Blog

ADECUACIÓN AL RGPD DE SOLUCIONES CON INTELIGENCIA ARTIFICIAL

Publicado 25 de febrero de 2020
ADECUACIÓN AL RGPD DE SOLUCIONES CON INTELIGENCIA ARTIFICIAL

ADECUACIÓN AL RGPD DE SOLUCIONES CON INTELIGENCIA ARTIFICIAL

Desde el prisma del RGPD, integrar una solución de IA en un tratamiento de datos personales presenta particularidades y riesgos especiales que deben ser cuidadosamente analizados.

El término inteligencia artificial (IA) se aplica, según la definición del Grupo Independiente de Expertos de Alto Nivel sobre Inteligencia Artificial creado por la Comisión Europeaa los sistemas que manifiestan un comportamiento inteligente, pues son capaces de analizar su entorno y pasar a la acción —con cierto grado de autonomía— con el fin de alcanzar objetivos específicos”.

Las técnicas de IA pueden ser variadas y utilizarse simultáneamente: redes neuronales, lógica borrosa, machine learning, sistemas expertos, sistemas adaptativos, etc. Estas técnicas pueden utilizarse para crear programas informáticos (p. ej. asistentes de voz, programas de análisis de imágenes, motores de búsqueda, sistemas de reconocimiento facial y de voz), o incorporarse en dispositivos de hardware (p. ej. robots avanzados, automóviles autónomos, drones o aplicaciones del internet de las cosas) y sus aplicaciones alcanzan a todo tipo de sectores: finanzas, educación, sanidad, logística y transporte, etc.

Desde el prisma del RGPD, integrar una solución de IA en un tratamiento de datos personales presenta particularidades y riesgos especiales que deben ser cuidadosamente analizados como un todo, teniendo en cuenta el componente IA per se, así como su integración con otras tecnologías y en el contexto del tratamiento y la sociedad.

Una IA que trate datos personales deberá ser conforme al RGPD en todas sus disposiciones, velando por el cumplimiento de los principios de protección de datos e incorporando mecanismos, desde la propia fase de diseño de la solución, para hacer efectivos los derechos de protección de datos de los interesados. Responsabilidad proactiva, privacidad desde el diseño y por defecto, transparencia, minimización, seguridad, limitación de la finalidad y del plazo de conservación son principios que deben ser intrínsecos al tratamiento y a la solución y deben analizarse con especial cuidado.

Lo anterior requiere de la realización de estudios y análisis de la solución de forma previa a su implementación que deberán medir el propio componente IA, incluyendo evaluaciones sobre: la precisión, exactitud y medidas de error, los sesgos y requisitos de calidad, la bondad, la predictibilidad del algoritmo o la consistencia entre los resultados del proceso de inferencia, entre otras.

Y, por supuesto, evaluaciones de la privacidad en la que se requerirá de la participación conjunta de profesionales de la privacidad tanto de carácter jurídico como técnico y de la ciencia de datos, con el fin de: identificar responsabilidades, evaluar el interés legítimo, evaluar y gestionar riesgos, evaluar el impacto sobre la protección de datos, seleccionar medidas de técnicas y/u organizativas para mitigar riesgos, o evaluar la proporcionalidad del tratamiento, entre otros.

Un análisis o auditoria sobre el cumplimiento con el RGPD debe ser comprehensivo y realizarse teniendo en cuenta el ciclo de vida del tratamiento en la solución IA, que adoptando la visión de las directrices de la AEPD sobre adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial, podría constar de las siguientes fases:

  1. Concepción y análisis, en al que se fijan los requisitos funcionales y no funcionales de la solución IA
  2. Desarrollo, incluyendo etapas de investigación, prototipado, diseño, pruebas, entrenamiento y validación
  3. Explotación, que comprende la ejecución de distintas acciones y algunas de ellas se ejecutan en paralelo: integración, producción, despliegue, inferencia, decisión, mantenimiento y evolución
  4. Retirada final del tratamiento/componente

Estas etapas son orientativas y pueden variar o llegar a solaparse en función de la solución. Como indicábamos, el alcance de las evaluaciones y estudios que se hagan deberá ser comprehensivo, lo que significa ir más allá de la propia solución IA y valorar el tratamiento de datos personales en cada una de las etapas del ciclo de vida de la IA teniendo en consideración tanto el contexto del tratamiento como las distintas partes interesadas y tecnologías en que se integra.

Finalmente, debe remarcarse la importancia de disponer del resto de procesos y tratamientos llevados a cabo por la organización adecuados al RGPD. Difícilmente un tratamiento con IA se ajustará al RGPD si la organización no ha dispuesto medidas apropiadas para proteger la información y hacer efectivos los principios de protección de datos y de privacidad por defecto y desde el diseño de forma transversal en todos los sistemas y tratamientos, por ejemplo, separando tratamientos para evitar inferir información y desviaciones de la finalidad u ofuscando los datos que pudieran vincularse entre sí.

En OptimumTIC, como expertos en ciberseguridad completa desde 2009, acompañamos y asesoramos a compañías y organizaciones de todo tipo a adecuar la organización al RGPD de forma transversal, en el ámbito normativo y de seguridad, elaborando planes y estrategias, implementando soluciones y desarrollando planes de auditorías continuas que permitan disponer, además de un buen análisis de riesgos del negocio a partir de la evaluación de todos los procesos, de la evolución y mejora del negocio.

Contáctanos a través de nuestra página web o del correo info@optimumtic.com y descubre cómo podemos ayudarte a proteger la información y alinear tus procesos y soluciones al RGPD.

OptimumTIC

OptimumTIC, Auditoria y Ciberseguridad al más alto nivel.

Siempre a la altura de nuestros clientes.

Contacta con nosotros

Plaça de Francesc Macià, 7
Barcelona 08029
Teléfono: 932 527 467
Email: info@optimumtic.com

Certificados en la ISO 27001

ISO 27001

Certificados en higiene y control

Higiene y control

Gestión Excelencia Empresarial

Gestión Excelencia Einforma