Saltar al contenido

¿Podemos implementar Inteligencia Artificial de forma “segura”? A cargo de Daiana Lamela Scafarelli

AD+

¿Podemos implementar Inteligencia Artificial de forma “segura”?

 Sin lugar a dudas, el “dato” o los “datos” son información de valor para las entidades que, hasta la actualidad, venían analizándose con metodologías convencionales que derivan en resultados útiles para estrategias de negocios, como, por ejemplo, en los departamentos de marketing en la elaboración de campañas o anuncios publicitarios.

Con el avance tecnológico, la inclusión de la digitalización de procesos y, sobre todo, la innovación para modificar la forma en la que venimos realizando nuestras tareas diarias, las entidades han visto que la explotación de datos con Inteligencia Artificial puede generar valiosa información que permita:

 

Es indudable las ventajas que se pueden obtener aplicando este tipo de tecnología que, entre otras, se pueden obtener resultamos como:

  • Segmentación de clientes – Campañas personalizadas
  • Análisis predictivos
  • Mejora en la obtención de resultados para estrategias de negocios

Ahora bien, centrándonos en la explotación de datos en cuanto a datos de carácter personal, por ejemplo, con finalidades de publicidad, prospección comercial, análisis de perfiles, campañas de marketing, etc., el uso de la Inteligencia Artificial (en adelante, “IA”), tiene un gran impacto en la privacidad de los interesados. Para poder implementar este tipo de tecnología en la entidad hay que tener en cuenta varios requisitos en cuanto a las obligaciones establecidas en el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, (en adelante, “RGPD) y resto de normativa vigente:

Considerandos 6 y 7 del RGPD:

“(6) La rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales. La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades. Las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial. La tecnología ha transformado tanto la economía como la vida social, y ha de facilitar aún más la libre circulación de datos personales dentro de la Unión y la transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los datos personales.

(7) Estos avances requieren un marco más sólido y coherente para la protección de datos en la Unión Europea, respaldado por una ejecución estricta, dada la importancia de generar la confianza que permita a la economía digital desarrollarse en todo el mercado interior. Las personas físicas deben tener el control de sus propios datos personales. Hay que reforzar la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las autoridades públicas.”

Por tanto, hay que garantizar la protección de los datos de carácter personal que pudieran participar en el uso de tecnología IA. Son de obligado cumplimiento los principios en materia de protección de datos en cuanto a:

  • Tratamiento lícito, leal y transparente
  • Limitación de la finalidad
  • Minimización de datos
  • Exactitud
  • Plazo de conservación
  • Integridad y Confidencialidad

Asimismo, es de aplicación el principio de Privacidad desde el Diseño y por Defecto que implica la incorporación de la privacidad desde las primeras fases del proyecto, las medidas técnicas y organizativas apropiadas, el estado de la técnica, el coste de la aplicación o los riesgos del tratamiento para los derechos y libertades de los afectados.

Antes de su implantación hay que realizar una Evaluación del Nivel de Riesgo y, en su caso, Evaluación de Impacto, para ello, tener en cuenta lo antes mencionado y, si contamos con proveedor externo el cual deberá de acreditar que se trata de un “PROVEEDOR SEGURO”.

En la Guía sobre “Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción” de la Agencia Española de Protección de Datos, se recoge lo siguiente:

“El responsable del desarrollo, mantenimiento y/o distribución de un componente IA, así como el responsable de un tratamiento que incluya componentes IA, ha de tomar, en cada una de las respectivas etapas y responsabilidades, las medidas oportunas para minimizar o eliminar los factores de riesgo.”

Otro de los requisitos es la transparencia en la información que se tiene que facilitar a los interesados. Ya es conocido el deber de informar del artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y artículo 13 del RGPD:

  • Identidad y datos de contacto del responsable
  • En su caso, datos de contacto del Delegado de Protección de Datos
  • Finalidad del tratamiento
  • Base jurídica del tratamiento
  • Destinatarios de los datos personales
  • Transferencias internacionales
  • Plazo de conservación
  • Ejercicio de derechos
  • Derecho de presentar reclamación ante la autoridad de control
  • Tratamientos posteriores

Dada la relevancia del impacto en el uso de tecnología IA la Comisión Europea ha presentado propuesta de Reglamento para regular la Inteligencia Artificial con los siguientes objetivos específicos:

  • garantizar que los sistemas de IA introducidos y usados en el mercado de la UE sean seguros y respeten la legislación vigente en materia de derechos fundamentales y valores de la Unión;
  • garantizar la seguridad jurídica para facilitar la inversión e innovación en IA;
  • mejorar la gobernanza y la aplicación efectiva de la legislación vigente en materia de derechos fundamentales y los requisitos de seguridad aplicables a los sistemas de IA;
  • facilitar el desarrollo de un mercado único para hacer un uso legal, seguro y fiable de las aplicaciones de IA y evitar la fragmentación del mercado.”

El ámbito de aplicación será para:

“a) los proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA en la Unión, con independencia de si dichos proveedores están establecidos en la Unión o en un tercer país;

b) los usuarios de sistemas de IA que se encuentren en la Unión;

c) los proveedores y usuarios de sistemas de IA que se encuentren en un tercer país, cuando la información de salida generada por el sistema se utilice en la Unión.”

 Se establecen cuatro niveles de riesgos:

  • Riesgo inaceptable: IA que supongan una amenaza para la seguridad, los medios de subsistencia y los derechos de las personas.
  • Riesgo alto: IA aplicados en infraestructuras críticas de transporte, formación educativa o carrera profesional, componentes de seguridad de los productos, contratación o gestión de trabajadores, servicios públicos y privados esenciales, aplicación de la legislación, gestión de las migraciones y control de las fronteras y la administración de justicia y procesos democráticos. En estos casos, los sistemas de Inteligencia Artificial se someterán a estrictas obligaciones, evaluación de riesgos, registro de trazabilidad, supervisión humana, información clara al usuario y un alto nivel de precisión, solidez, ciberseguridad y proveedores seguros. Está incluido identificación biométrica.
  • Riesgo limitado: se exige transparencia en la información a los interesados.
  • Riesgo mínimo: no indica ninguna medida específica.

Las infracciones por incumplimiento del Reglamento estarán sujetas a multas administrativas de hasta 30 000 000 EUR o, si el infractor es una empresa, de hasta el 6 % del volumen de negocio total anual mundial del ejercicio financiero anterior, si esta cuantía fuese superior.

Todo ello, siempre cumpliendo con el RGPD.

Por otro lado, la UNESCO crea un marco ético y político para la inteligencia artificial. La recomendación se basa en tres pilares:

Conclusión, es fundamental elaborar una hoja de ruta para el análisis previo en la implantación de tecnología IA que implique el tratamiento de datos personales para garantizar la protección de los mismos y la eficacia en cuanto a cumplir con los objetivos deseados por las entidades.

Daiana Lamela Scafarelli

7 de diciembre de 2021


Fuentes:

  • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • la Guía sobre “Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción” de la Agencia Española de Protección de Datos.
  • Propuesta de Reglamento para regular la Inteligencia Artificial de la Comisión Europea.
  • Recomendaciones uso de Inteligencia Artificial UNESCO.

Daiana Lamela Scafarelli

Socia en I+D Abogados

Nuevas Tecnologías/Privacidad/DPO

Miembro de la Asociación Profesional Española de Privacidad – APEP

dlamela@imasdabogados.es

https://www.imasdabogados.es/

 

 

 

 

 

Deja un comentario

A %d blogueros les gusta esto: