Toma automatizada de decisiones y RGPD

Toma automatizada de decisiones y RGPD

En el blog de hoy vamos a hablar sobre toma automatizada de decisiones y RGPD

El uso de la Inteligencia Artificial se está cada vez más consolidando en diferentes aspectos del día a día de la sociedad y de nuestras vidas. Si bien ofrece numerosas aplicaciones muy interesantes como los coches automáticos y el reconocimiento facial, también puede utilizarse como una herramienta para la toma automatizada de decisiones. ¿Supone esto un obstáculo en los derechos de los interesados? ¿Cuáles son las posibles consecuencias y la normativa que regula su legitimidad?

En nuestro último vlog damos respuesta a algunas de las preguntas más comunes que se plantean en relación a Inteligencia Artificial, toma automatizada de decisiones y el RGPD. Pulsa aquí para verlo.

En profundidad: toma automatizada de decisiones y RGPD, incluida la elaboración de perfiles

La autoridad de control de Reino Unido, ICO define la toma automatizada de decisiones, como el “proceso de tomar una decisión por medios automáticos sin intervención humana”

Conforme a la ICO, estas decisiones pueden estar basadas en datos fácticos y también en perfiles digitales o datos inferidos. Algunos ejemplos de esto incluyen:

una decisión online para conceder un crédito; y
un test de aptitud usado para fines de contratación que usa criterio y algoritmos pre-programados.

El artículo 4 (4) del RGPD define la elaboración de perfiles como toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.”

La ICO proporciona los siguientes ejemplos sobre elaboración de perfiles:

recoger y analizar datos personales en gran escala mediante el uso de algoritmos, IA o machine-learning;
identificar asociaciones para construir relaciones entre los diferentes comportamientos y atributos;
crear perfiles que se aplican a los sujetos; o
predecir el comportamiento de los individuos a través del perfilado.

Si bien la toma automatizada de decisiones y la elaboración de perfiles tiene grandes beneficios tanto para empresas como para individuos, también conllevan riesgos para los derechos y libertades de las personas. Una decision falsa o injusta puede conducir a efectos adversos para los interesados, desde discriminación hasta intromisión indebida en sus vidas privadas.

El artículo 22 del RGPD – mencionado en nuestro vlog – trata de abordar estos y otros riesgos mediante el establecimiento de parámetros estrictos que establecen que “todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

¿Necesitas asesoramiento para la adaptación al RGPD y a la LOPDGDD? Aphaia ofrece servicios de consultoría de adaptación al RGPD, incluidas Evaluaciones de Impacto y servicio de Delegado de Protección de Datos.

AI, IoT and Big Data

IA, IoT y Big Data, ¿puede la normativa abarcarlo todo?

En el vlog de la semana pasada indagamos sobre la regulación de la IA, el IoT y el Big Data cuando se utilizan de manera conjunta.

IA, IoT, Big Data—estas tecnologías desempeñan sin duda un rol esencial en la era conectada de hoy en día. Debido a que cada vez están más integradas en nuestras vidas, son muchas las medidas regulatorias -incluidos el RGPD y la LOPDGDD- que se han implementado a fin de proteger los datos personales, y la privacidad y derechos asociados de los individuos. ¿Pero cómo debería regularse cuando todas ellas se utilizan a la vez?

En primer lugar resulta necesario comprender el significado de cada uno de los conceptos:

Inteligencia Artificial (IA): John McCarthy, acuñó el término por primera vez en 1956 y lo definió como “la ciencia y la ingeniería de hacer máquinas inteligentes”. Un concepto más moderno sería el siguiente: “la simulación de los procesos de inteligencia humana por las máquinas, especialmente sistemas de ordenadores. Estos procesos incluyen aprendizaje (la adquisición de la información y reglas para usar esa información), razonamiento (usar las reglas para alcanzar o definir conclusiones) y auto-corrección.

Internet de las cosas (IoT): el IoT se entiende como “un sistema de dispositivos, máquinas mecánicas y digitales, objetos, animales o personas interconectados que cuentan con un identificador único y tienen la habilidad de transferir información por toda la red sin necesitar intervención humano-humano o humano-máquina”.

Big Data: una definición muy usada de Big Data, proporcionada por el diccionario IT de Gartner, es “…alto volumen, alta velocidad y alta variedad de activos de información que demandan formas efectivas e innovadoras para procesar la información a fin de alcanzar resultados mejorados y toma de decisiones”.

