Después de la publicación del documento sobre ADECUACIÓN AL RGPD DE TRATAMIENTOS QUE INCORPORAN INTELIGENCIA ARTIFICIAL, en lo que respecta al cumplimiento efectivo de los principios de protección de datos personales en tratamientos que incluyan soluciones de inteligencia artificial, la AEPD publica una GUÍA SOBRE REQUISITOS EN AUDITORÍAS DE TRATAMIENTOS QUE INCLUYEN INTELIGENCIA ARTIFICIAL.
La Guía
La Agencia Española de Protección de Datos propone un conjunto de objetivos de control para tener en cuenta cuando se realicen auditorías de componentes de inteligencia artificial incorporados a tratamientos de datos personales y/o que toman decisiones automatizadas que afecten a personas físicas.
Estos objetivos de control establecen la declaración de lo que se pretende conseguir mediante la implementación de los diferentes controles, entendidos como aquellas medidas por las que se modifica el riesgo. Por tanto, los controles incluyen procesos, políticas, dispositivos o prácticas, entre otras acciones, para modificar el riesgo.
Estos controles pueden ser preventivos, de detección o correctivos, en función de cómo actúen de cara a la materialización de la amenaza que conduce al riesgo.
Objetivos de los controles
Estos controles se derivan de los siguientes objetivos:
- Inventario del componente IA auditado, Identificación de responsabilidades, Transparencia, en cumplimiento de la responsabilidad proactiva, especialmente respecto a la trazabilidad.
- Identificación de las finalidades y usos previstos, en cumplimiento del principio de limitación de finalidad.
- Identificación del contexto de uso del componente IA, en cumplimiento de la obligación de analizar el contexto del tratamiento en el que se integra el componente IA.
- Análisis de la proporcionalidad y necesidad, cuando el componente IA se audite en el marco de un tratamiento en el que sea obligatorio realizar una evaluación de impacto relativa a la protección de datos.
- Determinación de los destinatarios de los datos, en cumplimiento de las obligaciones derivadas de la atención de los derechos de los interesados.
- Limitación de la conservación de datos, en cumplimiento del principio de limitación del plazo de conservación de los datos.
- Análisis de las categorías de interesados, cuando sea obligatorio realizar una evaluación de impacto relativa a la protección de datos.
- Identificación de la política de desarrollo del componente IA, en coherencia con la política de protección de datos de la organización.
- Implicación del DPD, en cumplimiento de la posición y funciones atribuidas.
- Adecuación de los modelos teóricos base, Adecuación del marco metodológico, con relación a la finalidad declarada.
- Identificación de la arquitectura básica del componente, Aseguramiento de la calidad de los datos, en cumplimiento de la responsabilidad proactiva y de los principios al tratamiento.
- Preparación de los datos personales, en cumplimiento del principio de minimización.
- Control del sesgo, en cumplimiento de los principios relativos al tratamiento de los datos personales tratados, respecto a que han de ser exactos y actualizados con relación a los fines para los que son tratados.
- Adecuación del proceso de verificación y validación del componente IA, en cumplimiento de los principios relativos al tratamiento, en particular del principio de responsabilidad proactiva y del principio de exactitud.
- Estabilidad y robustez, en cumplimiento de responsabilidad proactiva.
- Trazabilidad, en cumplimiento de los principios de protección de datos.
- Seguridad, en cumplimiento de los principios relativos al tratamiento y las obligaciones de protección de datos desde el diseño y por defecto, y de la seguridad del tratamiento.