Recomendación de la UNESCO sobre la ética de la IA

Los Estados Miembro han alcanzado un acuerdo sobre la Recomendación de la UNESCO sobre la ética de la IA. 

 

La Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura (UNESCO) han alcanzado un acuerdo en relación a la Recomendación sobre la ética de la Inteligencia Artificial (IA). La primera versión del documento fue enviada a los representantes de los Estados Mimbro en septiembre de 2020. Después, representantes del Comité especial intergubernamental de técnicos y expertos legales se reunieron en abril y junio de este año para examinarla. La Recomendación sería así la primera en establecer un marco global para la ética de la IA. El borrador final será presentado a los Estados Miembro para su adopción en la 41º sesión de la Conferencia General de la UNESCO en noviembre.

 

La Recomendación aborda las cuestiones éticas de la IA de la forma en que indica la UNESCO. Se ha tomado un enfoque holístico, comprensivo, multicultural y evolutivo y el objetivo es afrontar la responsabilidad derivada de las tecnologías de IA, tanto sus aspectos conocidos como los desconocidos. El documento define la IA como “tecnologías de procesamiento de información que integran modelos y algoritmos que generan capacidad de aprendizaje y desarrollo de tareas cognitivas que conducen a resultados como predicción y toma automatizada de decisiones en entornos materiales y virtuales”. La Recomendación se centra en las implicaciones éticas de la IA desde una perspectiva amplia vinculada con las funciones de la UNESCO, que incluye educación, ciencia, cultura, comunicación e información.  

 

La Recomendación de la UNESCO sobre ética de la IA pretende establecer un marco para guiar las diferentes etapas del ciclo de vida de los sistemas de IA a fin de promover los derechos humanos.  

 

El objetivo de la Recomendación de la UNESCO sobre la ética de la IA es influir en las acciones de los individuos, grupos, comunidades, compañías privadas e instituciones para asegurar que la ética reside en el centro de los sistemas de IA, y busca impulsar el diálogo y el consenso a través de generar comunicación en las materias relacionadas con la ética de la IA a un nivel multidisciplinar y con participación de varias partes interesadas. Este marco universal de valores, principios y acciones se orienta a proteger, promover y respetar los derechos y libertades humanos, igualdad, dignidad, diversidad y preservación del medioambiente, en cada etapa del ciclo de vida del sistema de IA. La Recomendación incluye un conjunto de valores y principios que deberán respetar todos los actores en el campo de la IA durante todo el proceso de desarrollo y utilización de la misma. Los valores juegan un papel esencial como ideales motivadores en el establecimiento de políticas, normas legales y acciones y se basan en el reconocimiento de que la confiabilidad e integridad de la IA es determinante para asegurar que esta tecnología actuará por el bien de la humanidad. 

 

La Recomendación incluye una compilación de valores considerados aptos para cumplir con el estándar ético de IA definido por la UNESCO. 

 

La Recomendación de la UNESCO sobre la ética de la IA se erige sobre los valores de respeto, protección y promoción de los derechos humanos y libertades fundamentales en torno a la dignidad inherente de cada ser humano, independientemente de la raza, el color, descendencia, edad, género, idioma, condición socioeconómica, discapacidad o cualquier otro factor. También defiende que debería apoyarse el desarrollo de los ecosistemas y el medio ambiente, para promoverlos y protegerlos a lo largo de todo el ciclo de vida de los sistemas de IA. La Recomendación pretende asegurar que la diversidad y la inclusión convivan en sociedades pacíficas, justas e interconectadas.  

 

El documento también recoge varios principios que deberían regir la tecnología que incorpore IA, en todas las etapas de su ciclo de vida. 

