La Agencia Española de Protección de Datos ha publicado una guía para adaptar productos que incorporen Inteligencia Artificial al RGPD

Aspectos a tener en cuenta:

  • Realizar Evaluaciones de Impacto.
  • Garantizar la información mínima y transparente a los interesados.
  • Implementar la Privacidad por Diseño.
  • Canalizar los contratos adecuadamente a la realidad del tratamiento que realiza cada parte dentro de la cadena de valor.
  • Aplicar Medidas de Seguridad suficientes, atendida la granularidad de los datos anonimizados.
  • Asegurar frente a los interesados el ejercicio de los derechos ARCOPOL.

 

El impacto de la Inteligencia Artificial

En el último mes, el tema de la inteligencia artificial (IA) ha vuelto a ser objeto de atención por parte de las instituciones nacionales y europeas. Por un lado, el 19 de febrero de 2020 la Comisión Europea ha publicado su Libro Blanco sobre la IA en que declara la importancia de dicha tecnología en el marco de la Estrategia Europea Digital y la necesidad de regularla, por otro lado, el 13 de febrero de 2020 la Agencia Española de Protección de Datos (AEDP) publicó una Guía para la adecuación de la IA al Reglamento General de Protección de Datos (RGPD 679/2016) y a la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD 3/2018). Coincide todo ello con la publicación de la sentencia del Tribunal Europeo de Derechos Humanos (TEDH) de fecha 5 de febrero de 2020 sobre el algoritmo utilizado por el gobierno holandés para medir la defraudación fiscal/laboral de los ciudadanos en Holanda.

 

Una Guía para la adecuación de la IA al RGPD y LOPDGDD

La guía está dirigida a aquellos responsables que incorporen componentes de IA en sus tratamientos de datos personales, a los encargados y a los desarrolladores de dichos sistemas. Su objetivo es facilitar apoyo en el cumplimiento normativo y aportar seguridad jurídica en la creación de proyectos, productos y servicios.

Dado que el tratamiento de datos personales en el contexto de los sistemas de IA puede llevarse a cabo en una o más etapas de su ciclo de vida, la AEPD destaca la importancia de que se cumplan en todo momento los principios de protección de datos, desde la fase del entrenamiento, hasta la retirada del mercado. Especial atención, además, debe prestarse en los casos en que se tratan datos de categorías especiales (tales y como datos biométricos o datos sobre la salud) o cuando se tomen decisiones basadas únicamente en un tratamiento automatizado de datos personales. En dichos casos, el RGPD prevé garantías reforzadas frente los interesados que deben ser debidamente contempladas desde el diseño del tratamiento a través de componentes de IA.

La guía presenta como instrumentos fundamentales el análisis de riesgos y, en caso de niveles de riesgo elevados, la Evaluación de Impacto de la Privacidad, que permiten identificar los riesgos asociados al tratamiento e incorporar y aplicar de manera efectiva las medidas de privacidad y seguridad adecuadas. Asimismo, los sistemas de IA, debido a su naturaleza, pueden conllevar riesgos específicos y adicionales a aquellos intrínsecos a todo sistema de tratamiento de datos de carácter personal: las amenazas inherentes a la tecnología se suman a los riesgos derivados de su empleo por los operadores y sus consecuencias. Por ello, llevar a cabo una Evaluación de Impacto de Privacidad se revela como un elemento esencial para garantizar el cumplimiento con el RGPD.

En conjunto con la Evaluación de Impacto de la Privacidad, la AEPD destaca la importancia de un proceso de auditoría tanto sobre el tratamiento que incluye un componente de IA, como sobre el proceso de desarrollo, la operatividad, seguridad y robustez del modelo, teniendo en cuenta el contexto y el entorno en que éste opera. Dicha auditoría debe evaluar el nivel de adaptación del sistema a las garantías previstas en la normativa de protección de datos, siendo una herramienta fundamental para demostrar tanto la responsabilidad proactiva como la transparencia de los responsables de tratamiento que usan herramientas de IA.

Tal y como afirma la AEPD, la Guía pretende ser una mera introducción a la adecuación de los tratamientos que incluyan componentes de IA y no abarca todas las posibilidades y riesgos que pueden derivar del empleo de dicha nueva tecnología. Por ello, cada caso debe ser analizado por un profesional que disponga de suficiente experiencia y formación tanto en protección de datos como en tecnologías.

 

Lucrezia Berto

Associate Lawyer

 

Port Relacionados

Leave a comment

7 + 18 =