A Axencia Española de Protección de Datos (AEPD) publicou guíaa Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial
, un documento que ofrece orientacións e unha listaxe de posibles obxectivos de control e controis específicos que poderían incorporarse nestas auditorías desde unha perspectiva de protección de datos.
A realización de tratamentos de datos persoais nos que se utiliza Inteligencia Artificial (IA) para realizar análises e inferencias esixe que se aplique un modelo de desenvolvemento maduro que proporcione garantías de calidade e privacidade. O impacto que poderían ter os tratamentos baseados en IA nos dereitos e liberdades dos cidadáns pon de manifesto a necesidade de establecer medidas de control efectivo, corrección, responsabilidade, rendición de contas, xestión do risco e transparencia relativas aos sistemas e aos tratamentos dos datos nos que se utilice.
O Regulamento Xeral de Protección de Datos (RGPD) establece no seu artigo 24 a obriga por parte daqueles que tratan datos de aplicar “medidas técnicas e organizativas apropiadas co fin de garantir e poder demostrar que o tratamento é conforme co presente Regulamento”. Estas medidas han de ser seleccionadas “tendo en conta a natureza, o ámbito, o contexto e os fins do tratamento, así como os riscos de diversa probabilidade e gravidade para os dereitos e liberdades das persoas” e unha desas ferramentas para “garantir e poder demostrar” o cumprimento do RGPD é a realización de auditorías. Iso require dispor de criterios obxectivos deseñados para executar a auditoría de compoñentes de IA desde unha perspectiva de protección de datos.
El documento recoge objetivos como inventariar el algoritmo auditado, identificar las responsabilidades y cumplir con el principio de transparencia; identificar las finalidades, analizar la proporcionalidad y necesidad del tratamiento y los límites en la conservación de los datos; asegurar la calidad de los datos y controlar posibles sesgos y verificar y validar las acciones realizadas y los resultados obtenidos dando cumplimiento al principio de responsabilidad activa del RGPD, entre otros.
El texto está dirigido, principalmente, a responsables y encargados que han de auditar tratamientos que incluyan componentes basados en IA, de cara a garantizar y poder demostrar el cumplimiento de obligaciones y principios en materia de protección de datos a los que están sujetos; a los desarrolladores que quieran ofrecer garantías sobre sus productos y soluciones; a los Delegados de Protección de Datos encargados tanto de supervisar los tratamientos como de asesorar a los responsables y, por último, a los equipos de auditores encargados de evaluar dichos tratamientos.
Guíaa Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial foi desenvolvida con base nun estudo realizado por Éticas Research and Consulting baixo o encargo e a supervisión da Axencia Española de Protección de Datos e as revisións realizadas por expertos do Artificial Intelligence Hub do Consello Superior de Investigacións Científicas (CSIC AI HUB), do Observatorio do impacto social e ético da intelixencia artificial (OdiseIA), da Asociación Profesional de Corpos Superiores de Sistemas e Tecnoloxías da Información das Administracións Públicas (ASTIC), Grupo de Innovación Docente en Ciberseguridade (CiberGID)-ETSI Informática - UNED e do Centro para o Desenvolvemento Tecnolóxico e Industrial (CDTI).