La AEPD ha puesto hoy a disposición de los auditores de protección de datos una Guía con controles que permiten, junto con otras herramientas, analizar los tratamientos de datos personales en los que intervengan sistema de inteligencia artificial (IA).

La AEPD busca garantizar con ello, ante el auge en el uso de esta tecnología, el cumplimiento continuo de los principios normativos y adecuado tratamiento de datos personales.

Para ello, a la hora de auditar es preciso tener en cuenta que estos tratamientos basados en IA requieren, además de analizar el cumplimiento desde una perspectiva legal, examinar los aspectos técnicos y éticos de los mismos. No siempre resulta del todo sencillo esto último en tanto, una de las características de la IA, es su aprendizaje continuo y autónomo. De este modo, los responsables asumen cierta “falta de control” derivado de este aprendizaje complejo y la materialización de posibles daños en los derechos de los interesados no previstos inicialmente.

Sin embargo, lo anterior no exime a los responsables para la adopción de las medidas de seguridad que, conforme al RGPD, deben adoptarse para evitar lesionar los derechos e intereses.

Dichas medidas deben adoptarse, conforme al principio “privacy by design and by default”, desde el desarrollo del software de IA y adecuarse con posterioridad.

No son pocas las guías, recomendaciones y herramientas que la Comisión Europea o la propia AEPD han emitido en relación al uso adecuado de datos personales basado en IA. Si bien todas ellas ofrecen directrices a los responsables en las fases iniciales del tratamiento la AEPD ha preferido completar las mismas con una serie de orientaciones específicas para su auditoría posterior.

En ningún caso las recomendaciones expuestas en este documento versan sobre metodologías o procedimientos concretos de auditoría. Sino únicamente sobre posibles controles a tener en cuenta por los auditores. Con ello, la AEPD presta especial hincapié una vez más en la fase posterior de “verificación y supervisión” del tratamiento de datos.

Para esta supervisión y control, y con independencia de la presencia o no de IA, debe analizarse el ciclo de vida del dato en cada actividad de tratamiento. En concreto, las auditorías de componentes IA deberán prestar especial atención a (i) la tecnología empleada; (ii) sus características y procesos de tratamiento; (iii) los riesgos; y (iv) medidas de seguridad adoptadas.

Así, ligado a los aspectos anteriores, la AEPD enumera una serie de objetivos a analizar por el equipo auditor y controles propuestos para lograrlo.

A título ejemplificativo, para auditar el cumplimiento del principio de transparencia y de responsabilidad proactiva, la AEPD propone emplear los siguientes controles:

  • verificar la identificación de las personas responsables en el ciclo de vida del sistema IA;
  • nombramiento o no de DPO;
  • documentación del mecanismo y criterios de uso del componente IA;
  • mecanismos previstos para minimizar comportamientos erróneos de IA.

En líneas generales, los aspectos y objetivos que para la AEPD deberían alcanzarse y verificarse con una auditoría de componentes de Inteligencia Artificial son, entre otros:

  • (i) la identificación y transparencia del sistema Inteligencia Artificial;
  • (ii) el propósito, finalidades y usos de la Inteligencia Artificial
  • (iii) los fundamentos, políticas internas y modelos del uso de Inteligencia Artificial;
  • (iv) la gestión de los datos empleados;
  • (v) los métodos de validación y verificación del sistema.

En definitiva, se observa cómo la AEPD busca reforzar la importancia de verificar y garantizar el cumplimiento continuado en materia de protección de datos. Un cumplimiento que, con la introducción de tecnología innovadora como IA, entraña mayores riesgos para la protección de datos personales.

Por todo ello, el análisis de sistemas IA no puede quedar reducido a aspectos legales del RGPD; sino que debe comprender asimismo la metodología, componentes, posible alcance de este sistema IA y el uso de datos. Así, el equipo auditor deberá contar con conocimientos tanto en materia legal de protección de datos como en aspectos técnicos.

Conscientes de ello, y de la importancia de estas auditorías. Desde UBT Legal & Compliance garantizamos a nuestros clientes la asistencia de un equipo experto en la materia, supervisando periódicamente los distintos aspectos del cumplimiento normativo.

Miriam Romano Esteban, Consultora y abogada.

AGENDAR LLAMADA