Todos ellos implican tratamiento de datos, con lo que quedaclaro que deberán cumplir con el RGPD cuando estos seanclasificados como personales o con otras regulaciones comoaquella de Libre Circulación de Datos no Personales cuandono. Pero, ¿hay otros requisitos legales obligatorios a los que deberían ajustarse aparte de la normativa de protección de datos y privacidad? De hecho los hay, pero cada una de estas tecnologías presenta diferentes características y necesidades como para ajustarse todas a los mismos.

Por ejemplo, la IA despierta implicaciones éticas, como hemos discutido en algunos de nuestros vídeos anteriores  y el IoT es dependiente del 5G y de la Regulación de Telecomunicaciones, mientras que el Big Data tendrá que afrontar retos propios de ambos.

En este escenario, ¿cómo puede la normativa abarcar cada una de las diferentes implicaciones cuando todas estas tecnologías se aplican de manera conjunta, por ejemplo, en un proyecto?

Proponemos varias posibilidades sobre cómo se podría solucionar:

o Imponer a las empresas, universidades, instituciones públicas, etc. la obligación de incluir en el equipo a un profesional TIC antes de llevar a cabo cualquier proyecto que aúne el uso de la IA, IoT, Big Data y tecnologías similares. Se podría a estos efectos crear una certificación por entidades específicas de acreditación.
o Regulación y legislación específica por tecnología, que reúna la mayor parte de los riesgos TIC e imponga unos requisitos mínimos sobre cómo debería aplicarse.
o Creación a nivel europeo de un cuerpo Legal-techindependiente que sea el responsable de lanzar orientación y códigos de conducta sobre los principales desafíos y retos TIC.

Aunque la Regulación y los códigos de conducta pueden ayudar para unificar estándares, no hay que olvidar que la aplicación de la diligencia debida y el compromiso de los responsables y miembros de los equipos profesionales a la cabeza de este tipo de proyectos son al final la pieza clave para asegurar que se aplican las medidas de seguridad adecuadas, independientemente de las obligaciones impuestas de manera externa.

 

Si necesitas asesoramiento en IA para tus productos y servicios, Aphaia ofrece evaluaciones de la ética de la IA y evaluaciones de impacto.

 

 

 

 

 

 

Coches autónomos y RGPD

Coches autónomos y RGPD

Los coches sin conductor son cada vezmás una realidad, ¿pero qué ocurre con sus implicaciones de privacidad y protección de datos? En el artículo de hoy hablamos sobre coches autónomos y RGPD.

¿Qué te viene a la cabeza cuando piensas en coches autónomos? Puedo apostar que ya no es tan solo el KITT de El Coche Fantástico, el Batmóvil u otros vehículos del cine. Después de todo, en esta era digital, los coches autónomos ya no están relegados a películas y series de televisión y cine.

Actualmente Tesla ya asegura que todos sus nuevos coches “vienen con una configuración estándar de hardware capaz de proporcionar funciones de piloto automático hoy en día y de conducción automática en el futuro- a través de actualizaciones de software que mejorarán su funcionalidad con el tiempo” . Asimismo, existen informes de principios de este año que indican que Waymo– una empresa de desarrollo de tecnología de conducción autónoma- ha firmado un trato para fabricar coches autónomos para Francia y Japón.

Estos hechos realmente aportan un nuevo significado a la frase “el futuro es ahora”, ¿o no? Aunque prometedor, también tiene una cara oculta que no podemos ignorar- consecuencias para la protección de datos, riesgos para la privacidad y dilemas éticos.

En nuestro reciente vlog de YouTube “IA, ética y coches autónomos” exploramos algunos de los dilemas éticos que plantean los coches autónomos.

 

Coches autónomos y RGPD

En relación a los riesgos para la protección de datos y privacidad, encontramos que los coches autónomos – mucho más que los actuales coches conectados- se basarán en gran medida en recogida, análisis y cesión de datos. Dado que mucha de esta información estará relacionada con el día a día de los sujetos, alguna de ella será considerada información personal y, según los casos, también probablemente datos de categoría sensible. Por otro lado, si tenemos en cuenta que serán muchos los dispositivos interconectados, un ataque de hacking supone una gran amenaza que pone en jaque la privacidad de los individuos. Todo esto conduce al hecho de que los coches autónomos y su tecnología deben cumplir de manera absoluta con el RGPD y cualquier otra legislación nacional, como es el caso de la LOPDGDD, entre otras, en España.