 

De manera similar a las Directrices Éticas para una IA Fiable del Alto Grupo de Expertos en IA (AI HLEG), la UNESCO ha destacado los principios clave sobre los que debería operar una IA fiable, entre los que cabe destacar la proporcionalidad, la seguridad, la sostenibilidad y el derecho a la privacidad y protección de datos, los cuales se explican en detalle. La Recomendación afirma claramente que deberá ser siempre posible atribuir responsabilidad ética y legal a cualquier etapa del ciclo de vida del sistema de IA. Los principios de transparencia, explicabilidad, responsabilidad, rendición de cuentas y supervisión y determinación humanas se encuentran en la base de la Recomendación, con una mención específica a la participación de los actores interesados y gobernanza y colaboración adaptativas, para asegurar que los Estado cumplen con la normativa internacional mientras que regulan los datos que atraviesan su territorio.

 

La Recomendación de la UNESCO sobre la ética de la IA determina diferentes áreas con el objetivo de operacionalizar los valores y principios que subraya. 

 

La Recomendación anima a los Estado Miembro a establecer medidas efectivas para asegurar que otros actores interesados incorporan los valores y principios de una tecnología IA ética. La UNESCO reconoce que los diversos Estados Miembro se encontrarán en varias fases de preparación para implementar la Recomendación, de forma que se desarrollará un informe de evaluación para determinar la situación de cada Estado Miembro. La Recomendación sugiere que todos los Estados Miembro deberían introducir marcos de evaluación de impacto para identificar y medir beneficios, preocupaciones y riesgos en torno a los sistemas de IA. Además, los Estado Miembro deberían asegurar que los procedimientos de gobernanza de IA son inclusivos, transparentes, multidisciplinarios, multilaterales y multiparte. La gobernanza debería garantizar que cualquier daño generado a través de sistemas de IA es investigado y rectificado, mediante la promulgación de mecanismos sólidos de aplicación y medidas coercitivas. Las políticas de datos y la cooperación internacional son también extremadamente importantes en este marco global. La Recomendación incluye una serie de sugerencias sobre cómo los Estados Miembro deberían evaluar el impacto directo e indirecto de los sistemas de IA, en cada punto de su ciclo de vida y sobre el medio ambiente y los ecosistemas. También defiende que las políticas que rodean las tecnologías digitales y la IA deberían contribuir a alcanzar de manera plena la igualdad de género, la preservación de la cultura, la educación y la investigación, así como el acceso a información y conocimiento. Asimismo, la Recomendación realiza una mención específica sobre cómo los Estados Miembro deberían velar por la preservación de la salud y el bienestar a través del uso y prácticas éticas de IA.  

Cristina Contero Almagro, Socia de Aphaia, señala que “La Propuesta de Reglamento para la regulación de IA publicada por la Comisión Europea en abril de 2021 y esta Recomendación sobre la ética de la IA presentada por la UNESCO muestra el interés de las instituciones en regular la IA, tanto a nivel europeo como a nivel global. Las empresas que utilicen IA tienen ahora su oportunidad para adaptar sus sistemas y practices a fin de estar preparadas antes de que elm arco normative se haga obligatorio”.  

 

¿Utilizas IA y necesitas ayuda para cumplir con la normativa? Podemos ayudarte. Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

CEPD y el SEPD lanzan una opinión

El CEPD y el SEPD lanzan una opinión conjunta que plantea la prohibición del reconocimiento facial

El CEPD y el SEPD han realizado una petición conjunta para la prohibición del reconocimiento facial automatizado en espacios públicos. 

 

El CEPD y el SEPD proponen una prohibición del uso de IA para identificación biométrica en espacios públicos, lo que incluiría reconocimiento facial, huellas dactilares, ADN, reconocimiento de voz y otros indicadores biométricos y de comportamiento. Esta petición llega después de que la Comisión Europea haya elaborado, a principios de este año, normas armonizadas sobre Inteligencia Artificial. Mientras que el CEPD y el SEPD acogen la introducción de normas que regulan el uso de sistemas de IA en la UE por instituciones, organismos o agencias, ambos han expresado su preocupación en torno a la exclusión en la propuesta de cooperación internacional para la toma de acciones legales. Asimismo, el CEPD y el SEPD destacan que es necesario aclarar que la actual normativa de protección de datos de la UE se aplica a cualquier tratamiento de datos personales bajo el ámbito de la propuesta de regulación de los sistemas de IA.  

