accesskey_mod_content

A AEPD publica unha guía sobre requisitos en auditorías de tratamentos que inclúen Intelixencia Artificial

  • Escoitar
  • Copiar
  • Imprimir PDF
  • Compartir

"Noticia dispoñible unicamente con fins históricos e de hemeroteca. A información e ligazóns mostradas correspóndense cos que estaban operativos á data da súa publicación. Non se garante que continúen activos actualmente".

13 xaneiro 2021

A Guía está orientada a responsables e encargados que han de auditar tratamentos que inclúan IA, a desenvolvedores que queiran ofrecer garantías sobre os seus produtos e solucións, a Delegados de Protección de Datos e aos equipos de auditores encargados de avaliar os este tratamentos

A Axencia Española de Protección de Datos(Abre en nova xanela) (AEPD) publicou guíaa  Requisitos para auditorías de tratamentos de datos persoais que inclúan Intelixencia Artificial(Abre en nova xanela) , un documento que ofrece orientacións e unha listaxe de posibles obxectivos de control e controis específicos que poderían incorporarse nestas auditorías desde unha perspectiva de protección de datos.

A realización de tratamentos de datos persoais nos que se utiliza Intelixencia Artificial (IA) para realizar análise e inferencias esixe que se aplique un modelo de desenvolvemento maduro que proporcione garantías de calidade e privacidade. O impacto que poderían ter os tratamentos baseados en IA nos dereitos e liberdades dos cidadáns pon de manifesto a necesidade de establecer medidas de control efectivo, corrección, responsabilidade, rendición de contas, xestión do risco e transparencia relativas aos sistemas e aos tratamentos dos datos nos que se utilice.

O Regulamento Xeral de Protección de Datos (RGPD) establece no seu artigo 24 a obriga por parte daqueles que tratan datos de aplicar “medidas técnicas e organizativas apropiadas co fin de garantir e poder demostrar que o tratamento é conforme co presente Regulamento”. Estas medidas han de ser seleccionadas “tendo en conta a natureza, o ámbito, o contexto e os fins do tratamento, así como os riscos de diversa probabilidade e gravidade para os dereitos e liberdades das persoas” e unha desas ferramentas para “garantir e poder demostrar” o cumprimento do RGPD é a realización de auditorías. Iso require dispor de criterios obxectivos deseñados para executar a auditoría de compoñentes de IA desde unha perspectiva de protección de datos.

O documento recolle obxectivos como inventariar o algoritmo auditado, identificar as responsabilidades e cumprir co principio de transparencia; identificar as finalidades, analizar a proporcionalidade e necesidade do tratamento e os límites na conservación dos datos; asegurar a calidade dos datos e controlar posibles rumbos e verificar e validar as accións realizadas e os resultados obtidos dando cumprimento ao principio de responsabilidade activa do RGPD, entre outros.

O texto está dirixido, principalmente, a responsables e encargados que han de auditar tratamentos que inclúan compoñentes baseados en IA, de face a garantir e poder demostrar o cumprimento de obrigas e principios en materia de protección de datos aos que están suxeitos; aos desenvolvedores que queiran ofrecer garantías sobre os seus produtos e solucións; aos Delegados de Protección de Datos encargados tanto de supervisar os tratamentos como de asesorar aos responsables e, por último, aos equipos de auditores encargados de avaliar os este tratamentos.

Guíaa  Requisitos para auditorías de tratamentos de datos persoais que inclúan Intelixencia Artificial(Abre en nova xanela)  foi desenvolvida con base nun estudo realizado por Éticas Research and Consulting baixo o encargo e a supervisión da Axencia Española de Protección de Datos e as revisións realizadas por expertos do Artificial Intelligence Hub do Consello Superior de Investigacións Científicas (CSIC AI HUB), do Observatorio do impacto social e ético da intelixencia artificial (OdiseIA), da Asociación Profesional de Corpos Superiores de Sistemas e Tecnoloxías da Información das Administracións Públicas (ASTIC), Grupo de Innovación Docente en Ciberseguridade (CiberGID)-ETSI Informática - UNED e do Centro para o Desenvolvemento Tecnolóxico e Industrial (CDTI).

Protección de datos e tecnoloxías emerxentes

Este documento complementa a o  Guía de Adecuación ao RGPD de tratamentos que incorporan Intelixencia Artificial(Abre en nova xanela)  da Axencia, que aborda o cumprimento efectivo dos principios de protección de datos persoais en tratamentos que inclúan solucións de intelixencia artificial. Nela dedicábase un capítulo á auditoría, expóndoa como unha das posibles ferramentas de avaliación e un instrumento dirixido a conseguir produtos explicables, predicibles e controlables.

A selección dos controis a auditar, a extensión da súa análise e a formalidade requirida na súa implementación dependerá, como en toda auditoría, do obxectivo e alcance definido para esta, así como da análise de riscos realizado. O auditor ha de seleccionar os controis que se adecúen á auditoría concreta e engadir aqueles que estime oportunos.

Fonte orixinal da noticia(Abre en nova xanela)

  • Seguridade e Protección de Datos