Volver a Publicaciones
PUBLICACIÓN
La Inteligencia Artificial y el tratamiento de datos personales
17 de febrero, 2020
La Agencia Española de Protección de Datos (`AEPD`) ha publicado una nueva guía sobre la Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial (la ‘Guía’). A través de ella se pretende establecer los primeros lineamientos respecto a la utilización de productos y servicios que incluyan componentes de Inteligencia Artificial (‘IA’) para que cumplan con los estándares normativos impuestos por el Reglamento (UE) 2016/679, General de Protección de Datos (RGPD).
La Guía se enfoca principalmente en el ámbito de aplicación de la denominada IA débil. Esta, en contraste con la IA fuerte y general, se caracteriza por desarrollar soluciones capaces de resolver un problema concreto y acotado, resultando aplicable a videojuegos, sistemas de defensa, control industrial, robótica, buscadores de Internet, marketing, recursos humanos, entre otros.
Desde esa óptica, la Guía se ocupa de fijar las pautas para comprender la aplicación del RGPD en los diferentes espectros que involucra la IA, dividiéndose principalmente en cuatro capítulos:
Capítulo I – Introducción, que incluye:
• La protección de datos y la dimensión ética que persigue proteger valores como la dignidad, la libertad, la democracia, la igualdad, la autonomía del individuo y la justicia frente al gobierno de un razonamiento mecánico.
• El ciclo de vida de una solución de IA, el cual se entiende como un proceso de datos que podrá incluir elementos de IA en una o más fases de un tratamiento; ya sea desde la concepción y análisis, el desarrollo, la explotación y la retirada final del tratamiento o componente de IA.
• La evaluación de las soluciones de IA y los parámetros comunes a cualquier solución técnica que deberán ser cumplidos de conformidad con el RGPD, tales como los requisitos de calidad en los datos de entrada al componente IA, la predictibilidad del algoritmo, la convergencia del modelo, entre otros.
Capítulo II – Roles, Relaciones y Responsables, que incluye:
• La distinción de las responsabilidades correspondientes a los sujetos involucrados durante el ciclo de la vida del tratamiento al utilizar un componente de IA. Todo ello, dentro de las etapas de desarrollo/entrenamiento, validación, despliegue, inferencia/perfilado, decisión y evolución.
Capitulo III – Cumplimiento, que incluye:
• Una aproximación sobre los principios y obligaciones previstos en el RGPD y su aplicabilidad en los componentes de IA, entre los cuales se encuentran: la existencia de una base para legitimación del tratamiento, la obligación de informar a los sujetos de los datos y ser transparente, la obligación de proporcionar a los sujetos de los datos mecanismos para el tratamiento, el ejercicio de sus derechos, la aplicación del principio de responsabilidad proactiva y el cumplimiento de las condiciones para poder realizar transferencias internacionales de datos.
Capitulo IV – Gestión del riesgo para los derechos y libertades, que incluye:
• Los parámetros para realizar la evaluación de impacto de la privacidad aplicando el principio de responsabilidad proactiva y el cumplimiento de las condiciones para poder realizar transferencias internacionales de datos.
De los capítulos mencionados, destacamos el Capítulo IV, el cual desarrolla las pautas para la gestión del riesgo sobre los derechos y libertades. Esta obligación impuesta por el RGPD ha generado varias dudas sobre su implementación, y más aún cuando se involucran componentes de IA, ya que la normativa no establece de forma específica qué elementos de responsabilidad proactiva hay que implementar de forma obligatoria. Sin perjuicio de ello, la Guía establece que habrá que seleccionar los elementos que puedan sujetarse a un análisis basado en el riesgo (Risk Based Thinking), tal como lo establece el RGPD.
En base a lo anterior, tanto para determinar el riesgo como para establecer las medidas apropiadas para gestionarlo, la AEPD entiende que es preciso realizar un análisis del tratamiento, dividiendo el mismo en sus distintas fases y administrar las peculiaridades de cada una de ellas.
En ese sentido, se considera necesario que durante la Evaluación del nivel de riesgo de un tratamiento el responsable sea capaz de identificar los riesgos adicionales derivados de la novedad de la solución de IA y su modo de implementación. De ese modo, el responsable del desarrollo, mantenimiento y/o distribución de un componente de IA, así como el responsable de un tratamiento que incluya componentes de IA, deben adoptar, en cada una de las respectivas etapas y responsabilidades, las medidas oportunas para minimizar o eliminar los factores de riesgo.
Por otro lado, la Guía establece que la Evaluación de Impacto de la Privacidad se deberá realizar antes de que se ejecute el tratamiento efectivo de los datos de carácter personal. Por lo tanto, la validación deberá realizarse antes del diseño/selección e implementación de la solución de IA para un determinado tratamiento para que sea posible identificar cuáles son los requisitos de privacidad a incorporar y poder aplicar las medidas de privacidad desde el diseño y por defecto.
A su vez, en este capítulo se describen otras medidas para ser tenidas en cuenta a efectos de cumplir la obligación de responsabilidad proactiva, entre los cuales considera oportuno emplear otras estrategias de transparencia como mecanismos de auditoría y de certificación; todo ello, no sólo para cumplir con el RGPD, sino para mejorar la confianza de los usuarios en los productos y servicios basados en IA.
