El Marco Modelo de IA de la PCPD de Hong Kong proporciona pautas para las organizaciones que utilizan sistemas de IA que tratan datos personales, enfatizando el cumplimiento con la PDPO.
El 11 de junio de 2024, la Oficina del Comisionado de Privacidad para Datos Personales (PCPD) de Hong Kong presentó su Marco de Protección de Datos Personales del Modelo de Inteligencia Artificial (Marco Modelo). Este marco sirve como un conjunto de pautas para las organizaciones que utilizan sistemas de IA con tratamiento de datos personales y subraya la importancia de cumplir con la Ordenanza de Datos Personales (Privacidad) (PDPO) y de adherirse a los seis Principios de Protección de Datos (DPP) que se detallan en el Anexo 1 durante la adquisición e implementación de sistemas de IA. El Marco Modelo presenta recomendaciones en cuatro áreas clave: estrategia y gobernanza de IA, evaluación de riesgos y supervisión humana, comunicación y participación con las partes interesadas, y personalización de modelos de IA, junto con la implementación y gestión de sistemas de IA.
El Marco Modelo de IA de Hong Kong se basa en seis principios principales de protección de datos.
Existen seis DPP principales de protección de datos en el marco de protección de datos personales de Hong Kong para los usuarios de IA. Los DPP son un conjunto de principios que rigen la recopilación, el uso y la divulgación de datos personales. El primer principio, DPP 1, Propósito y Manera de Recolección, asegura que los datos personales se recojan de manera legal y justa y que se proporcione información específica a los sujetos de datos durante el proceso. El DPP 2, Precisión y Duración de la Retención, requiere que los datos personales sean precisos, estén actualizados y se conserven solo durante el tiempo necesario. El DPP 3, Uso de Datos Personales, especifica que los datos personales deben usarse para los fines para los que fueron recopilados o un propósito directamente relacionado, a menos que el sujeto de los datos otorgue su consentimiento en contrario. El DPP 4, Seguridad de los Datos Personales, exige la aplicación de medidas de seguridad adecuadas para proteger los datos personales. El DPP 5, Información Generalmente Disponible, asegura la transparencia de los usuarios de datos respecto a los tipos de datos personales que poseen y los fines principales para su uso. El DPP 6, Acceso a Datos Personales, otorga a los sujetos de datos el derecho de acceder y corregir sus datos personales.
La PDPC, inspirada en la Guía sobre el Desarrollo Ético y el Uso de la Inteligencia Artificial, impone varias obligaciones a las organizaciones basadas en los principios de protección de datos que recoge.
Las organizaciones deben priorizar la comunicación clara y frecuente con las partes interesadas para mejorar la transparencia y fomentar la confianza. Además de explicar las decisiones y resultados de la IA, las entidades tienen que ofrecer vías para que las personas proporcionen retroalimentación, soliciten explicaciones o busquen intervención humana cuando los sistemas de IA tomen decisiones personales significativas. De acuerdo con el DPP 1(3) y el DPP 5, los sujetos de datos tienen derecho a ser informados sobre el propósito del uso de los datos (por ejemplo, entrenamiento o personalización de IA), los posibles destinatarios (por ejemplo, proveedores de IA) y las políticas de la organización respecto a los datos personales en el contexto de la IA. También tienen derecho a presentar solicitudes de acceso y corrección de datos bajo las secciones 18 y 22 de la PDPO, que pueden ser facilitadas por las organizaciones a través de sus proveedores de IA. El Marco Modelo también hace referencia a la Guía sobre el Desarrollo Ético y el Uso de la Inteligencia Artificial, emitida por la PCPD en 2021, que está dirigida principalmente a las organizaciones involucradas en el desarrollo y uso de sistemas de IA basados en datos personales. El Marco Modelo, por otro lado, se centra en las empresas que adquieren soluciones de IA de los desarrolladores.
Las organizaciones deben desarrollar una estrategia interna de IA y establecer un comité de gobernanza de IA para la formación de los empleados en leyes de protección de datos para prevenir el uso no autorizado de datos personales y protegerlos.
El Marco Modelo recomienda que las organizaciones desarrollen una estrategia interna de IA para guiar la implementación y el uso de soluciones de IA. Esta estrategia debe delinear los propósitos para los que se pueden adquirir soluciones de IA y los métodos para implementar y utilizar sistemas de IA. Al implementar sistemas de IA, es probable que un proveedor de IA que ofrezca una plataforma para la personalización de IA sea considerado un encargado de tratamiento según la PDPO. En consecuencia, cualquier organización (usuario de datos) que transfiera datos personales a un proveedor de IA (encargado de tratamiento) debe emplear medidas contractuales u otras medidas para evitar el acceso, tratamiento, eliminación, pérdida o uso no autorizados o accidentales de los datos personales, tal como lo exige el DPP 4(2) de la PDPO. El DPP 4 exige que los usuarios de datos tomen todas las medidas posibles para salvaguardar los datos personales en su posesión contra el acceso, tratamiento, eliminación, pérdida o uso no autorizados o accidentales. En los casos en que un usuario de datos contrate a un encargado de tratamiento, el usuario de datos está obligado a implementar medidas contractuales o alternativas para garantizar que el encargado de tratamiento cumpla con el requisito de seguridad de datos antes mencionado. Además, el Marco Modelo recomienda que las organizaciones establezcan un comité de gobernanza de IA, que debe incluir expertos en varios campos y proporcionar formación relacionada con IA a los empleados, incluido en leyes de protección de datos para los usuarios de sistemas de IA que no provengan de un ámbito legal.
El Marco Modelo de IA de Hong Kong destaca la importancia de la evaluación de riesgos, la preparación de datos y el cumplimiento de las regulaciones de privacidad en la implementación de IA.
El Marco Modelo de IA de Hong Kong enfatiza la importancia de realizar una evaluación exhaustiva de riesgos para identificar, analizar y evaluar sistemáticamente los posibles riesgos, incluidos los riesgos de privacidad, involucrados en la implementación de IA. Se resalta la importancia de la preparación y gestión de datos en la personalización y despliegue de sistemas de IA. Para asegurar el cumplimiento de la PDPO, las organizaciones deben minimizar la recopilación de datos personales de manera que sólo se deben recopilar y utilizar los datos necesarios para personalizar u operar la IA, y cualquier dato adicional debe ser descartado de acuerdo con la sección 26 de la PDPO. En ciertos casos, deberá considerarse el uso de datos anonimizados, pseudonimizados o sintéticos para la personalización de IA. Las organizaciones tienen que documentar adecuadamente el uso de datos para la personalización y el empleo de IA a fin de garantizar la seguridad de los datos y el cumplimiento con los requisitos de la PDPO. Aunque el Marco Modelo no es legalmente vinculante, sirve como una valiosa guía y lista de verificación para las empresas que buscan adoptar IA en sus operaciones, ayudándolas a minimizar los riesgos asociados con la adquisición e implementación de IA. Las empresas deben permanecer atentas y mantenerse al día con futuras actualizaciones regulatorias relacionadas con la adopción de IA.
Descubre cómo Aphaia puede ayudarte a cumplir con la normativa de protección de datos y diseñar tu estrategia de datos e IA. Ofrecemos soluciones combinadas de la Ley europea de IA y el RGPD. Estamos especializados en impulsar a empresas como la tuya con soluciones innovadoras pensadas para cubrir con los requisitos del panorama actual de datos. Contacta con nosotros hoy.
