¡Pide presupuesto en 2 min! ✓
Inteligencia artificialNuevas tecnologias

Guía sobre la inteligencia artificial

12 Mins read

Qué es la Inteligencia Artificial

La Comisión Europea define la inteligencia artificial o IA como aquellos sistemas que manifiestan un comportamiento inteligente, al ser capaces de analizar el entorno y realizar acciones, con cierto grado de autonomía, con el fin de alcanzar objetivos específicos.

Dicho de otro modo, sería la capacidad de una máquina de emular en parte el comportamiento de la mente humana, desarrollando capacidades que hasta hace poco solo estaban al alcance del cerebro humano tales como la creatividad o el análisis complejo en base a datos incompletos.

Debido al incipiente desarrollo de estas tecnologías y que cada vez más empresas de distintos sectores están encaminando su I+D al uso de esta tecnología ,la Agencia Española de Protección de Datos teniendo en consideración que el uso de IA puede implicar un tratamiento de datos personales así como los riesgos que esta tecnología puede implicar, ha publicado una guía que sienta las bases sobre cómo cumplir con el Reglamento Europeo de Protección de Datos cuando en un proceso de tratamiento de datos se use una IA.

Con esta guía se pretende ayudar a los responsables, desarrolladores y diseñadores a cumplir con el RGPD y sentar las bases normativas que el uso de tecnologías de IA requiere.

Donde se usa la IA

Actualmente pese a que el término IA nos puede sonar a película de ciencia ficción o tecnología al alcance de muy pocos, la realidad es que en muchos ámbitos se está empleando esta tecnología entre los que se encuentran los siguientes:

  • Servicios de Internet: Captchas, chatbots, detección de fraude
  • Recursos humanos: Procesos de selección de candidatos.
  • Servicios financieros: Predicción de hipotecas en base al análisis del perfil del cliente, monitorización de transacciones con el fin de detectar actividades fraudulentas basándose en datos sobre hábitos de consumo
  • Salud y Sanidad: Diagnósticos basados en el análisis de imágenes, predicción de tasas de readmisión de pacientes, mapas sanitarios, análisis de salud mental, prevención de suicidios, chatbots de salud mental, predicción de riesgo basado en parámetros analíticos, diagnóstico por análisis de muestra patológica, procesamiento del lenguaje natural de historias clínicas, análisis genético, electrodiagnóstico, desarrollo de vacunas y medicamentos.
  • Comercio y comunicación: Recomendaciones de productos basándose en el análisis de sus compras , monitorización de redes sociales.
  • Servicios públicos y suministros: Contadores inteligentes y predicción de la demanda de consumo de los clientes, estimación del coste de determinados servicios de mantenimiento, asignación de tratamientos en el sistema público de sanidad, tratamiento automático de multas, soporte a la decisión en administración de justicia.
  • Transporte: Vehículos autónomos, semáforos inteligentes, optimización de las rutas y horarios de los servicios públicos de transporte.
  • Educación: Contenido y formación personalizada a las necesidades del alumnado, corrección de exámenes, detección de plagio o fraude en trabajos.
  • Seguridad: Reconocimiento facial, huellas dactilares, detección de comportamiento, control de fronteras, , detección de intrusiones, análisis de comunicaciones.
  • Hogar: Asistentes inteligentes, espejos inteligentes, electrodomésticos, seguridad.
  • Otros: Herramientas de dibujo,optimización de programas de entrenamiento deportivo.

El rgpd y la IA

Como hemos dicho, el uso de Inteligencia Artificial puede implicar (aunque no en todos los casos) que exista un tratamiento de datos personales

El problema en si no es tanto el uso de un sistema de IA como el cómo se van a utilizar y conservar los datos introducidos o manejados por dichos sistemas o soluciones informáticas que utilicen tecnología de IA.

Por tanto, el responsable deberá tener en cuenta las obligaciones y principios que sienta el Reglamento 619/2016 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), y la normativa nacional complementaria, en el caso de España la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Uno de los principios impuestos por el RGPD es el de la privacidad desde el diseño o privacy by design siendo por tanto fundamental que, desde la conceptualización y diseño del producto, se tenga en cuenta las obligaciones o restricciones que debe cumplir el sistema de IA que tratase datos personales.

Otros aspectos de vital importancia para el uso correcto de un sistema de IA son la legitimación del tratamiento, la facilitación del ejercicio de derechos por parte de los interesados, la toma de decisiones automatizadas o la transferencia internacional de datos.

Sin perjuicio de otros principios y directrices como la proporcionalidad del uso de un sistema de IA en relación con los datos personales tratados, la gestión del riesgo como parte de la responsabilidad activa o accountability, el principio de exactitud y minimización de datos o la realización de una evaluación de impacto (EIPD) en los casos que fuese necesario previa al uso de los datos utilizados por la IA .

