Recientemente, la Agencia Española de Protección de Datos (AEPD), ha publicado una guía con los requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial (IA), donde se ofrecen orientaciones y un listado de posibles objetivos de control y controles específicos que podrían incorporarse en estas auditorías desde una perspectiva de protección de datos. Según la AEPD, la realización de tratamientos de datos personales en los que se utiliza IA para realizar análisis e inferencias exige que se aplique un modelo de desarrollo maduro que proporcione garantías de calidad y privacidad, así como medidas de control efectivo, corrección, responsabilidad, rendición de cuentas, gestión del riesgo y transparencia relativas a los sistemas y a los tratamientos de los datos en los que se utilice.
La guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial es fruto de un profundo análisis y ha sido desarrollada con base en un estudio realizado por Éticas Research and Consulting bajo el encargo y la supervisión de la Agencia Española de Protección de Datos y las revisiones realizadas por expertos del Artificial Intelligence Hub del Consejo Superior de Investigaciones Científicas (CSIC AI HUB), del Observatorio del impacto social y ético de la inteligencia artificial (OdiseIA), de la Asociación Profesional de Cuerpos Superiores de Sistemas y Tecnologías de la Información de las Administraciones Públicas (ASTIC), Grupo de Innovación Docente en Ciberseguridad (CiberGID)-ETSI Informática – UNED y del Centro para el Desarrollo Tecnológico e Industrial (CDTI).
Desde la perspectiva del Reglamento General de Protección de Datos (RGPD) se establece en su artículo 24 la obligación por parte de aquellos que tratan datos de aplicar “medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento”. Ello requiere disponer de criterios objetivos diseñados para ejecutar la auditoría de componentes de inteligencia artificial desde una perspectiva de protección de datos. En este sentido, la Guía recoge objetivos como inventariar el componente de inteligencia artificial auditado, identificar las responsabilidades y cumplir con el principio de transparencia; identificar las finalidades y usos previstos y el contexto de uso del componente; analizar la proporcionalidad y necesidad del tratamiento, determinar los destinatarios de los datos y los límites en la conservación de estos; asegurar la calidad de los datos, controlar posibles sesgos y verificar y validar las acciones realizadas y los resultados obtenidos. En relación con cada uno de estos objetivos, la Guía identifica una variedad de controles que faciliten su consecución.
Esta Guía, junto con la denominada Adecuación al RGPD de los tratamientos de datos que incorporan Inteligencia Artificial. Una introducción, publicada en febrero de 2020, constituyen dos útiles herramientas para el DPD en lo que respecta al cumplimiento efectivo de los principios de protección de datos personales en tratamientos que incluyan soluciones de inteligencia artificial.
Fuente: AEPD.
1. AEPD. Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial.
2. La selección de los controles a auditar, la extensión de su análisis y la formalidad requerida en su implementación dependerá, como en toda auditoría, del objetivo y alcance definido para esta, así como del análisis de riesgos realizado. El auditor ha de seleccionar los controles que se adecúen a la auditoría concreta y añadir aquellos que estime oportunos.
3. Estas medidas han de ser seleccionadas “teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas” y una de esas herramientas para “garantizar y poder demostrar” el cumplimiento del RGPD es la realización de auditorías.
4. dando cumplimiento al principio de responsabilidad activa del RGPD, entre otros.
