Sandbox de regulación de Inteligencia Artificial en la UE: se lanza el primer piloto

El Gobierno de España y la Comisión Europea han lanzado recientemente el programa piloto para el primer sandbox de regulación de IA. 

 

El Gobierno de España y la Comisión Europea presentaron el mes pasado un programa piloto del primer sandbox de regulación de Inteligencia Artificial. Este sandbox está enfocado a reunir a las autoridades competentes y a las empresas que desarrollan IA para determinar las mejores prácticas que guíen la implementación del futuro Reglamento de IA de la Comisión Europea (Reglamento de Inteligencia Artificial). Se ha fijado un plazo de dos años para la implementación de dicha legislación. De acuerdo a este informe de la Comisión Europea, esta iniciativa del Gobierno de España pretende operacionalizar los requisitos del futuro Reglamento de IA y otros aspectos, incluidas las evaluaciones de conformidad y las actividades posteriores de comercialización.  

 

El sandbox de regulación de IA creará una oportunidad para que innovadores y reguladores se reúnan y colaboren. 

 

Este sandbox presenta una forma de conectar a innovadores y reguladores en un entorno controlado para impulsar la cooperación entre ellos. El objetivo es facilitar el desarrollo, la prueba y la validación de sistemas de IA innovadores con total cumplimiento de los requisitos del Reglamento de IA. Se espera que esta iniciativa clarifique las mejores prácticas en la materia, fáciles de seguir y preparadas para el futuro, y que proporcione otras recomendaciones. Los resultados deberían facilitar la implementación de las normas por parte de las empresas, en concreto PyMEs y start-ups. 

 

Los resultados del piloto determinarán las orientaciones para la implementación y uso de IA a lo largo de la Unión Europea. 

 

Esta experiencia piloto permitirá documentar y sistematizar las obligaciones de los proveedores de IA y cómo estas deben implementarse, en forma de buenas prácticas y directrices de aplicación. Estas guías también incluirán métodos de control y seguimiento enfocadas a las autoridades de control que supervisen los mecanismos establecidos por el Reglamento. Si bien este proyecto está financiado por el Gobierno de España, queda abierto a otros Estados Miembro y podría potencialmente convertirse en un sandbox de regulación paneuropeo. Se espera que esta iniciativa refuerce la cooperación de todos los actores a un nivel europeo. La cooperación a nivel de la UE con otros Estados miembros se llevará a cabo en el marco del Grupo de Expertos sobre IA y Digitalización de las Empresas creado por la Comisión.

¿Tu app o tus servicios utilizan IA y necesitas ayuda para cumplir con la normativa aplicable? Podemos ayudarte. Realizamos Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y ofrecemos subcontratación del Delegado de Protección de Datos, entre otros servicios. Infórmate aquí.

La autoridad de control de Hungría multa a un banco por tratamiento ilegítimo de datos

El Banco de Budapest ha sido multado por la autoridad de control de Hungría por tratamiento ilegítimo de datos personales derivado del uso de sistemas de IA sin la suficiente transparencia. 

 

El Banco de Budapest ha sido multado recientemente por la autoridad de control de Hungría por realizar análisis automatizados de la satisfacción de los consumidores mediante el uso de IA en las llamadas de atención al cliente. Este tratamiento no se explicaba de manera clara a los interesados y derivó en una investigación sobre las acciones del responsable y sus prácticas de tratamiento de datos, en concreto en relación al análisis automatizado. La información obtenida en la investigación supuso la imposición de una multa de aproximadamente 650.000 €.

 

El nivel de satisfacción de los clientes se evaluaba a través de llamadas grabadas mediante tecnología de IA, sin informar a los interesados del tratamiento. 