La propia AEPD en las conclusiones de esta guía destaca que “el cumplimiento de lo establecido en el RGPD exige cierto nivel de madurez a las soluciones IA que permita determinar de forma objetiva la adecuación de los tratamientos y la existencia de avales y medidas para gestionar sus riesgos”.

Un de las mayores preocupaciones de la AEPD es sin duda la privacidad de los datos de los interesados, por lo que en la guía se deja claro que, aunque se trate de una tecnología experimental, en desarrollo y autónoma en cierta medida, es responsabilidad de los propietarios de dicha herramienta garantizar el estricto cumplimiento de la normativa y por ende, la privacidad de los datos de los usuarios, interesados o sujetos cuyos datos personales son objeto de tratamiento.

Tipos de uso de una IA

Respecto a los tipos de tratamiento que se pueden realizar por parte de una IA o fases de vida de una IA nos encontramos las siguientes:

  • Entrenamiento: que consiste en la definición, búsqueda y obtención del conjunto de datos de interés, preprocesamiento de la información, splitting o partición del conjunto de datos para verificación, e información de trazabilidad y de auditoría
  • Validación: cuando empleando datos reales objeto de tratamiento, se empleen para determinar la capacidad real de uso del modelo experimental.
  • Despliegue: Si la IA se distribuye a terceros para incluir en su actividad de tratamiento de datos, se puede considerar que hay una comunicación de datos personales cuando la solución IA incluya datos de personales o exista una forma de obtenerlos.
  • Explotación: en las distintas actividades de explotación de la IA es posible encontrar tratamientos de datos personales:
  1. Inferencia: cuando se usen datos personales del interesado para obtener un resultado, cuando se usen datos de terceros con el mismo           propósito o cuando datos e inferencias del interesado se almacenan.     Si el propio interesado dispone de la IA como un componente de su        propiedad, aplicaría la excepción doméstica del RGPD y no estaría sujeto a las obligaciones definidas en el RGPD.
  2. Decisión: cuando el uso de datos personales a través de una IA permite la toma de decisiones con efectos sobre los interesados
  3. Evolución: Cuando la IA usa los datos y resultados de los interesados para refinar el modelo de IA.
  • Retirada: cuando la IA se retira del servicio o es obsoleta

Obligaciones en un sistema de IA respecto al RGPD

1.- Debe facilitarse información suficiente, legible y en lenguaje sencillo que permita entender el comportamiento del tratamiento de los datos personales.

La AEPD indica que como mínimo deberá indicarse:

  1. Los tipos de datos empleados por el sistema
  2. la importancia relativa que cada dato o parámetro en la toma de decisiones automatizadas por parte de una IA
  3. la calidad de los datos y el tipo de patrones utilizados
  4. Precisión, exactitud o medidas de error requeridos por el tratamiento.
  5. Requisitos de calidad en los datos de entrada al componente IA.
  6. Precisión, exactitud o medidas de error efectivas de la solución IA
  7. Convergencia del modelo
  8. Consistencia entre los resultados del proceso de inferencia.
  9. Predictibilidad del algoritmo
  10. Y cualquier otro parámetro de evaluación del componente IA.

Esto obligar a los responsables del tratamiento a facilitar información adicional y más detallada que la con carácter general se encuentra hoy en día en los avisos de privacidad.

2.-Inclusión de un modelo de gobernanza de la información que cumpla los siguientes criterios

  1. Efectividad
  1. Trazabilidad del dato (para identificar al responsable y permitir el ejercicio de   derechos del interesado

3.- Cumplimiento de los principios y obligaciones del RGPD, especialmente respecto a:

  1. Licitud, lealtad y transparencia
  2. Limitación de la finalidad (especificación del propósito)
  3. Minimización de datos
  4. Exactitud
  5. Limitación del plazo de conservación
  6. Integridad y confidencialidad

4.- Responsabilidad activa en el uso de una IA mediante:

  1. La identificación del responsable del tratamiento.
  2. El análisis del riesgo para los derechos y libertades.
  3. El estudio de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
  4. El despliegue de medidas para la gestión del riesgo, medidas de privacidad por defecto y desde diseño, medidas de seguridad, de    gestión de incidentes, etc.

Estos requisitos deben ser evaluados a lo largo de todo el ciclo de vida de un sistema de IA de forma continua

El Delegado de Protección de Datos y la IA

Los artículos 37.1 del RGPD y el artículo 34 de la LOPDGDD establecen los casos que obligan a un responsable/encargado a contar con un Delegado de Protección de Datos (DPO).

El uso de una IA por parte del responsable no obliga a contar con un DPO, salvo que del tipo de tratamiento se desprenda que se realiza una observación habitual y sistemática a gran escala y que se traten categorías especiales de datos o datos relativos a condenas e infracciones penales también a gran escala.

