 |
| Fuente de la imagen: mvc archivo propio |
Por su parte, el Reglamento General de Protección de Datos (RGPD) establece en su artículo 24 la obligación por parte de aquellos que tratan datos de aplicar “medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento”[5]. Ello requiere disponer de criterios objetivos diseñados para ejecutar la auditoría de componentes de IA desde una perspectiva de protección de datos. El documento recoge objetivos como inventariar el algoritmo auditado, identificar las responsabilidades y cumplir con el principio de transparencia; identificar las finalidades, analizar la proporcionalidad y necesidad del tratamiento y los límites en la conservación de los datos; asegurar la calidad de los datos, controlar posibles sesgos y verificar y validar las acciones realizadas y los resultados obtenidos[6].
El texto lo dirige la AEPD a responsables y encargados que han de auditar tratamientos que incluyan componentes basados en IA, de cara a garantizar y poder demostrar el cumplimiento de obligaciones y principios en materia de protección de datos a los que están sujetos; a los desarrolladores que quieran ofrecer garantías sobre sus productos y soluciones; a los Delegados de Protección de Datos encargados tanto de supervisar los tratamientos como de asesorar a los responsables y, por último, a los equipos de auditores encargados de evaluar dichos tratamientos. El documento complementa la Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial[7] de la AEPD, que aborda el cumplimiento efectivo de los principios de protección de datos personales en tratamientos que incluyan soluciones de inteligencia artificial[8]. Fuente de la información: AEPD; fuente de la imagen: mvc archivo propio.
__________________________________
[1] AEPD. Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial. Sitio visitado el 13/01/2021.
[2] Velasco Carretero, Manuel. Auditorías de tratamientos de datos que incluyan IA. Sitio Protección de Datos. 2021. Visitado el 13/01/2021.
[3] La selección de los controles a auditar, la extensión de su análisis y la formalidad requerida en su implementación dependerá, como en toda auditoría, del objetivo y alcance definido para esta, así como del análisis de riesgos realizado. El auditor ha de seleccionar los controles que se adecúen a la auditoría concreta y añadir aquellos que estime oportunos.
[4] La guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial ha sido desarrollada con base en un estudio realizado por Éticas Research and Consulting bajo el encargo y la supervisión de la Agencia Española de Protección de Datos y las revisiones realizadas por expertos del Artificial Intelligence Hub del Consejo Superior de Investigaciones Científicas (CSIC AI HUB), del Observatorio del impacto social y ético de la inteligencia artificial (OdiseIA), de la Asociación Profesional de Cuerpos Superiores de Sistemas y Tecnologías de la Información de las Administraciones Públicas (ASTIC), Grupo de Innovación Docente en Ciberseguridad (CiberGID)-ETSI Informática - UNED y del Centro para el Desarrollo Tecnológico e Industrial (CDTI).
[5] Estas medidas han de ser seleccionadas “teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas” y una de esas herramientas para “garantizar y poder demostrar” el cumplimiento del RGPD es la realización de auditorías.
[6] dando cumplimiento al principio de responsabilidad activa del RGPD, entre otros.
[7] AEPD. Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. 2020. Sitio visitado el 13/01/2021.
[8] En ella se dedicaba un capítulo a la auditoría, planteándola como una de las posibles herramientas de evaluación y un instrumento dirigido a conseguir productos explicables, predecibles y controlables.