El uso de herramientas de Inteligencia Artificial (IA) es cada vez más frecuente tanto en contextos organizativos como personales. La gama de herramientas de IA y los tipos de información que procesan se están ampliando rápidamente.
Este artículo explora las consideraciones clave que las organizaciones deben tener en cuenta al utilizar herramientas de IA para garantizar el cumplimiento de las leyes de protección de datos.
Legislación británica sobre protección de datos
El marco de protección de datos del Reino Unido consta de los siguientes elementos:
- La versión de Derecho comunitario de la Reglamento general de protección de datos (UE 2016/679);
Es importante señalar que el Reglamento general de protección de datos de la UE (UE 2016/679) tiene efecto extraterritorial y puede aplicarse también a los responsables y encargados del tratamiento de datos del Reino Unido que operen dentro de la UE.
Herramientas y datos de IA
En los últimos años hemos sido testigos del desarrollo de herramientas de IA que dependen en gran medida de los datos personales. Por ejemplo, Alexa, de Amazon, ampliamente utilizada por los residentes en el Reino Unido, recopila habitualmente cantidades sustanciales de datos, entre ellos:
- Información de pago
- Localización en directo
- Registros de solicitudes de comunicación, que pueden incluir datos personales
- Historial de compras
- Hábitos de compra
Del mismo modo, Meltwater, una herramienta de inteligencia artificial para medios de comunicación, redes sociales y consumidores, genera información sobre el comportamiento de los clientes procesando datos de diversas fuentes, como chats en directo, cuentas de redes sociales e historiales de compra.
A medida que las herramientas de IA evolucionan rápidamente, la recopilación de datos sigue siendo parte integrante de su función. Es casi seguro que los datos recogidos por algunas herramientas de IA incluirán datos personales, datos de categorías especiales y, potencialmente, datos sobre niños.
Por ello, es crucial que las organizaciones garanticen el cumplimiento de la legislación sobre protección de datos.
La orientación de la IA
La Oficina del Comisario de Información (ICO) ha elaborado orientaciones sobre la IA y la protección de datos (las "Orientación AI") para ayudar a las organizaciones a interpretar la legislación pertinente sobre protección de datos en su aplicación a la IA. Las Orientaciones sobre la IA también formulan recomendaciones sobre buenas prácticas en materia de medidas organizativas y técnicas para mitigar los riesgos que la IA puede suponer para las personas.
El ICO define la IA en sentido amplio, reconociéndola como un término estándar del sector que engloba diversas tecnologías. Un área clave de la IA es el "aprendizaje automático", que implica el uso de técnicas computacionales para crear modelos estadísticos a partir de grandes conjuntos de datos. Estos modelos se utilizan después para hacer predicciones o clasificaciones sobre nuevos datos, y gran parte del interés actual por la IA gira en torno al aprendizaje automático.
Por lo tanto, las Orientaciones sobre la IA abordan principalmente los riesgos y desafíos para la protección de datos que plantea la IA basada en el aprendizaje automático. Sin embargo, también reconoce que otras formas de IA pueden presentar retos adicionales para la protección de datos.
¿A quién se aplican las Orientaciones sobre la IA?
Las Orientaciones sobre la IA van dirigidas a dos amplios públicos:
- Los que se centran en el cumplimientoincluyendo:
- Responsables de protección de datos
- Abogado general
- Gestores de riesgos
- Alta dirección
- Los propios auditores de la ICO, que utilizarán las Orientaciones sobre IA para informar de sus funciones de auditoría en virtud de la legislación sobre protección de datos.
- Especialistas en tecnologíaincluyendo:
- Desarrolladores de aprendizaje automático y científicos de datos
- Desarrolladores/ingenieros de software
- Ciberseguridad y gestores de riesgos informáticos
Este artículo se centra en los aspectos de las Directrices sobre AI que son relevantes para quienes se centran en el cumplimiento. Sin embargo, se anima a las organizaciones a considerar las Directrices en su totalidad.
Aspectos clave de las Orientaciones sobre la IA
Las Orientaciones sobre IA son amplias y detalladas. A continuación, destacamos los puntos clave para las organizaciones que utilizan IA.
¿Cuáles son las implicaciones de la IA para la rendición de cuentas y la gobernanza?
Las organizaciones deben:
- Alinear sus estructuras internas, funciones y responsabilidades, requisitos de formación, políticas e incentivos con sus estrategias de gobernanza y gestión de riesgos de la IA.
- Demostrar continuamente cómo han abordado la protección de datos desde el diseño y las obligaciones por defecto.
- Garantizar que sus capacidades de gobernanza y gestión de riesgos sean proporcionales a su uso de la IA.
