L'Agència Agència Espanyola de Protecció de Dades (AEPD) ha publicat la guia Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial
, un document que oferix orientacions i un llistat de possibles objectius de control i controls específics que podrien incorporar-se en estes auditories des d'una perspectiva de protecció de dades.
La realització de tractaments de dades personals en els quals s'utilitza Intel·ligència Artificial (IA) per a realitzar anàlisi i inferències exigix que s'aplique un model de desenvolupament madur que proporcione garanties de qualitat i privacitat. El impacte que podrien tindre els tractaments basats en IA en els drets i llibertats dels ciutadans posa de manifest la necessitat d'establir mesures de control efectiu, correcció, responsabilitat, rendició de comptes, gestió del risc i transparència relatives als sistemes i als tractaments de les dades en els quals s'utilitze.
El Reglamento General de Protección de Datos (RGPD) establece en su artículo 24 la obligación por parte de aquellos que tratan datos de aplicar “medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento”. Estas medidas han de ser seleccionadas “teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas” y una de esas herramientas para “garantizar y poder demostrar” el cumplimiento del RGPD es la realización de auditorías. Ello requiere disponer de criterios objetivos diseñados para ejecutar la auditoría de componentes de IA desde una perspectiva de protección de datos.
El document arreplega objectius com inventariar l'algoritme auditat, identificar les responsabilitats i complir amb el principi de transparència; identificar les finalitats, analitzar la proporcionalitat i necessitat del tractament i els límits en la conservació de les dades; assegurar la qualitat de les dades i controlar possibles biaixos i verificar i validar les accions realitzades i els resultats obtinguts donant compliment al principi de responsabilitat activa del RGPD, entre uns altres.
El texto está dirigido, principalmente, a responsables y encargados que han de auditar tratamientos que incluyan componentes basados en IA, de cara a garantizar y poder demostrar el cumplimiento de obligaciones y principios en materia de protección de datos a los que están sujetos; a los desarrolladores que quieran ofrecer garantías sobre sus productos y soluciones; a los Delegados de Protección de Datos encargados tanto de supervisar los tratamientos como de asesorar a los responsables y, por último, a los equipos de auditores encargados de evaluar dichos tratamientos.
La guia Requisits per a auditories de tractaments de dades personals que incloguen Intel·ligència Artificial ha sido desarrollada con base en un estudio realizado por Éticas Research and Consulting bajo el encargo y la supervisión de la Agencia Española de Protección de Datos y las revisiones realizadas por expertos del Artificial Intelligence Hub del Consejo Superior de Investigaciones Científicas (CSIC AI HUB), del Observatorio del impacto social y ético de la inteligencia artificial (OdiseIA), de la Asociación Profesional de Cuerpos Superiores de Sistemas y Tecnologías de la Información de las Administraciones Públicas (ASTIC), Grupo de Innovación Docente en Ciberseguridad (CiberGID)-ETSI Informática - UNED y del Centro para el Desarrollo Tecnológico e Industrial (CDTI).