Por lo expuesto, con esta nueva Guía la AEPD busca dilucidar de manera general los aspectos más relevantes de la relación entre el RGPD y la IA. Así, la Guía pretende, como postura principal adoptar por parte de los sujetos responsables de tratamiento, que se tenga un cierto nivel de madurez respecto a las soluciones de IA.
La Guía se enfoca principalmente en el ámbito de aplicación de la denominada IA débil. Esta, en contraste con la IA fuerte y general, se caracteriza por desarrollar soluciones capaces de resolver un problema concreto y acotado, resultando aplicable a videojuegos, sistemas de defensa, control industrial, robótica, buscadores de Internet, marketing, recursos humanos, entre otros.
Desde esa óptica, la Guía se ocupa de fijar las pautas para comprender la aplicación del RGPD en los diferentes espectros que involucra la IA, dividiéndose principalmente en cuatro capítulos:
Capítulo I – Introducción, que incluye:
• La protección de datos y la dimensión ética que persigue proteger valores como la dignidad, la libertad, la democracia, la igualdad, la autonomía del individuo y la justicia frente al gobierno de un razonamiento mecánico.
• El ciclo de vida de una solución de IA, el cual se entiende como un proceso de datos que podrá incluir elementos de IA en una o más fases de un tratamiento; ya sea desde la concepción y análisis, el desarrollo, la explotación y la retirada final del tratamiento o componente de IA.
• La evaluación de las soluciones de IA y los parámetros comunes a cualquier solución técnica que deberán ser cumplidos de conformidad con el RGPD, tales como los requisitos de calidad en los datos de entrada al componente IA, la predictibilidad del algoritmo, la convergencia del modelo, entre otros.
Capítulo II – Roles, Relaciones y Responsables, que incluye:
• La distinción de las responsabilidades correspondientes a los sujetos involucrados durante el ciclo de la vida del tratamiento al utilizar un componente de IA. Todo ello, dentro de las etapas de desarrollo/entrenamiento, validación, despliegue, inferencia/perfilado, decisión y evolución.
Capitulo III – Cumplimiento, que incluye:
• Una aproximación sobre los principios y obligaciones previstos en el RGPD y su aplicabilidad en los componentes de IA, entre los cuales se encuentran: la existencia de una base para legitimación del tratamiento, la obligación de informar a los sujetos de los datos y ser transparente, la obligación de proporcionar a los sujetos de los datos mecanismos para el tratamiento, el ejercicio de sus derechos, la aplicación del principio de responsabilidad proactiva y el cumplimiento de las condiciones para poder realizar transferencias internacionales de datos.
Capitulo IV – Gestión del riesgo para los derechos y libertades, que incluye:
• Los parámetros para realizar la evaluación de impacto de la privacidad aplicando el principio de responsabilidad proactiva y el cumplimiento de las condiciones para poder realizar transferencias internacionales de datos.
De los capítulos mencionados, destacamos el Capítulo IV, el cual desarrolla las pautas para la gestión del riesgo sobre los derechos y libertades. Esta obligación impuesta por el RGPD ha generado varias dudas sobre su implementación, y más aún cuando se involucran componentes de IA, ya que la normativa no establece de forma específica qué elementos de responsabilidad proactiva hay que implementar de forma obligatoria. Sin perjuicio de ello, la Guía establece que habrá que seleccionar los elementos que puedan sujetarse a un análisis basado en el riesgo (Risk Based Thinking), tal como lo establece el RGPD.
En base a lo anterior, tanto para determinar el riesgo como para establecer las medidas apropiadas para gestionarlo, la AEPD entiende que es preciso realizar un análisis del tratamiento, dividiendo el mismo en sus distintas fases y administrar las peculiaridades de cada una de ellas.
En ese sentido, se considera necesario que durante la Evaluación del nivel de riesgo de un tratamiento el responsable sea capaz de identificar los riesgos adicionales derivados de la novedad de la solución de IA y su modo de implementación. De ese modo, el responsable del desarrollo, mantenimiento y/o distribución de un componente de IA, así como el responsable de un tratamiento que incluya componentes de IA, deben adoptar, en cada una de las respectivas etapas y responsabilidades, las medidas oportunas para minimizar o eliminar los factores de riesgo.
Por otro lado, la Guía establece que la Evaluación de Impacto de la Privacidad se deberá realizar antes de que se ejecute el tratamiento efectivo de los datos de carácter personal. Por lo tanto, la validación deberá realizarse antes del diseño/selección e implementación de la solución de IA para un determinado tratamiento para que sea posible identificar cuáles son los requisitos de privacidad a incorporar y poder aplicar las medidas de privacidad desde el diseño y por defecto.
A su vez, en este capítulo se describen otras medidas para ser tenidas en cuenta a efectos de cumplir la obligación de responsabilidad proactiva, entre los cuales considera oportuno emplear otras estrategias de transparencia como mecanismos de auditoría y de certificación; todo ello, no sólo para cumplir con el RGPD, sino para mejorar la confianza de los usuarios en los productos y servicios basados en IA.
Por lo expuesto, con esta nueva Guía la AEPD busca dilucidar de manera general los aspectos más relevantes de la relación entre el RGPD y la IA. Así, la Guía pretende, como postura principal adoptar por parte de los sujetos responsables de tratamiento, que se tenga un cierto nivel de madurez respecto a las soluciones de IA.
