La AEPD publica una guía con orientaciones para auditorías de tratamientos de datos con componentes basados en Inteligencia Artificial

TIEMPO DE LECTURA:

La AEPD publica una guía sobre requisitos en auditorías de tratamientos de datos que incluyan componentes basados en Inteligencia Artificial. Se complementa de esta manera la Guía "Tecnologías y Protección de Datos en las AA.PP.".

  • Materias: Administrativo
  • Fecha: 22/01/2021

Auditoría

 

El documento "Guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial", se orienta a responsables y encargados que han de auditar tratamientos que incluyan IA, a desarrolladores que quieran ofrecer garantías sobre sus productos y soluciones, a Delegados de Protección de Datos y a los equipos de auditores encargados de evaluar dichos tratamientos, ofreciendo orientaciones y un listado de posibles objetivos de control y controles específicos que podrían incorporarse en estas auditorías desde una perspectiva de protección de datos.

Objetivo de la Guía

El nuevo documento tiene como objetivo ser una primera aproximación para la adecuación al Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) de productos y servicios que incluyan componentes de Inteligencia Artificial. Bajo la etiqueta “Inteligencia Artificial”, o IA, subyacen muchos tipos de soluciones que emplean distintas técnicas, destacando entre ellas las basadas en aprendizaje automático. La IA ha se ha convertido en un componente más de los tratamientos de datos realizados por los responsables y que, en muchos casos, aparece en forma de soluciones desarrolladas por terceros. La Inteligencia Artificial genera muchas dudas entre los usuarios, investigadores, especialistas, autoridades y la industria con relación a aspectos de cumplimiento normativo, respeto a los derechos de los interesados y seguridad jurídica de todos los intervinientes. Estas dudas representan una dificultad para el correcto desarrollo tecnológico.

La Guía abordar las dudas planteadas en el marco de protección de datos de carácter personal y señalar los aspectos más relevantes en la relación IA-RGPD que deben ser tenidos en cuenta desde el diseño y en la implementación de tratamientos que incluyan IA. Para ello se presta especial atención, entre otros, a la legitimación para el tratamiento, la información y transparencia, el ejercicio de derechos, las decisiones automatizadas, la exactitud, la minimización de datos, la evaluación de impacto y el análisis de la proporcionalidad del tratamiento.

Art. 24 del Reglamento General de Protección de Datos (RGPD)

El Reglamento General de Protección de Datos (RGPD) establece en su artículo 24 la obligación por parte de aquellos que tratan datos de aplicar “medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento”. Estas medidas han de ser seleccionadas “teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas” y una de esas herramientas para “garantizar y poder demostrar” el cumplimiento del RGPD es la realización de auditorías. Ello requiere disponer de criterios objetivos diseñados para ejecutar la auditoría de componentes de IA desde una perspectiva de protección de datos.

Introducción a la protección de datos.

Tratamientos de datos personales en los que se utiliza Inteligencia Artificial (IA)

Como hemos adelantado, el texto está dirigido a responsables que incluyan componentes de IA en sus tratamientos, así como desarrolladores, encargados u otros, que den soporte a dichos tratamientos, recogiendo objetivos como inventariar el algoritmo auditado, identificar las responsabilidades y cumplir con el principio de transparencia; identificar las finalidades, analizar la proporcionalidad y necesidad del tratamiento y los límites en la conservación de los datos; asegurar la calidad de los datos y controlar posibles sesgos y verificar y validar las acciones realizadas y los resultados obtenidos dando cumplimiento al principio de responsabilidad activa del RGPD, entre otros.

Protección de datos y tecnologías emergentes en las Administraciones Públicas

En paralelo, a la Guía tratada, la AEPD también ha publicado recientemente otra guía que analiza el uso de nuevas tecnologías en las Administraciones Públicas. En ella se dedicaba un capítulo a la auditoría, planteándola como una de las posibles herramientas de evaluación y un instrumento dirigido a conseguir productos explicables, predecibles y controlables.

Fuente: AEPD

Protección de datos
Tratamiento de datos personales
Datos personales
Seguridad jurídica
Minimización de datos
Conservación de datos personales
Principio de responsabilidad
Documentos relacionados
Ver más documentos relacionados
  • Obligaciones en materia de protección de datos en las relaciones laborales

    Orden: Laboral Fecha última revisión: 03/02/2020

    Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).1. Registro de acti...

  • Responsabilidad del Responsable del tratamiento de datos en el RGPD y en la LOPDGDD.

    Orden: Administrativo Fecha última revisión: 30/01/2019

    La regulación de la responsabilidad del Responsable del Tratamiento se contempla en el artículo 24 del RGPD, así como en el artículo 28 de la LOPDGDD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se pone...

  • Objeto y ámbito de aplicación del RGPD y de la LOPDGDD

    Orden: Administrativo Fecha última revisión: 07/02/2019

    A partir del 25 de mayo de 2018, con el comienzo con la aplicación del Reglamento General de Protección de Datos (en adelante RGPD),  se instaura un conjunto único de normas directamente aplicables en todos los Estados miembros, que actualmente s...

  • Relaciones electrónicas entre las Administraciones Públicas

    Orden: Administrativo Fecha última revisión: 28/12/2020

    Las relaciones electrónicas entre las Administraciones Públicas vienen reguladas en los artículos 155-158 Capítulo IV del Título III de la Ley 40/2015, de 1 de octubre. El esquema es el siguiente: Artículo 155. Transmisiones de datos entre Ad...

  • Consentimiento de los interesados en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 28/01/2019

    El "consentimiento del interesado" es definido por el RGPD en su artículo 4.11 como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción af...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros y cursos relacionados