 

El responsable de los datos grababa todas las llamadas de atención al cliente con el objetivo de analizarlas de manera diaria. A través de tecnología IA, se identificaban ciertas palabras clave para determinar el estado emocional del cliente en cada grabación. El resultado del análisis se almacenaba, se vinculaba a la llamada telefónica y se guardaba en el sistema durante 45 días.  El objetivo de este sistema de IA es recopilar una lista de clientes ordenada por su probabilidad de insatisfacción conforme a la grabación del audio obtenido durante la llamada. Según estos datos, se espera que determinados empleados llamen a los clientes en un esfuerzo de evaluar las razones de su insatisfacción. Los sujetos no eran informados de este tratamiento, lo que hacía imposible que ejercitasen su derecho de oposición. 

 

Los análisis indicaban que el tratamiento suponía un alto riesgo para los sujetos. 

 

Aunque el responsable del tratamiento realizó una evaluación de impacto y una evaluación de interés legítimo que confirmaron que el tratamiento implicaba un alto riesgo para los derechos de los interesados, no se llevó a cabo ninguna acción para mitigar los riesgos. Ninguno de estos análisis incluía una plan para reducir el riesgo y las medidas que se habían identificado sobre el papel eran insuficientes o inexistentes. Debido a que es difícil utilizar IA de manera completamente transparente y segura y a que se pueden derivar resultados sesgados, en estos casos se precisan medidas de seguridad adicionales. 

 

La autoridad de control de Hungría requirió al responsable adaptar sus sistemas y tratamientos para cumplir con la normativa, así como el pago de una multa administrativa. 

 

La autoridad de control de Hungría consideró que se trataba de un incumplimiento grave de varios artículos del RGPD, y también consideró el período de tiempo por el cual dichas infracciones persistieron. En consecuencia, requirió al responsable que cesase el tratamiento del estado emocional de sus clientes y que solo continuase con el mismo si podía hacerlo en cumplimiento con el RGPD. Además de tener que adaptar sus sistemas y prácticas, se le impuso una multa administrative de aproximadamente 650.000 €.

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

La CNIL publica recursos de IA para apoyar a los profesionales

La CNIL publica una serie de recursos de IA en un esfuerzo por ayudar a los profesionales a cumplir con las normas aplicables. 

 

El incremento del uso de sistemas de IA a lo largo de los años presenta nuevos desafíos en el campo de protección de datos. Como parte de su misión relativa a la información y protección de los derechos, la CNIL ha publicado un conjunto de recursos dedicados a la IA, para ayudar a los profesionales, especialistas y el público en general. Este contenido forma parte de una estrategia europea mayor, que pretende promover la excelencia en el campo de la inteligencia artificial, e incluye normas enfocadas a garantizar la fiabilidad de las tecnologías IA. En concreto, se trata de desarrollar un marco normative sólido para la IA que se base en derechos humanos y valores fundamentales, para obtener así la confianza de los ciudadanos europeos. 

 

Además de ayudar a los profesionales a cumplir con las normas aplicables, los recursos de IA de la CNIL se orientan a especialistas en la materia y serán asimismo útiles para el público en general. 

 

Los recursos se orientan a tres sectores en concreto: profesionales de lA, que serían los responsables o subcontratistas, especialistas (investigadores de IA, expertos en ciencia de datos, ingenieros de machine learning, etc.) y el público en general. Estos recursos pueden ser muy útiles para aquellos miembros de la sociedad en general que estén interesados en el funcionamiento de los sistemas de IA y sus implicaciones en la vida diaria o para aquellos que deseen probar su funcionamiento. Estos recursos serán también muy útiles para los especialistas que traten con la IA de manera regular y aquellos que sientan curiosidad sobre las implicaciones que la IA conlleva para la protección de datos. Sin embargo, están principalmente pensados para profesionales, que traten datos de sistemas de IA o que pretendan hacerlo y necesiten saber cómo cumplir con el RGPD. 

Los recursos de IA de la CNIL incluyen dos extensas guías que pretenden impulsar a los profesionales a que tomen una mayor responsabilidad para cumplir con las normas aplicables en lo relativo al uso de sus sistemas de IA. 

