La AEPD ha publicado una guía que incluye una serie de requisitos que deberían aplicarse en las auditorías de tratamientos que incluyan componentes de IA
A principios de este mes, la AEPD publicó una guía sobre los “Requisitos para Auditorías de Tratamiento que incluyan IA”, donde elabora sobre los principales controles que deberían aplicarse a las auditorías de actividades de tratamiento que comprendan componentes de IA.
Las auditorías son parte de las medidas técnicas y organizativas reguladas en el RGPD y se consideran esenciales para configurar una óptima protección de los datos personales. La guía de la AEPD contiene una lista de controles entre las que el auditor habrá de seleccionar las que considere adecuadas para su caso concreto, en función de varios factores, como: la forma en la que el tratamiento puede influir en el cumplimiento con el RGPD, el tipo de componente de IA empleado, la categoría de actividades de tratamiento y los riesgos que estas suponen para los derechos y libertades de los sujetos.
Características especiales de la metodología en las auditorías de IA
La AEPD señala que el proceso de auditoria debería articularse en torno a los principios recogidos en el RGPD, a saber: licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad, y responsabilidad proactiva.
La AEPD también aclara que no se espera una aplicación conjunta de todos los controles detallados en la guía, sino que se deberán seleccionar en cada caso los que sean más relevantes según el alcance de la auditoría y los objetivos perseguidos.
¿A qué tipo de tratamientos se aplican estos requisitos y quién debería cumplir con ellos?
Las siguientes premisas serán necesarias para decidir sobre la idoneidad de los requisitos de la guía en un determinado proceso de auditoría:
- Existe, o se pretende realizar, un tratamiento de datos personales en alguna de las etapas del ciclo de vida del componente IA o
- El tratamiento se dirige a perfilar al individuo o a ejecutar decisiones automáticas sobre personas físicas que tengan efectos jurídicos sobre ellas o les afecten significativamente.
La AEPD establece que en algunas situaciones podría ser recomendable desarrollar una serie de evaluaciones previas antes de progresar con la auditoria, como serían, entre otros, un análisis previo del grado de anonimización alcanzado para los datos utilizados en el tratamiento en general y por el componente en particular, el cálculo o estimación del posible riesgo de reidentificación que existe, o una evaluación del cálculo del riesgo de pérdida de datos en la nube.
La guía está especialmente dirigida a responsables que han de auditar tratamientos que incluyan componentes basados en IA, a encargados y desarrolladores que quieran ofrecer garantías sobre sus productos y servicios, a los Delegados de Protección de Datos y a los equipos de auditores cuando se ocupen de la evaluación de dichos tratamientos.
Objetivos de control y controles
El contenido principal de la guía está constituido por cinco áreas de auditoria que se dividen en varios objetivos, los cuales a su vez contienen los diferentes controles entre los cuales los auditores, o la persona a cargo del proceso según corresponda, podrán hacer su selección para el caso concreto que les ocupe.
La AEPD ofrece una lista exhaustiva que abarca más de cien controles, los cuales hemos resumido en los próximos párrafos.
-
Identificación y transparencia del componente
Este área comprende los siguientes objetivos: inventario del componente IA auditado, identificación de responsabilidades y transparencia.
La AEPD enfatiza la importancia de conservar registros tanto del componente -entre los que se incluyen el identificador, la version, la fecha de creación y el histórico- como de las personas que se encuentran a cargo del proceso -entre otros, sus datos de contacto, funciones y responsabilidades-. Se dan también algunas consideraciones en cuanto a la información que debe estar disponible para las partes interesadas, especialmente en lo que se refiere a las fuentes de datos, las categorías de datos involucradas, el modelo, la lógica y los mecanismos de rendición de cuentas.
-
Propósitos del componente IA
Se dan numerosos objetivos dentro de esta segunda área: identificación de las finalidades, usos previstos y contexto de uso del componente IA, análisis de proporcionalidad y necesidad, determinación de los destinatarios de los datos, limitación de la conservación de datos y análisis de las categorías de interesados.
Los controles asociados a estos objetivos se basan en los estándares y requisitos necesarios para alcanzar los resultados deseados y los elementos que pueden afectar a dichos resultados, como por ejemplo los factores condicionantes, las condiciones socioeconómicas y la distribución de tareas, entre otros, para lo cual se recomienda realizar un análisis de riesgos y una evaluación de impacto.
-
Fundamentos del componente IA
Este área se construye sobre los siguientes objetivos: identificación de la política de desarrollo del componente IA, implicación del DPD, adecuación de los modelos teóricos base y del marco metodológico e identificación de la arquitectura básica del componente.
Los controles definidos en esta sección se relacionan en esencia con los elementos formales del proceso y la metodología aplicada, y se enfocan a asegurar la interoperabilidad entre la política de desarrollo del componente de IA y la política de privacidad, a definir los requisitos que debería cumplir el DPD y garantizar su oportuna participación, así como a fijar los procesos de revisión correspondientes.
-
Gestión de los datos
La AEPD detalla cuatro objetivos para este área: aseguramiento de la calidad de los datos, determinación del origen de las fuentes de datos, preparación de los datos y control de sesgo.
Mientras que la protección de datos es en efecto el ‘leitmotiv’ de toda la guía, esta materia está en especial presente en este capítulo, el cual cubre aspectos como el gobierno del dato, la distribución de variables y proporcionalidad, las bases legítimas de tratamiento, la lógica en la selección de las fuentes de datos y la categorización de los datos y las variables.
-
Verificación y validación
Son siete los objetivos que se persiguen bajo esta área: adecuación del proceso de verificación y validación del componente IA, verificación y validación del componente IA, rendimiento, coherencia, estabilidad y robustez, trazabilidad y seguridad.
Los controles que se incluyen en este área se centrar en asegurar el cumplimiento con la normativa de protección de datos durante la implementación y uso continuados del componente de IA, y se buscan garantías sobre la existencia de normas y estándares que permitan la verificación y validación de los procesos una vez que se ha integrado el componente IA, una planificación para inspecciones internas, un análisis de falsos positivos y falsos negativos, un proceso para encontrar anomalías y la identificación de comportamiento inesperado, entre otros.
Notas finales
La AEPD concluye con un recordatorio sobre el hecho de que la guía contiene un enfoque de protección de datos para la auditoria de componentes IA, lo cual implica, por un lado, que podría requerir ser complementada con controles adicionales derivados de otras perspectivas y, por otro, que no todos los controles serán importantes para cada caso, pues deberán ser seleccionados conforme a las necesidades concretas de las circunstancias, en consideración del tipo de tratamiento, los requisitos impuestos por el cliente, las características especiales de la auditoria y su alcance y los resultados de la evaluación de riesgos.