El CEPD y el SEPD solicitan una prohibición general del uso de IA en espacios públicos, especialmente en aquellos casos que puedan resultar en discriminación.  

 

En la opinión conjunta que el CEPD y el SEPD han publicado recientemente, ambos reconocen que la identificación biométrica en espacios públicos presenta grandes riesgos, especialmente en el caso de aquellos sistemas que emplean datos biométricos para clasificar a los sujetos conforme a información relativa a etnia, género, orientación política o sexual u otros campos sobre los cuales se prohíbe la discriminación. De acuerdo al Artículo 21 de la Carta de Derechos Fundamentales de la UE “Se prohíbe toda discriminación, y en particular la ejercida por razón de sexo, raza, color, orígenes étnicos o sociales, características genéticas, lengua, religión o convicciones, opiniones políticas o de cualquier otro tipo, pertenencia a una minoría nacional, patrimonio, nacimiento, discapacidad, edad u orientación sexual”. El CEPD y el SEPD también solicitan que se prohíba el uso de IA con la finalidad de inferir el estado emocional de las personas, excepto en escenarios específicos, como por ejemplo en casos donde esto sea necesario en el campo de la salud. Sin embargo, ambas instituciones mantienen que cualquier uso de este tipo de IA con el objetivo de clasificación o puntuación social debería quedar estrictamente prohibido. Dr. Bostjan Makarovic, Socio Gerente de Aphaia, recuerda que “Debería tenerse en cuenta que un sistema general de reconocimiento facial en espacios públicos dificulta que se pueda informar a los interesados sobre dicha práctica, lo cual también hace imposible oponerse al tratamiento, incluida la elaboración de perfiles”. 

 

El CEPD y el SEPD consideran que se precisa mayor claridad sobre el rol del SEPD como autoridad de control competente.  

 

Las organizaciones valoran de manera positiva que la Comisión Europea designe al SEPD como la autoridad de control y organismo supervisor para las instituciones, agencias y cuerpos dentro de la Unión Europea. Sin embargo, consideran que se requiere mayor transparencia sobre las tareas específicas asignadas al SEPD en dichas funciones. El CEPD y el SEPD reconocen que las autoridades de control nacionales ya están aplicando el RGPD y la Directiva 2016/680 en el contexto de IA que implique el tratamiento de datos personales, pero sugieren un enfoque regulatorio más armonizado, que incluya a las autoridades de control como las autoridades de supervisión nacionales designadas y una interpretación consistente de las provisiones de tratamiento de datos a lo largo de la UE. Por otro lado, su comunicado también demanda una mayor autonomía para el Comité Europeo de Inteligencia Artificial a fin de evitar conflicto y crear una atmosfera apropiada para una institución europea de IA libre de influencia política. 

 

Visita nuestro vlog para más información sobre reconocimiento facial en espacios públicos.

¿La IA forma parte de tus productos o servicios y necesitas ayuda para cumplir con la normativa? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

el sector Fintech

La ética de la IA en el sector Fintech

Conforme el mundo del Fintech evoluciona, la necesidad de contar con un marco regulatorio y ético que lo gobierne toma especial importancia. 

El término “Tecnología Financiera” o “Fintech” se refiere a la nueva tecnología que busca mejorar y automatizar los servicios financieros. Esta tecnología ayuda con la gestión de los aspectos financieros de un negocio o las finanzas personales a través de la integración de sistemas IA. En términos generales y como ejemplo, estamos hablando de la banca online, las aplicaciones de pago, las criptomonedas y las plataformas de crowdfunding, entre otros, a través de los cuales los consumidores están siendo testigos de la aplicación práctica del Fintech y el valor que puede aportar a sus vidas. Sin embargo, al igual que ocurre con cualquier aplicación disruptiva y la IA, deberían existir ciertas medidas que velen por la integración segura de esta tecnología en nuestro día a día, de manera que se genere confianza por parte de la sociedad.   

Legislación y directrices en torno al Fintech y la ética de la IA.