Los coches autónomos son también un buen ejemplo del uso de IoT, Big Data e IA de manera conjunta, como comentamos en nuestro último video de YouTube.

Según Cristina Contero, socia de Aphaia, si bien los coches autónomos y el RGPD suponen una preocupación en sí mismo debido a sus implicaciones para la privacidad, también debemos tener en cuenta dilemas éticos y la Regulación de Telecomunicaciones. Por un lado, debido a la implementación de IA y, por otro, porque los coches autónomos son uno de los dispositivos interconectados que serán parte de la red inteligente del IoT. Esto significa que también tendrán un rol en la configuración de las smart cities, con lo que diferenciar entre datos personales y datos no personales resulta esencial, pues mientras algunos datos, como aquellos recogidos por audio o por GPS, son claramente datos personales, esta naturaleza habría que concretarla con otro tipo de datos, como los que configuran la información del clima o de las condiciones de las carreteras”.

Si tu empresa está avanzando hacia la Inteligencia Artificial y tecnología similar como aquella de los coches autónomos, resulta necesario realizar una Evaluación de Impacto para asegurar cumplimiento con el RGPD y la LOPDGDD. Además, Aphaia ofrece servicios de consultoría y adaptación al RGPD, Evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.

 

 

 

Publicidad programática, pujas a tiempo real y riesgos para la privacidad.

En el Vlog de esta semana hablamos sobre publicidad y pujas a tiempo real (RTB).

Las pujas a tiempo real son un conjunto de técnicas y prácticas usadas en publicidad programática que permite a los publicistas competir por espacios publicitarios online en milisegundos, de modo que se insertan anuncios de manera automática y a tiempo real.

¿Cómo funciona esto de manera práctica? La huella digital del dispositivo genera una gran cantidad de datos sobre nuestra actividad en internet. Esta información es recogida por los publicistas, que la utilizan para localizar a su público objetivo. Los editores de las páginas web, por su parte, sacan a subasta espacios publicitarios a tiempo real, mientras el usuario está en la web. Los publicistas entonces pujan por dicho espacio y el que gana inserta su anuncio.

¿Cumple todo esto con el RGPD? La autoridad de control de Reino Unido, la ICO, ha lanzado recientemente una serie de guías al respecto sobre los desafíos para la privacidad que esta tecnología supone.

  • La mayoría está relacionado con la transparencia y el consentimiento:
    • Es complicado identificar una base legal para el tratamiento de los datos implicados en RTB, pues los escenarios donde el interés legítimo puede operar son muy limitados y el consentimiento podría ser insuficiente en consideración con los requisitos de la normativa de protección de datos;
    • las Políticas de Privacidad proporcionadas a los usuarios no son del todo claras y no ofrecen información real sobre el tratamiento y sus implicaciones;
    • la escala de la creación de perfiles personales en RTB es desproporcionada e intrusiva, sobre todo cuando la mayoría de los interesados no son ni siquiera conscientes de que el tratamiento está teniendo lugar;
    • no está claro si en las prácticas de RTB se ha tenido realmente en cuenta la información necesaria para definir al consumidor objetivo, ni si se aplican los principios de minimización de datos y limitación conforme a la finalidad;
    • en la mayoría de casos se afirma que existen contratos y acuerdos entre las diferentes partes implicadas, pero esto no resulta suficiente si se tiene en cuenta la cantidad de agentes que participan.

RTB conlleva una serie de riesgos:

  • elaboración de perfiles y toma automatizada de decisiones;
  • tratamiento a gran escala (incluidas categorías especiales de datos);
  • uso de nuevas tecnologias;
  • combinación y cruzado de datos de diferentes fuentes;
  • seguimiento de la localización y el comportamiento; y
  • tratamiento invisible.

Además, muchos sujetos no son conocedores de cómo funciona esta tecnología.

Estos elementos muestran que la naturaleza de las a suponen un alto riesgo para los derechos y libertades de los individuos. Además, los factores arriba definidos cualifican la mayoría de ellos para realizar de manera previa una Evaluación de Impacto.

En nuestra opinión, y especialmente considerando la nueva guía de cookies lanzada por la ICO, los responsables deberían realizar una serie de acciones previas al tratamiento, como elaborar Evaluaciones de Impacto y recoger el consentimiento. Asimismo, RTB debería contar con una casilla separada en el banner de cookies, al igual que se requiere para las cookies no esenciales.

Si necesitas asesoramiento en IA para tus productos y servicios, Aphaia ofrece evaluaciones de la ética de la IA y evaluaciones de impacto.