L'Agència Agència Espanyola de Protecció de Dades
(AEPD) ha publicat la guia Requisits per a auditories de tractaments de dades personals que incloguen Intel·ligència Artificial , un document que oferix orientacions i un llistat de possibles objectius de control i controls específics que podrien incorporar-se en estes auditories des d'una perspectiva de protecció de dades.
La realització de tractaments de dades personals en els quals s'utilitza Intel·ligència Artificial (IA) per a realitzar anàlisi i inferències exigix que s'aplique un model de desenvolupament madur que proporcione garanties de qualitat i privacitat. El impacte que podrien tindre els tractaments basats en IA en els drets i llibertats dels ciutadans posa de manifest la necessitat d'establir mesures de control efectiu, correcció, responsabilitat, rendició de comptes, gestió del risc i transparència relatives als sistemes i als tractaments de les dades en els quals s'utilitze.
El Reglament General de Protecció de Dades (RGPD) establix en el seu article 24 l'obligació per part d'aquells que tracten dades d'aplicar “mesures tècniques i organitzatives apropiades a fi de garantir i poder demostrar que el tractament és conforme amb el present Reglament”. Estes mesures han de ser seleccionades “tenint en compte la naturalesa, l'àmbit, el context i les finalitats del tractament, així com els riscos de diversa probabilitat i gravetat per als drets i llibertats de les persones” i una d'eixes ferramentes per a “garantir i poder demostrar” el compliment del RGPD és la realització d'auditories. Açò requerix disposar de criteris objectius dissenyats per a executar l'auditoria de components de IA des d'una perspectiva de protecció de dades.
El document arreplega objectius com inventariar l'algoritme auditat, identificar les responsabilitats i complir amb el principi de transparència; identificar les finalitats, analitzar la proporcionalitat i necessitat del tractament i els límits en la conservació de les dades; assegurar la qualitat de les dades i controlar possibles biaixos i verificar i validar les accions realitzades i els resultats obtinguts donant compliment al principi de responsabilitat activa del RGPD, entre uns altres.
El text està dirigit, principalment, a responsables i encarregats que han d'auditar tractaments que incloguen components basats en IA, amb vista a garantir i poder demostrar el compliment d'obligacions i principis en matèria de protecció de dades als quals estan subjectes; als desenvolupadors que vullguen oferir garanties sobre els seus productes i solucions; als Delegats de Protecció de Dades encarregades tant de supervisar els tractaments com d'assessorar als responsables i, finalment, als equips d'auditors encarregats d'avaluar aquests tractaments.
La guia Requisits per a auditories de tractaments de dades personals que incloguen Intel·ligència Artificial ha sigut desenvolupada amb base en un estudi realitzat per Ètiques Research and Consulting baix l'encàrrec i la supervisió de l'Agència Espanyola de Protecció de Dades i les revisions realitzades per experts de l'Artificial Intelligence Hub del Consell Superior d'Investigacions Científiques (CSIC AI HUB), de l'Observatori de l'impacte social i ètic de la intel·ligència artificial (OdiseIA), de l'Associació Professional de Cossos Superiors de Sistemes i Tecnologies de la Informació de les Administracions Públiques (ASTIC), Grup d'Innovació Docent en Ciberseguretat (CiberGID)-ETSI Informàtica - UNED i del Centre per al Desenvolupament Tecnològic i Industrial (CDTI).
