Guía sobre los requisitos para auditorías de tratamientos que incluyan inteligencia artificial (“IA”)

2021-02-05T17:42:00

El pasado 12 de enero, la Agencia Española de Protección de Datos (“AEPD”) publicó una nueva guía sobre los requisitos que deben cumplir las auditorías de tratamientos que integren Inteligencia Artificial (“Guía para auditorías de IA”).

Guía sobre los requisitos para auditorías de tratamientos que incluyan inteligencia artificial (“IA”)
5 de febrero de 2021

El pasado 12 de enero, la Agencia Española de Protección de Datos (“AEPD”) publicó una nueva guía sobre los requisitos que deben cumplir las auditorías de tratamientos que integren Inteligencia Artificial (“Guía para auditorías de IA”).

Este documento tiene su encuadre dentro de otra guía más ambiciosa, dirigida a abordar las dudas que plantea la IA en el marco de la protección de datos, Guía de Adecuación al RGPD de tratamientos que incorporan IA, publicada por la AEPD el pasado 13 de febrero de 2020.

Ambos documentos se dirigen a responsables cuyos tratamientos incorporan IA en sus procesos, así como a desarrolladores y encargados de tratamiento que den soporte a estos tratamientos.

Mientras que la primera guía introducía la relación existente entre la IA y la protección de datos durante todo su ciclo de la vida, destacando las obligaciones que se derivan en cada una de las etapas y la importancia de que estas tecnologías garanticen un cumplimiento de la normativa de protección de datos, este nuevo documento se centra, principalmente, en ofrecer unas orientaciones y un listado de criterios objetivos a incorporar, específicamente, en las auditorías de tratamientos de datos que impliquen IA.

Su ámbito de actuación es, por tanto, mucho más específico, al abordar únicamente la auditoría como posible herramienta de evaluación del cumplimiento normativo para poder garantizar que el producto final que incorpore IA cumple con la normativa de protección de datos y es, por tanto, transparente, predecible y controlable. En otras palabras, muy comunes en el ámbito de la IA, que la IA sea confiable.

A modo de resumen:

Esta última guía recoge, por tanto, lo que, de conformidad con la AEPD debería contener una auditoría en materia de protección de datos de una solución de IA, sus objetivos y controles. Entre estos objetivos y controles, destacan, por su singularidad respecto a otros tratamientos o por su relevancia en estos supuestos, los siguientes objetivos, frente a los cuales la AEPD indica diversos controles:

  • Inventariar el algoritmo auditado
  • Identificar las responsabilidades
  • Cumplir con el principio de transparencia
  • Identificar las finalidades
  • Analizar el principio de proporcionalidad (idoneidad, proporcionalidad y necesidad del tratamiento) y, en caso de ser necesario, la realización de una evaluación de impacto
  • Analizar los límites en la recogida y conservación de los datos
  • Adecuar los modelos teóricos base o el marco metodológico
  • Identificar la arquitectura básica del componente IA
  • Asegurar la calidad de los datos
  • Controlar los posibles sesgos
  • Verificar y validar las acciones realizadas y sus resultados sobre el componente IA, su rendimiento, coherencia, estabilidad y robustez (por ejemplo, si se ha evaluado el comportamiento del IA en casos de uso o entorno imprevistos, si se ha evaluado el tipo de aprendizaje de la IA y su adaptabilidad a nuevos datos o cuáles son los factores cuya variación pueda afectar las propiedad de la IA o su cumplimiento), trazabilidad (por ejemplo, si existen mecanismos de monitorización y supervisión, un control de versiones, procedimiento de reevaluación, registro de incidencias, etc.), o seguridad (por ejemplo, si se han realizado análisis de riesgos, se siguen estándares y buenas prácticas disponibles, privacidad desde el diseño y por defecto, etc.).

Muchos de estos objetivos y criterios, como el control de los sesgos o la verificación de su estabilidad, trazabilidad o seguridad, son objetivos transversales que deben ser analizados desde varios puntos de vista para valorar y controlar otras cuestiones, también relevantes y discutidas en relación con los componentes IA, como pueden ser los sesgos discriminatorios, su objetividad, su confianza o su transparencia.

No obstante, otras muchas cuestiones quedan fuera de su ámbito de aplicación y deberán ser incluidas en la valoración por parte de los auditores, como son la ética, eficiencia o la distribución de responsabilidades. Igualmente, estos controles son independientes de cualesquiera otras obligaciones puedan seguir existiendo para los responsables del tratamiento, ya sean derivadas de la normativa de protección de datos (por ejemplo, evaluaciones de impacto) como de otra normativa.

En todo caso, este listado tiene un carácter extensivo, cuya aplicación dependerá, en última instancia, del caso concreto de componente de IA en que nos encontremos y del grado de impacto y riesgo que supone en los derechos y libertades de los interesados.

Seguimos paso a paso en este largo (e interesante) camino hacía una Trustworthy AI.

Autora: Adaya María Esteban Ruiz



5 de febrero de 2021