accesskey_mod_content

L'AEPD publica una guia sobre requisits en auditories de tractaments que inclouen Intel·ligència Artificial

13 gener 2021

La Guia està orientada a responsables i encarregats que han d'auditar tractaments que incloguin IA, a desenvolupadors que vulguin oferir garanties sobre els seus productes i solucions, a Delegats de Protecció de Dades i als equips d'auditors encarregats d'avaluar aquests tractaments

L'Agència Agència Espanyola de Protecció de Dades(Obre en nova finestra) (AEPD) ha publicat la guia  Requisits per a auditories de tractaments de dades personals que incloguin Intel·ligència Artificial(Obre en nova finestra) , un document que ofereix orientacions i un llistat de possibles objectius de control i controls específics que podrien incorporar-se en aquestes auditories des d'una perspectiva de protecció de dades.

La realització de tractaments de dades personals en els quals s'utilitza Intel·ligència Artificial (IA) per realitzar anàlisi i inferències exigeix que s'apliqui un model de desenvolupament madur que proporcioni garanties de qualitat i privadesa. El impacte que podrien tenir els tractaments basats en IA en els drets i llibertats dels ciutadans posa de manifest la necessitat d'establir mesures de control efectiu, correcció, responsabilitat, rendició de comptes, gestió del risc i transparència relatives als sistemes i als tractaments de les dades en els quals s'utilitzi.

El Reglament General de Protecció de Dades (RGPD) estableix en el seu article 24 l'obligació per part d'aquells que tracten dades d'aplicar “mesures tècniques i organitzatives apropiades a fi de garantir i poder demostrar que el tractament és conforme amb el present Reglament”. Aquestes mesures han de ser seleccionades “tenint en compte la naturalesa, l'àmbit, el context i les finalitats del tractament, així com els riscos de diversa probabilitat i gravetat per als drets i llibertats de les persones” i una d'aquestes eines per “garantir i poder demostrar” el compliment del RGPD és la realització d'auditories. Això requereix disposar de criteris objectius dissenyats per executar l'auditoria de components de IA des d'una perspectiva de protecció de dades.

El document recull objectius com inventariar l'algorisme auditat, identificar les responsabilitats i complir amb el principi de transparència; identificar les finalitats, analitzar la proporcionalitat i necessitat del tractament i els límits en la conservació de les dades; assegurar la qualitat de les dades i controlar possibles biaixos i verificar i validar les accions realitzades i els resultats obtinguts donant compliment al principi de responsabilitat activa del RGPD, entre uns altres.

El text està dirigit, principalment, a responsables i encarregats que han d'auditar tractaments que incloguin components basats en IA, amb vista a garantir i poder demostrar el compliment d'obligacions i principis en matèria de protecció de dades als quals estan subjectes; als desenvolupadors que vulguin oferir garanties sobre els seus productes i solucions; als Delegats de Protecció de Dades encarregades tant de supervisar els tractaments com d'assessorar als responsables i, finalment, als equips d'auditors encarregats d'avaluar aquests tractaments.

La guia  Requisits per a auditories de tractaments de dades personals que incloguin Intel·ligència Artificial(Obre en nova finestra)  ha estat desenvolupada amb base en un estudi realitzat per Ètiques Research and Consulting sota l'encàrrec i la supervisió de l'Agència Espanyola de Protecció de Dades i les revisions realitzades per experts de l'Artificial Intelligence Hub del Consell Superior de Recerques Científiques (CSIC AI HUB), de l'Observatori de l'impacte social i ètic de la intel·ligència artificial (OdiseIA), de l'Associació Professional de Cossos Superiors de Sistemes i Tecnologies de la Informació de les Administracions Públiques (ASTIC), Grup d'Innovació Docent en Ciberseguretat (CiberGID)-ETSI Informàtica - UNED i del Centre per al Desenvolupament Tecnològic i Industrial (CDTI).

Protecció de dades i tecnologies emergents

Aquest document complementa a la  Guia d'Adequació al RGPD de tractaments que incorporen Intel·ligència Artificial(Obre en nova finestra)  de l'Agència, que aborda el compliment efectiu dels principis de protecció de dades personals en tractaments que incloguin solucions d'intel·ligència artificial. En ella es dedicava un capítol a l'auditoria, plantejant-la com una de les possibles eines d'avaluació i un instrument dirigit a aconseguir productes explicables, predictibles i controlables.

La selecció dels controls a auditar, l'extensió de la seva anàlisi i la formalitat requerida en la seva implementació dependrà, com en tota auditoria, de l'objectiu i abast definit per a aquesta, així com de l'anàlisi de riscos realitzat. L'auditor ha de seleccionar els controls que s'adeqüin a l'auditoria concreta i afegir aquells que estimi oportuns.

Font original de la notícia(Obre en nova finestra)

  • Seguretat
Subscriu-te al canal de youtube de l'OBSAE
 
Subscriu-te al canal de youtube de l'OBSAE