Alguna normativa, como la Directiva de Servicios de Pago (PSD2), que regula a nivel europeo los pagos electrónicos, ya alcanza también el sector Fintech. Esta Directiva armoniza dos servicios cuyo uso se ha extendido en los últimos años: por un lado, los servicios de iniciación de pagos (PIS) y, por otro, los servicios de información de cuenta (AIS). Los proveedores PIS facilitan el uso de la banca online para hacer pagos electrónicos, mientras que los proveedores AIS permiten la recogida y almacenamiento de información de las diferentes cuentas bancarias del consumidor en un solo lugar. Con la creciente popularidad de esta tecnología y otras formas de Fintech, y tomando en consideración de que la experiencia aporta una mayor perspectiva sobre el impacto que esto puede tener en la Sociedad, se espera que se desarrolle nueva normativa en el futuro. 

Los datos financieros son datos sensibles y de gran valor, y por ello se requiere especial protección sobre los mismos. La legislación y las directrices que se encuentran actualmente disponibles tienen el objetivo de ayudar con el cumplimiento de los principios que deberían primar, tales como la solidez técnica y la seguridad, la privacidad y el gobierno del dato, la transparencia y la diversidad, la no discriminación y la justicia. Todos ellos son necesarios para que el uso del Fintech sea seguro y beneficioso para todas las partes implicadas. 

Solidez técnica y seguridad.

La seguridad de los datos personales y financieros son uno de los principales factores a considerar cuando se toman decisiones sobre qué herramientas emplear para gestionar las finanzas. Una brecha de seguridad que afecte a la información financiera podría tener graves efectos en los interesados debido a la naturaleza sensible de los datos. En consecuencia, las instituciones financieras y las compañías Fintech priorizan el desarrollo y la implementación de medidas que aseguren una transacción segura a través de la tecnología, tales como, el cifrado, el control de acceso, tests de penetración, tokenización, la autenticación de doble factor, procesos de aprobación multietapas y políticas de backup, las cuales refuerzan la seguridad en el usuario y los protegen de ataques malware, brechas de seguridad y robos de identidad, entre otros factores de riesgo. 

Privacidad y gobierno del dato.

El artículo 22 de RGPD prohíbe que un interesado quede sujeto a una decisión basada únicamente en el tratamiento automatizado, salvo en determinadas circunstancias. La toma automatizada de decisiones en la industria Fintech puede producir efectos jurídicos o de consecuencias similares en los individuos, de manera que tendrían que estar sujetas a requisitos adicionales. Asimismo, una Evaluación de Impacto de Protección de Datos puede ser necesaria a fin de determinar los riesgos que se pueden derivar para los sujetos y la mejor manera de mitigarlos. Además, cabe recordar que cuando se trate de categorías especiales de datos,  las decisiones automatizadas sólo podrán tener lugar si se cuenta con el consentimiento explícito del interesado o si es necesario por razones de interés público esencial. Una automatización robótica de procesos puede traer grandes beneficios para las empresas, pero se debe hacer en cumplimiento con el RGPD para asegurar que ninguna toma automatizada de decisiones resulta en prácticas peligrosas para los derechos y libertades de los sujetos. 

Diversidad, no discriminación y justicia.

Son varios los estudios que hasta ahora se han realizado para explorar los niveles de equidad de la tecnología Fintech, y la posible existencia de discriminación en la concesión de créditos y otros aspectos de la industria. Los algoritmos pueden bien perpeturar los sesgos humanos o desarrollar los suyos propios. Algunos sesgos comunes en el sector financiero surgen alrededor del género, el origen étnico o racial y la edad. La tecnología IA, y especialmente en el sector Fintech, donde los sesgos pueden afectar a circunstancias como el acceso individual a un préstamo y las oportunidades que ello ofrece, deben prevenir la discriminación y proteger la diversidad. Elementos como emplear datos de entrenamiento de calidad, seleccionar el modelo de aprendizaje adecuado y trabajar con un equipo multidisciplinar pueden ser útiles para reducir el sesgo.

Transparencia. 

