A Axencia Española de Protección de Datos
(AEPD) publicou guíaa Requisitos para auditorías de tratamentos de datos persoais que inclúan Intelixencia Artificial , un documento que ofrece orientacións e unha listaxe de posibles obxectivos de control e controis específicos que poderían incorporarse nestas auditorías desde unha perspectiva de protección de datos.
A realización de tratamentos de datos persoais nos que se utiliza Intelixencia Artificial (IA) para realizar análise e inferencias esixe que se aplique un modelo de desenvolvemento maduro que proporcione garantías de calidade e privacidade. O impacto que poderían ter os tratamentos baseados en IA nos dereitos e liberdades dos cidadáns pon de manifesto a necesidade de establecer medidas de control efectivo, corrección, responsabilidade, rendición de contas, xestión do risco e transparencia relativas aos sistemas e aos tratamentos dos datos nos que se utilice.
O Regulamento Xeral de Protección de Datos (RGPD) establece no seu artigo 24 a obriga por parte daqueles que tratan datos de aplicar “medidas técnicas e organizativas apropiadas co fin de garantir e poder demostrar que o tratamento é conforme co presente Regulamento”. Estas medidas han de ser seleccionadas “tendo en conta a natureza, o ámbito, o contexto e os fins do tratamento, así como os riscos de diversa probabilidade e gravidade para os dereitos e liberdades das persoas” e unha desas ferramentas para “garantir e poder demostrar” o cumprimento do RGPD é a realización de auditorías. Iso require dispor de criterios obxectivos deseñados para executar a auditoría de compoñentes de IA desde unha perspectiva de protección de datos.
O documento recolle obxectivos como inventariar o algoritmo auditado, identificar as responsabilidades e cumprir co principio de transparencia; identificar as finalidades, analizar a proporcionalidade e necesidade do tratamento e os límites na conservación dos datos; asegurar a calidade dos datos e controlar posibles rumbos e verificar e validar as accións realizadas e os resultados obtidos dando cumprimento ao principio de responsabilidade activa do RGPD, entre outros.
O texto está dirixido, principalmente, a responsables e encargados que han de auditar tratamentos que inclúan compoñentes baseados en IA, de face a garantir e poder demostrar o cumprimento de obrigas e principios en materia de protección de datos aos que están suxeitos; aos desenvolvedores que queiran ofrecer garantías sobre os seus produtos e solucións; aos Delegados de Protección de Datos encargados tanto de supervisar os tratamentos como de asesorar aos responsables e, por último, aos equipos de auditores encargados de avaliar os este tratamentos.
Guíaa Requisitos para auditorías de tratamentos de datos persoais que inclúan Intelixencia Artificial foi desenvolvida con base nun estudo realizado por Éticas Research and Consulting baixo o encargo e a supervisión da Axencia Española de Protección de Datos e as revisións realizadas por expertos do Artificial Intelligence Hub do Consello Superior de Investigacións Científicas (CSIC AI HUB), do Observatorio do impacto social e ético da intelixencia artificial (OdiseIA), da Asociación Profesional de Corpos Superiores de Sistemas e Tecnoloxías da Información das Administracións Públicas (ASTIC), Grupo de Innovación Docente en Ciberseguridade (CiberGID)-ETSI Informática - UNED e do Centro para o Desenvolvemento Tecnolóxico e Industrial (CDTI).
