miércoles, 13 de enero de 2021

Inteligencia Artificial y Auditoría Protección Datos

Fuente de la imagen: geralt en pixabay
Parte de la tarde del martes la pasé hojeando la guía recientemente publicada por la Agencia Española de Protección de Datos (AEPD), con los requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial (IA)[1], que ya referencié en el Sitio Protección de Datos, texto “Auditorías de tratamientos de datos que incluyan IA[2], donde se ofrecen orientaciones y un listado de posibles objetivos de control y controles específicos que podrían incorporarse en estas auditorías desde una perspectiva de protección de datos. Según la AEPD, la realización de tratamientos de datos personales en los que se utiliza IA para realizar análisis e inferencias exige que se aplique un modelo de desarrollo maduro que proporcione garantías de calidad y privacidad, así como medidas de control efectivo[3], corrección, responsabilidad, rendición de cuentas, gestión del riesgo y transparencia relativas a los sistemas y a los tratamientos de los datos en los que se utilice[4]

Por su parte, el Reglamento General de Protección de Datos (RGPD) establece en su artículo 24 la obligación por parte de aquellos que tratan datos de aplicar “medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento”[5]. Ello requiere disponer de criterios objetivos diseñados para ejecutar la auditoría de componentes de IA desde una perspectiva de protección de datos. El documento recoge objetivos como inventariar el algoritmo auditado, identificar las responsabilidades y cumplir con el principio de transparencia; identificar las finalidades, analizar la proporcionalidad y necesidad del tratamiento y los límites en la conservación de los datos; asegurar la calidad de los datos, controlar posibles sesgos y verificar y validar las acciones realizadas y los resultados obtenidos[6]

El texto lo dirige la AEPD a responsables y encargados que han de auditar tratamientos que incluyan componentes basados en IA, de cara a garantizar y poder demostrar el cumplimiento de obligaciones y principios en materia de protección de datos a los que están sujetos; a los desarrolladores que quieran ofrecer garantías sobre sus productos y soluciones; a los Delegados de Protección de Datos encargados tanto de supervisar los tratamientos como de asesorar a los responsables y, por último, a los equipos de auditores encargados de evaluar dichos tratamientos. El documento complementa la Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial[7] de la AEPD, que aborda el cumplimiento efectivo de los principios de protección de datos personales en tratamientos que incluyan soluciones de inteligencia artificial[8]. Fuente de la información: AEPD; fuente de la imagen: geralt en pixabay. 
__________________________________
[2] Velasco Carretero, Manuel. Auditorías de tratamientos de datos que incluyan IA. Sitio Protección de Datos. 2021. Visitado el 13/01/2021. 
[3] La selección de los controles a auditar, la extensión de su análisis y la formalidad requerida en su implementación dependerá, como en toda auditoría, del objetivo y alcance definido para esta, así como del análisis de riesgos realizado. El auditor ha de seleccionar los controles que se adecúen a la auditoría concreta y añadir aquellos que estime oportunos. 
[4] La guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial ha sido desarrollada con base en un estudio realizado por Éticas Research and Consulting bajo el encargo y la supervisión de la Agencia Española de Protección de Datos y las revisiones realizadas por expertos del Artificial Intelligence Hub del Consejo Superior de Investigaciones Científicas (CSIC AI HUB), del Observatorio del impacto social y ético de la inteligencia artificial (OdiseIA), de la Asociación Profesional de Cuerpos Superiores de Sistemas y Tecnologías de la Información de las Administraciones Públicas (ASTIC), Grupo de Innovación Docente en Ciberseguridad (CiberGID)-ETSI Informática - UNED y del Centro para el Desarrollo Tecnológico e Industrial (CDTI). 
[5] Estas medidas han de ser seleccionadas “teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas” y una de esas herramientas para “garantizar y poder demostrar” el cumplimiento del RGPD es la realización de auditorías. 
[6] dando cumplimiento al principio de responsabilidad activa del RGPD, entre otros. 
[8] En ella se dedicaba un capítulo a la auditoría, planteándola como una de las posibles herramientas de evaluación y un instrumento dirigido a conseguir productos explicables, predecibles y controlables.