- Aseguramiento de la calidad de los datos: se prevén controles que garanticen la exactitud y actualización de los datos en relación con los fines para los que son tratados.
- Determinación del origen de las fuentes de datos: será necesario identificar este origen, así como el proceso de elección de fuentes de datos.
- Preparación de los datos personales. En virtud del principio de minimización, es necesario realizar una depuración de los datos, realizando una categorización de los datos.
- Verificación y validación.
- Adecuación del proceso de verificación y validación del componente: se proponen una serie de controles que permitan acreditar que la metodología utilizada para la incorporación del componente de cumple con las exigencias previstas en la normativa de protección de datos de carácter personal.
- Verificación y validación del componente: se presentan controles a través de los cuáles será necesario demostrar que el componente realiza un tratamiento de datos de carácter personal respetando el principio de exactitud.
- Seguridad. el componente de IA tiene que realizar el tratamiento utilizando las medidas técnicas y organizativas que garanticen un nivel de seguridad adecuado. Para ello, será necesario realizar un análisis previo del riesgo o implementar procedimientos que monitoricen el funcionamiento del componente, de manera que se puedan detectar incidencias como brechas de seguridad.
Los controles mencionados no tienen porqué aplicarse en un sentido estricto, sino que deben emplearse teniendo en cuenta el alcance y objetivo de la auditoría, así como las características del tratamiento y del elemento de inteligencia artificial empleado. Sin embargo, con la publicación de esta nueva guía sí que se realiza una aproximación de cómo se deben realizar las auditorías de los tratamientos realizados en el ámbito de la inteligencia artificial, de manera que se garanticen las exigencias de cumplimiento normativo que constituyen su finalidad esencial.
Iago Pena Morado,
Graduado en Derecho por la Universidad de Santiago de Compostela.