Las tecnologías de Inteligencia artificial están ganando progresiva presencia en nuestro entorno. Para su trabajo necesitan grandes volúmenes de información, que frecuentemente puede ser datos personales, en el sentido que les atribuye el artículo 4 del RGPD (LA LEY 6637/2016): “toda información sobre una persona física identificada o identificable”.
Por ello, el tratamiento de datos personales va a requerir la realización de una evaluación de impacto relativa a la protección de datos (EIPD o PIA, por su abreviatura en inglés), regulada en los arts. 35 y ss. del RGPD (LA LEY 6637/2016).
La autoridad de control británica, ICO, ha difundido en su blog unos criterios a tener en cuenta por las organizaciones que deban realizar una PIA para el tratamiento de datos personales en sistemas de inteligencia artificial que, por su interés, sintetizamos a continuación.
Las PIAs en el Reglamento General de Protección de Datos (LA LEY 6637/2016) (GDPR)
El RGPD establece que deberá realizarse una evaluación de impacto sobre protección de datos, al menos en los siguientes supuestos:
- antes del despliegue de soluciones tecnológicas innovadoras;
- para el tratamiento de datos personales de categoría especial a gran escala; o
- para la toma de decisiones automatizada, la creación de perfiles o la denegación esperada de un servicio a un individuo.
Antes estas exigencias, es claro que el uso de la IA para el tratamiento de datos personales suele requerir del requisito legal de cumplimentar una PIA. Si el resultado de esa evaluación indicase un alto riesgo residual para las personas, que no pueda reducirse, los responsables del tratamiento deben consultar con la autoridad de control (en España, la AEPD).
¿Qué se debe evaluar en una PIA?
Una PIA debe describir la naturaleza, el alcance, el contexto y los objetivos de cualquier tratamiento de datos personales.
Necesita aclarar cómo y por qué se va a utilizar la IA para procesar los datos y por ello tendrá que detallar:
- cómo se recogerán, almacenarán y utilizarán los datos;
- el volumen, la variedad y la sensibilidad de los datos de entrada;
- la naturaleza de la relación del responsable del tratamiento con los interesados; y
- los resultados previstos para las personas o la sociedad en general y para el responsable del tratamiento como consecuencia del tratamiento realizado.
En el contexto del ciclo de vida de la IA, una PIA servirá mejor a su propósito si se lleva a cabo en las primeras etapas del desarrollo del proyecto.
Elementos de una PIA sobre IA
Según el ICO, esta evaluación debe incluir, como mínimo, los siguientes componentes clave.
1. Una descripción sistemática del tratamiento
Una PIA debe incluir una descripción sistemática de la actividad en que consista el tratamiento, incluyendo los flujos de los datos y las etapas en las que los procesos de IA y las decisiones automatizadas pueden producir efectos en las personas. También debe explicar cualquier variación relevante o margen de error admitidos.
Cuando las decisiones automatizadas están sujetas a la intervención o revisión humana, se deben implementar medidas para asegurar que esta intervención sea significativa y también se debe detallar el hecho de que las decisiones pueden ser revocadas.
Por otra parte, y a menos que haya una buena razón para no hacerlo, las organizaciones deben buscar y documentar los puntos de vista de los interesados, o de sus representantes, sobre la operación de tratamiento analizada en la PIA. Por lo tanto, es importante poder describir el tratamiento de una manera que sea accesible a las personas consultadas.
Sin embargo, dado que puede resultar difícil describir los tratamientos que realiza un sistema complejo de IA, se señala que puede resultar apropiado mantener dos versiones de una evaluación. Una primera que incluya una descripción técnica detallada para un público especializado y una segunda con una descripción de más alto nivel del tratamiento, que explique la lógica de cómo las entradas de datos personales se relacionan con los resultados que afectan a las personas.
Una PIA debe establecer las funciones y obligaciones del responsable y del encargado del tratamiento. Cuando los sistemas de IA se subcontraten parcial o totalmente con proveedores externos, ambas organizaciones deben evaluar también si se ha establecido la corresponsabilidad de conformidad con el artículo 26 del RGPD (LA LEY 6637/2016) y, en caso afirmativo, colaborar en el proceso de la PIA, según proceda.
Cuando se utilice un procesador de datos, algunos de los elementos más técnicos de la actividad de tratamiento pueden ilustrarse en una PIA reproduciendo información de ese procesador. Por ejemplo, un diagrama de flujo del manual de un procesador. Sin embargo, se aconseja evitar que el responsable del tratamiento copie grandes secciones de la literatura de un procesador en su propia evaluación.