 

Son dos los recursos publicados por la CNIL en este sentido y que pueden ser útiles para los profesionales de IA: por un lado, una guía detallada de cumplimiento con el RGPD y, por otro, una guía de autoevaluación para que las organizaciones comprueben sus sistemas de IA en relación con el marco del RGPD y sus requisitos. La guía de cumplimiento con el RGPD debería resultar práctico en todas las etapas de los sistemas de IA, desde las fases de aprendizaje hasta las de producción. Promueve una mejora y una evaluación continuas para confirmar que el sistema cumple con las necesidades operativas una vez que se ha implementado. Esta guía tiene en cuenta los retos que presentan los sistemas de IA y tiene como objetivo abordarlos de manera preventiva y constante a lo largo de su uso. La guía de autoevaluación proporcionada por la CNIL ha sido diseñada para que se utilice de forma conjunta con la guía del RGPD, y permite a los profesionales de IA comprobar la madurez de sus sistemas de IA en relación al RGPD. Se busca empoderar a estos profesionales con herramientas de enseñanza que fomentan la transparencia y los derechos de los usuarios, evitan brechas y aseguran el cumplimiento y las mejores prácticas.

¿Tu app o tus servicios utilizan IA y necesitas ayuda para cumplir con la normativa aplicable? Podemos ayudarte. Realizamos Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y ofrecemos subcontratación del Delegado de Protección de Datos, entre otros servicios. Infórmate aquí.

Clearview AI es multada y se le solicita eliminar los datos tratados de forma ilegítima

Clearview AI ha sido multada por el Garante, la autoridad de control italiana, por varias infracciones del RGPD y deberá eliminar los datos y designar a un representante europeo. 

 

La compañía Clearview AI ha sido multada por otra autoridad de control europea, Garante, según informa el EDPB en esta publicación. La autoridad de control italiana también ha ordenado a la empresa que elimine de su base de datos todos los datos de sujetos italianos. Dicha base de datos había sido construida con aproximadamente 10 billones de rostros extraídos de imágenes obtenidas de la web mediante prácticas de scraping. Garante inició una investigación después de que se elaborase un informe sobre diversos problemas generados por productos de reconocimiento facial ofrecidos por Clearview AI Inc. La investigación puso en evidencia múltiples inconsistencias. Como resultado, Garante le ha impuesto una multa de 20 millones de euros y ha ordenado la prohibición de cualquier recogida y tratamiento de datos posterior, además de la eliminación de los datos de personas en el territorio italiano, incluidos datos biométricos, que formaban parte de la base de datos de la compañía y que eran utilizados por el sistema de reconocimiento facial de la misma. Clearview AI Inc. deberá también designar un representante europeo.

 

La investigación del Garante reveló varias infracciones graves cometidas por Clearview AI Inc. 

 

Las investigaciones de la autoridad de control italiana, iniciadas tras recibir varias quejas, descubrieron que Clearview AI permite el seguimiento de los nacionales italianos y las personas localizadas en Italia. Se identificaron así una serie de infracciones cometidas por Clearview AI Inc. Los datos personales se trataban por la compañía de manera ilegítima sin una base legal apropiada, incluidos datos biométricos y de geolocalización. Además, la empresa violó numerosos principios del RGPD, incluido el principio de transparencia, el de finalidad del tratamiento, el de limitación de la finalidad y el de limitación del plazo de conservación. Asimismo, Clearview AI no proporcionaba la información requerida por los artículos 13-14 del RGPD y tampoco había designado un representante en la UE. 

 

Clearview AI ha sido multada con 20 millones de euros y deberá eliminar los datos de todos los usuarios italianos.  

 

Garante ha impuesto una multa de 20 millones de euros a la empresa, la prohibición de recoger mediante técnicas de web scraping imágenes y metadatos de personas en el territorio italiano y la de seguir tratando los datos personales en general y datos biométricos en particular de dichos sujetos que estaban en posesión de la compañía mediante su sistema de reconocimiento facial. La autoridad de control también solicitó la eliminación de todos los datos, incluidos los datos biométricos y exigió la designación de un representante europeo. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.