Mientras que el uso de IA ha generado una transformación positiva en la industria financiera, la cuestión alrededor de cómo se aplica la ética de la IA es inevitable. El principio de transparencia ofrece una oportunidad de introspección en relación a aspectos éticos y regulatorios, a fin de darles una solución.  Los algoritmos empleados en el sector Fintech deberían ser transparentes y explicables. La autoridad de control de Reino Unido, ICO, y el Instituto Alan Turing han desarrollado sus directrices “Explicando decisiones tomadas con IA” para ayudar a las empresas con este cometido, donde sugieren elaborar una “matriz de transparencia” para mapear las diferentes categorías de información frente a las partes relevantes en cada caso.  IA fiable es IA que se adoptará y aceptará con más facilidad por parte de los sujetos. La transparencia en los modelos y procesos Fintech y en otras tecnologías de IA permite dar una respuesta a los sesgos y otros dilemas que surgen con la implementación y uso de la misma. 

No te pierdas nuestro vlog sobre la ética de la IA en el sector Fintech:

https://www.youtube.com/watch?v=C3gsqKcjufs

Puedes aprender más sobre ética y regulación de la IA en nuestro Canal de Youtube

¿Tienes dudas sobre la regulación del sector Fintech? Podemos ayudarte. Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

La AEPD publica

La AEPD publica una guía para auditorías de tratamientos que incluyan IA

La AEPD ha publicado una guía que incluye una serie de requisitos que deberían aplicarse en las auditorías de tratamientos que incluyan componentes de IA 

A principios de este mes, la AEPD publicó una guía sobre los “Requisitos para Auditorías de Tratamiento que incluyan IA”, donde elabora sobre los principales controles que deberían aplicarse a las auditorías de actividades de tratamiento que comprendan componentes de IA. 

Las auditorías son parte de las medidas técnicas y organizativas reguladas en el RGPD y se consideran esenciales para configurar una óptima protección de los datos personales. La guía de la AEPD contiene una lista de controles entre las que el auditor habrá de seleccionar las que considere adecuadas para su caso concreto, en función de varios factores, como: la forma en la que el tratamiento puede influir en el cumplimiento con el RGPD, el tipo de componente de IA empleado, la categoría de actividades de tratamiento y los riesgos que estas suponen para los derechos y libertades de los sujetos.  

Características especiales de la metodología en las auditorías de IA 

La AEPD señala que el proceso de auditoria debería articularse en torno a los principios recogidos en el RGPD, a saber: licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad, y responsabilidad proactiva.

La AEPD también aclara que no se espera una aplicación conjunta de todos los controles detallados en la guía, sino que se deberán seleccionar en cada caso los que sean más relevantes según el alcance de la auditoría y los objetivos perseguidos.  

¿A qué tipo de tratamientos se aplican estos requisitos y quién debería cumplir con ellos? 

Las siguientes premisas serán necesarias para decidir sobre la idoneidad de los requisitos de la guía en un determinado proceso de auditoría:

  • Existe, o se pretende realizar, un tratamiento de datos personales en alguna de las etapas del ciclo de vida del componente IA o
  • El tratamiento se dirige a perfilar al individuo o a ejecutar decisiones automáticas sobre personas físicas que tengan efectos jurídicos sobre ellas o les afecten significativamente.

La AEPD establece que en algunas situaciones podría ser recomendable desarrollar una serie de evaluaciones previas antes de progresar con la auditoria, como serían, entre otros, un análisis previo del grado de anonimización alcanzado para los datos utilizados en el tratamiento en general y por el componente en particular, el cálculo o estimación del posible riesgo de reidentificación que existe, o una evaluación del cálculo del riesgo de pérdida de datos en la nube.

La guía está especialmente dirigida a responsables que han de auditar tratamientos que incluyan componentes basados en IA, a encargados y desarrolladores que quieran ofrecer garantías sobre sus productos y servicios, a los Delegados de Protección de Datos y a los equipos de auditores cuando se ocupen de la evaluación de dichos tratamientos.

Objetivos de control y controles

El contenido principal de la guía está constituido por cinco áreas de auditoria que se dividen en varios objetivos, los cuales a su vez contienen los diferentes controles entre los cuales los auditores, o la persona a cargo del proceso según corresponda, podrán hacer su selección para el caso concreto que les ocupe. 