2. Evaluación de la necesidad y la proporcionalidad
El despliegue de un sistema de inteligencia artificial para el tratamiento de datos personales debe estar impulsado por la capacidad demostrada de dicho sistema para cumplir un propósito específico y legítimo, y no por la simple disponibilidad de la tecnología. Por tanto, al evaluar esa necesidad en una PIA, una organización debe dejar de manifiesto que los propósitos pretendidos no pueden lograrse de otra manera razonable.
Además, mediante la realización de una PIA, las organizaciones también pueden demostrar que el tratamiento de datos personales por parte de un sistema de inteligencia artificial es una actividad proporcionada para la finalidad perseguida. Al evaluar esa proporcionalidad, es necesario sopesar los intereses de la organización frente a los derechos y libertades de las personas. En relación con los sistemas de IA, las organizaciones deben pensar en cualquier perjuicio que pudiera derivarse para los interesados de la presencia de un sesgo o de una inexactitud en los algoritmos y en el conjunto de datos que se utilizan.
Al evaluar el elemento de proporcionalidad de una PIA, las organizaciones deben evaluar si los interesados pueden esperar razonablemente que el tratamiento se lleve a cabo mediante un sistema de IA. En caso de que el sistema de IA complemente o sustituya la toma de decisiones humanas, debe documentarse en la DPIA cómo puede compararse en paralelo la precisión humana y algorítmica para justificar mejor el recurso a su uso.
Las organizaciones también deben describir cualquier criterio de compensación que se aplique, por ejemplo, entre los principios de precisión y de minimización de datos, y documentar la metodología y la justificación del mismo.
3. Identificar los riesgos para los derechos y libertades de las personas
El uso de datos personales en el desarrollo y despliegue de sistemas de inteligencia artificial puede no sólo suponer un riesgo para la privacidad y los derechos de protección de datos de las personas.
Por ejemplo, los sistemas de aprendizaje automático pueden reproducir la discriminación derivada de los patrones históricos de los datos, lo que podría ir en contra de la normativa sobre igualdad. Del mismo modo, los sistemas de IA que impiden la publicación de contenidos basados en el análisis de los datos personales de su autor, podrían afectar a su libertad de expresión. En tales contextos, los responsables del tratamiento deben considerar los marcos jurídicos pertinentes más allá de la protección de datos.
El proceso de elaboración de una PIA ayudará a las organizaciones a identificar objetivamente los riesgos relevantes. A cada riesgo se le debe asignar un puntaje o nivel, medido en función de la probabilidad y la gravedad del impacto en los titulares de los datos.
4. Medidas para hacer frente a los riesgos
Es importante que los delegados de protección de datos y otros profesionales de la gobernanza de la información participen en los proyectos de IA desde las primeras etapas. Se deben establecer canales de comunicación claros y abiertos entre ellos y los equipos del proyecto. Esto asegurará que los riesgos puedan ser identificados y abordados al principio del ciclo de vida de la IA.
La protección de datos no debería ser un reparo tardío, ni la opinión profesional de un DPO una sorpresa de última hora.
Una PIA puede utilizarse para documentar las salvaguardias establecidas para garantizar que las personas responsables del desarrollo, prueba, validación, despliegue y supervisión de los sistemas de inteligencia artificial reciban la formación adecuada y tengan una apreciación de las implicaciones del tratamiento realizado en materia de protección de datos.
La PIA también puede servir para recoger las medidas organizativas adoptadas para garantizar que los miembros de la organización reciben la formación adecuada para mitigar los riesgos asociados con el error humano, así como las medidas técnicas diseñadas para reducir los riesgos para la seguridad y precisión del sistema de IA.
Una vez que se hayan introducido las medidas apropiadas para mitigar los riesgos identificados, la PIA debe documentar los niveles residuales de riesgo que plantee el tratamiento. En caso de que continúen siendo elevados, se debe formular consulta a la autoridad de control.
5. Un documento "vivo”
Finalmente, este documento concluye que si bien cualquier PIA debe llevarse a cabo antes de que comience el tratamiento de datos personales, este debe considerarse un documento "vivo", lo que significa que debe estar sujeto a revisión o reevaluación periódica en caso de que la naturaleza, el alcance, el contexto o la finalidad del tratamiento se modifiquen por cualquier motivo.