- Desarrollar un marco general de rendición de cuentas como punto de partida para demostrar su responsabilidad en virtud de la legislación sobre protección de datos, sobre el que puedan basar su enfoque de la rendición de cuentas en materia de IA.
¿Cómo garantizar la transparencia en la IA?
- Las organizaciones deben ser transparentes sobre la forma en que tratan los datos personales en los sistemas de IA para cumplir el principio de transparencia.
- Antes de iniciar cualquier tratamiento de datos personales, una organización debe tener en cuenta sus obligaciones de transparencia hacia las personas cuyos datos personales pretende tratar.
- La organización debe incluir en su información sobre privacidad detalles sobre los fines del tratamiento de datos personales, los periodos de conservación de esos datos y las entidades con las que se compartirán.
- Si los datos se recogen directamente de las personas, la información sobre privacidad debe facilitarse en el momento de la recogida, antes de que se utilicen para entrenar un modelo o aplicar dicho modelo. Si los datos se recogen de otras fuentes, la información sobre privacidad debe facilitarse en un plazo razonable, no superior a un mes.
¿Cómo garantizar la legalidad en la IA?
- Para cumplir el principio de legalidad, una organización debe desglosar cada operación de tratamiento distinta, identificando la finalidad y una base jurídica adecuada para cada una.
- Siempre que se traten datos personales, ya sea para entrenar un nuevo sistema de IA o para hacer predicciones utilizando uno existente, la organización debe tener una base adecuada para hacerlo.
¿Qué deben saber las organizaciones sobre imparcialidad y precisión estadística?
- La precisión estadística se refiere a la proporción de respuestas correctas e incorrectas producidas por un sistema de IA.
- Los sistemas de IA deben ser lo suficientemente precisos desde el punto de vista estadístico para garantizar que el tratamiento de datos personales cumple el principio de equidad.
- Para cumplir el principio de imparcialidad, las organizaciones deben garantizar que los datos personales se tratan de la forma que las personas esperarían razonablemente y no de una forma que tenga efectos adversos injustificados sobre ellas.
- Las organizaciones deben evitar el tratamiento de datos personales de forma indebidamente perjudicial, inesperada o engañosa para las personas afectadas. La mejora constante de la precisión estadística de los resultados de un sistema de IA es una forma de garantizar el cumplimiento del principio de equidad.
¿Cómo deben evaluar las organizaciones la seguridad y la minimización de datos en la IA?
- Al tratar datos personales, las organizaciones deben garantizar niveles adecuados de seguridad contra el tratamiento no autorizado o ilícito, la pérdida accidental, la destrucción o los daños.
- Las medidas de seguridad que adopte una organización deben ser proporcionales al nivel y tipo de riesgos derivados de las actividades específicas de tratamiento.
- Para garantizar la seguridad de los datos de formación, los equipos técnicos deben registrar y documentar todos los movimientos y el almacenamiento de datos personales. Además, deben eliminarse todos los archivos intermedios que contengan datos personales que ya no sean necesarios.
- Independientemente de si los sistemas de IA se desarrollan internamente, externamente o mediante una combinación de ambos, las organizaciones deben evaluarlos para detectar riesgos de seguridad.
- El personal debe estar dotado de las competencias y conocimientos necesarios para hacer frente a cualquier riesgo de seguridad.
¿Cómo garantizan las organizaciones los derechos individuales en sus sistemas de IA?
- La legislación sobre protección de datos otorga a las personas varios derechos en relación con sus datos personales. En el contexto de la IA, estos derechos se aplican siempre que se utilicen datos personales en cualquier fase del desarrollo y despliegue de un sistema de IA.
- El derecho de rectificación, por ejemplo, puede aplicarse a los datos personales utilizados para entrenar un sistema de IA. Cuanto mayor sea la importancia de la exactitud de estos datos, más esfuerzos deberán invertir las organizaciones en verificar su exactitud y rectificarlos en caso necesario.
- Las organizaciones también pueden recibir solicitudes de supresión de datos personales dentro de los datos de formación. Aunque el derecho de supresión no es absoluto, estas solicitudes deben tenerse en cuenta a menos que los datos se traten en virtud de una obligación legal o una misión pública.
- Para garantizar la equidad y la transparencia, las organizaciones deben informar a las personas si sus datos personales se utilizan para entrenar un sistema de IA. Esta información debe facilitarse en el momento de la recogida de datos.
Contáctenos - AI and Data Protection Solicitors
Sali Zaher, Litigios comerciales Associate, puede ayudarle en litigios relacionados con la IA y la protección de datos. Si tiene alguna duda sobre este tema, póngase en contacto con Sali Zaher por correo electrónico a S.Zaher@rfblegal.co.uk o por teléfono en 020 7467 5766.
Sali Zaher
Abogado asociado