La AEPD ofrece una lista exhaustiva que abarca más de cien controles, los cuales hemos resumido en los próximos párrafos. 

  • Identificación y transparencia del componente

Este área comprende los siguientes objetivos: inventario del componente IA auditado, identificación de responsabilidades y transparencia. 

La AEPD enfatiza la importancia de conservar registros tanto del componente -entre los que se incluyen el identificador, la version, la fecha de creación y el histórico- como de las personas que se encuentran a cargo del proceso -entre otros, sus datos de contacto, funciones y responsabilidades-. Se dan también algunas consideraciones en cuanto a la información que debe estar disponible para las partes interesadas, especialmente en lo que se refiere a las fuentes de datos, las categorías de datos involucradas, el modelo, la lógica y los mecanismos de rendición de cuentas.  

  • Propósitos del componente IA

Se dan numerosos objetivos dentro de esta segunda área: identificación de las finalidades, usos previstos y contexto de uso del componente IA, análisis de proporcionalidad y necesidad, determinación de los destinatarios de los datos, limitación de la conservación de datos y análisis de las categorías de interesados. 

Los controles asociados a estos objetivos se basan en los estándares y requisitos necesarios para alcanzar los resultados deseados y los elementos que pueden afectar a dichos resultados, como por ejemplo los factores condicionantes, las condiciones socioeconómicas y la distribución de tareas, entre otros, para lo cual se recomienda realizar un análisis de riesgos y una evaluación de impacto. 

  • Fundamentos del componente IA

Este área se construye sobre los siguientes objetivos: identificación de la política de desarrollo del componente IA, implicación del DPD, adecuación de los modelos teóricos base y del marco metodológico e identificación de la arquitectura básica del componente. 

Los controles definidos en esta sección se relacionan en esencia con los elementos formales del proceso y la metodología aplicada, y se enfocan a asegurar la interoperabilidad entre la política de desarrollo del componente de IA y la política de privacidad, a definir los requisitos que debería cumplir el DPD y garantizar su oportuna participación, así como a fijar los procesos de revisión correspondientes. 

  • Gestión de los datos

La AEPD detalla cuatro objetivos para este área: aseguramiento de la calidad de los datos, determinación del origen de las fuentes de datos, preparación de los datos y control de sesgo. 

Mientras que la protección de datos es en efecto el ‘leitmotiv’ de toda la guía, esta materia está en especial presente en este capítulo, el cual cubre aspectos como el gobierno del dato, la distribución de variables y proporcionalidad, las bases legítimas de tratamiento, la lógica en la selección de las fuentes de datos y la categorización de los datos y las variables. 

  • Verificación y validación

Son siete los objetivos que se persiguen bajo esta área: adecuación del proceso de verificación y validación del componente IA, verificación y validación del componente IA, rendimiento, coherencia, estabilidad y robustez, trazabilidad y seguridad. 

Los controles que se incluyen en este área se centrar en asegurar el cumplimiento con la normativa de protección de datos durante la implementación y uso continuados del componente de IA, y se buscan garantías sobre la existencia de normas y estándares que permitan la verificación y validación de los procesos una vez que se ha integrado el componente IA, una planificación para inspecciones internas, un análisis de falsos positivos y falsos negativos, un proceso para encontrar anomalías y la identificación de comportamiento inesperado, entre otros. 

Notas finales

La AEPD concluye con un recordatorio sobre el hecho de que la guía contiene un enfoque de protección de datos para la auditoria de componentes IA, lo cual implica, por un lado, que podría requerir ser complementada con controles adicionales derivados de otras perspectivas y, por otro, que no todos los controles serán importantes para cada caso, pues deberán ser seleccionados conforme a las necesidades concretas de las circunstancias, en consideración del tipo de tratamiento, los requisitos impuestos por el cliente, las características especiales de la auditoria y su alcance y los resultados de la evaluación de riesgos. 

¿Utilizas IA en tu empresa? El futuro marco regulatorio de la UE podría afectarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de la ética de la IA y subcontratación del Delegado de Protección de DatosInfórmate aquí.