accesskey_mod_content

L'AEPD publica una guia sobre requisits en auditories de tractaments que inclouen Intel·ligència Artificial

  • Escoltar
  • Copiar
  • Imprimir PDF
  • Compartir

"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seua publicació. No es garantix que continuen actius actualment".

13 gener 2021

La Guia està orientada a responsables i encarregats que han d'auditar tractaments que incloguen IA, a desenvolupadors que vullguen oferir garanties sobre els seus productes i solucions, a Delegats de Protecció de Dades i als equips d'auditors encarregats d'avaluar aquests tractaments

L'Agència Agència Espanyola de Protecció de Dades(Obri en nova finestra) (AEPD) ha publicat la guia  Requisits per a auditories de tractaments de dades personals que incloguen Intel·ligència Artificial(Obri en nova finestra) , un document que oferix orientacions i un llistat de possibles objectius de control i controls específics que podrien incorporar-se en estes auditories des d'una perspectiva de protecció de dades.

La realització de tractaments de dades personals en els quals s'utilitza Intel·ligència Artificial (IA) per a realitzar anàlisi i inferències exigix que s'aplique un model de desenvolupament madur que proporcione garanties de qualitat i privacitat. El impacte que podrien tindre els tractaments basats en IA en els drets i llibertats dels ciutadans posa de manifest la necessitat d'establir mesures de control efectiu, correcció, responsabilitat, rendició de comptes, gestió del risc i transparència relatives als sistemes i als tractaments de les dades en els quals s'utilitze.

El Reglament General de Protecció de Dades (RGPD) establix en el seu article 24 l'obligació per part d'aquells que tracten dades d'aplicar “mesures tècniques i organitzatives apropiades a fi de garantir i poder demostrar que el tractament és conforme amb el present Reglament”. Estes mesures han de ser seleccionades “tenint en compte la naturalesa, l'àmbit, el context i les finalitats del tractament, així com els riscos de diversa probabilitat i gravetat per als drets i llibertats de les persones” i una d'eixes ferramentes per a “garantir i poder demostrar” el compliment del RGPD és la realització d'auditories. Açò requerix disposar de criteris objectius dissenyats per a executar l'auditoria de components de IA des d'una perspectiva de protecció de dades.

El document arreplega objectius com inventariar l'algoritme auditat, identificar les responsabilitats i complir amb el principi de transparència; identificar les finalitats, analitzar la proporcionalitat i necessitat del tractament i els límits en la conservació de les dades; assegurar la qualitat de les dades i controlar possibles biaixos i verificar i validar les accions realitzades i els resultats obtinguts donant compliment al principi de responsabilitat activa del RGPD, entre uns altres.

El text està dirigit, principalment, a responsables i encarregats que han d'auditar tractaments que incloguen components basats en IA, amb vista a garantir i poder demostrar el compliment d'obligacions i principis en matèria de protecció de dades als quals estan subjectes; als desenvolupadors que vullguen oferir garanties sobre els seus productes i solucions; als Delegats de Protecció de Dades encarregades tant de supervisar els tractaments com d'assessorar als responsables i, finalment, als equips d'auditors encarregats d'avaluar aquests tractaments.

La guia  Requisits per a auditories de tractaments de dades personals que incloguen Intel·ligència Artificial(Obri en nova finestra)  ha sigut desenvolupada amb base en un estudi realitzat per Ètiques Research and Consulting baix l'encàrrec i la supervisió de l'Agència Espanyola de Protecció de Dades i les revisions realitzades per experts de l'Artificial Intelligence Hub del Consell Superior d'Investigacions Científiques (CSIC AI HUB), de l'Observatori de l'impacte social i ètic de la intel·ligència artificial (OdiseIA), de l'Associació Professional de Cossos Superiors de Sistemes i Tecnologies de la Informació de les Administracions Públiques (ASTIC), Grup d'Innovació Docent en Ciberseguretat (CiberGID)-ETSI Informàtica - UNED i del Centre per al Desenvolupament Tecnològic i Industrial (CDTI).

Protecció de dades i tecnologies emergents

Este document complementa a la  Guia d'Adequació al RGPD de tractaments que incorporen Intel·ligència Artificial(Obri en nova finestra)  de l'Agència, que aborda el compliment efectiu dels principis de protecció de dades personals en tractaments que incloguen solucions d'intel·ligència artificial. En ella es dedicava un capítol a l'auditoria, plantejant-la com una de les possibles ferramentes d'avaluació i un instrument dirigit a aconseguir productes explicables, predictibles i controlables.

La selecció dels controls a auditar, l'extensió de la seua anàlisi i la formalitat requerida en la seua implementació dependrà, com en tota auditoria, de l'objectiu i abast definit per a esta, així com de l'anàlisi de riscos realitzat. L'auditor ha de seleccionar els controls que s'adeqüen a l'auditoria concreta i afegir aquells que estime oportuns.

Font original de la notícia(Obri en nova finestra)

  • Seguretat i Protecció de Dades