La Agencia Española de Protección de Datos (AEPD) ha publicado la guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial, un documento que ofrece orientaciones y un listado de posibles objetivos de control y controles específicos que podrían incorporarse en estas auditorías desde una perspectiva de protección de datos.

La realización de tratamientos de datos personales en los que se utiliza Inteligencia Artificial (IA) para realizar análisis e inferencias exige que se aplique un modelo de desarrollo maduro que proporcione garantías de calidad y privacidad. El impacto que podrían tener los tratamientos basados en IA en los derechos y libertades de los ciudadanos pone de manifiesto la necesidad de establecer medidas de control efectivo, corrección, responsabilidad, rendición de cuentas, gestión del riesgo y transparencia relativas a los sistemas y a los tratamientos de los datos en los que se utilice.

El Reglamento General de Protección de Datos (RGPD) establece en su artículo 24 la obligación por parte de aquellos que tratan datos de aplicar “medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento”. Estas medidas han de ser seleccionadas “teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas” y una de esas herramientas para “garantizar y poder demostrar” el cumplimiento del RGPD es la realización de auditorías. Ello requiere disponer de criterios objetivos diseñados para ejecutar la auditoría de componentes de IA desde una perspectiva de protección de datos.

El documento recoge objetivos como inventariar el algoritmo auditado, identificar las responsabilidades y cumplir con el principio de transparencia; identificar las finalidades, analizar la proporcionalidad y necesidad del tratamiento y los límites en la conservación de los datos; asegurar la calidad de los datos y controlar posibles sesgos y verificar y validar las acciones realizadas y los resultados obtenidos dando cumplimiento al principio de responsabilidad activa del RGPD, entre otros.

El texto está dirigido, principalmente, a responsables y encargados que han de auditar tratamientos que incluyan componentes basados en IA, de cara a garantizar y poder demostrar el cumplimiento de obligaciones y principios en materia de protección de datos a los que están sujetos; a los desarrolladores que quieran ofrecer garantías sobre sus productos y soluciones; a los Delegados de Protección de Datos encargados tanto de supervisar los tratamientos como de asesorar a los responsables y, por último, a los equipos de auditores encargados de evaluar dichos tratamientos.

La guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial ha sido desarrollada con base en un estudio realizado por Éticas Research and Consulting bajo el encargo y la supervisión de la Agencia Española de Protección de Datos y las revisiones realizadas por expertos del Artificial Intelligence Hub del Consejo Superior de Investigaciones Científicas (CSIC AI HUB), del Observatorio del impacto social y ético de la inteligencia artificial (OdiseIA), de la Asociación Profesional de Cuerpos Superiores de Sistemas y Tecnologías de la Información de las Administraciones Públicas (ASTIC), Grupo de Innovación Docente en Ciberseguridad (CiberGID)-ETSI Informática – UNED y del Centro para el Desarrollo Tecnológico e Industrial (CDTI).

Protección de datos y tecnologías emergentes

Este documento complementa a la Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial de la Agencia, que aborda el cumplimiento efectivo de los principios de protección de datos personales en tratamientos que incluyan soluciones de inteligencia artificial. En ella se dedicaba un capítulo a la auditoría, planteándola como una de las posibles herramientas de evaluación y un instrumento dirigido a conseguir productos explicables, predecibles y controlables.

La selección de los controles a auditar, la extensión de su análisis y la formalidad requerida en su implementación dependerá, como en toda auditoría, del objetivo y alcance definido para esta, así como del análisis de riesgos realizado. El auditor ha de seleccionar los controles que se adecúen a la auditoría concreta y añadir aquellos que estime oportunos.

La entrada La AEPD publica una guía sobre requisitos en auditorías de tratamientos que incluyen Inteligencia Artificial se publicó primero en DataProtectPlus.