Esto indica que es muy probable que el uso de una IA por parte de un responsable tenga como último fin el manejo de datos a gran escala, incluso a nivel de BIG DATA, y en estos casos el responsable del tratamiento estará obligado a designar un DPO con la suficiente formación.

Y es que hoy en día, cualquier empresa que maneje cierto volumen de datos, el DPO es un necesario para garantizar el cumplimiento y la gestión del riesgo de los tratamientos de datos realizados.

Entre sus cometidos estará el de orientar la implementación de las políticas de cumplimiento y transparencia, así como para facilitar y gestionar la información a los interesados.

Además, intervendrá en la realización de una EIPD en aquellos casos que fuese necesario

Medidas de seguridad en la IA

Una de las obligaciones más conocidas en el RGPD es la establecida en el artículo 32 que impone tanto al responsable, como al encargado, la implementación de medidas técnicas y organizativas que garanticen un nivel de seguridad suficiente en relación al riesgo potencial para los derechos y libertades de los interesados.

Estas medidas deben ser acordes a los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como a los riesgos de probabilidad y gravedad.

Actualmente, no hay una serie de medidas de seguridad estándarizadas para el uso de una IA, por lo que las medidas a implementar deben establecerse teniendo en consideración el análisis de los potenciales riesgos que el uso de una IA pueda tener para los derechos y libertades de los interesados.

Análisis de las medidas de seguridad y potenciales riesgos en un sistema de IA

El responsable del tratamiento, el DPO si hubiera sido designado y los responsables del desarrollo de la herramienta de IA deben tener hay que tener en cuenta la necesidad de implementar medidas concretas dirigidas a prevenir ataques que son específicos a este tipo de aplicaciones.

La guía elaborada por la AEPD indica que existen tipologías determinadas de ataque y defensa a sistemas de IA.

Entre las medidas de seguridad que recomiendan se incluyen las siguientes:

  • Acceso y manipulación del conjunto de datos de entrenamiento, previo a la configuración del modelo, por ejemplo, mediante técnicas de envenenamiento con patrones adversos.
  • Programación de troyanos y puertas traseras durante el desarrollo de la IA, bien en el propio código o en las herramientas para desarrolladores.
  • Manipulación de la API de usuario para realizar accesos al modelo, tanto a nivel de caja negra como de caja blanca, para la manipulación de parámetros del modelo, filtrado del modelo a terceros, ataques a la integridad o disponibilidad de las inferencias.
  • Ataques por “adversarial machine learning” en los que sería necesario un análisis de la robustez y control de la alimentación con datos al modelo.
  • Ataques por imitación de patrones que se conoce serán admitidos por el sistema.
  • Reidentificación de los datos personales incluidos en el modelo por parte de usuarios internos y externos.
  • Fraude o engaño a la IA por parte de los interesados, especialmente en casos que puedan suponer un perjuicio para otros interesados, lo que implica la necesidad de realizar un análisis de la robustez ante dichas actuaciones y la realización de auditorías.
  • Filtrado a terceros de resultados de perfilado o decisiones inferidas por la IA (también relacionado con las API’s de usuario).
  • Filtrado o acceso a los logs resultado de las inferencias generadas en la interacción con los interesados.

Auditorías y accountability

Como hemos indicado, la existencia de ficheros de log, la realización de auditorías así como la certificación del proceso son parte fundamental del cumplimiento del principio de responsabilidad activa o “accountability” .

Los ficheros de log serán imprescindibles para acreditar los procesos de auditoría y los mecanismos de seguridad y tendrán que proporcionar evidencias para:

  • Determinar quién accede a los datos personales
  • Proporcionar trazabilidad
  • Facilitar seguimiento sobre los parámetros de calidad de la inferencia cuando la IA sea utilizada para la toma de decisiones

Las auditorías sobre herramientas de IA pueden ser variadas: auditorías sobre el proceso de desarrollo, sobre la distribución del modelo, sobre aspectos concretos del tratamiento, de la operación, de la seguridad y robustez ante ataques al modelo, etc.

Además, estas auditorías pueden ser realizadas de forma interna o externa, facilitando el control y la transparencia

Estas auditorías tienen como objetivo gestionar el riesgo y por ello han de estar documentadas y deben recoger información suficiente para acreditar las medidas implementadas.

La IA debe ser auditable periódicamente a lo largo de su ciclo de vida, incluyendo el momento de su retirada.

En todo caso, una completa auditoría de IA en relación con protección de datos y ciberseguridad debe evaluar en juicio de la AEPD:

  • La existencia de un proceso de análisis, desarrollo y/o de implementación documentado incluyendo evidencias de trazabilidad.
  • La existencia o no de datos personales, elaboración de perfiles o decisiones automáticas sobre interesados sin intervención humana, así como el análisis de la eficacia de los métodos de anonimización y seudonimización
  • Análisis de la existencia y legitimación del tratamiento de categorías especiales de datos
  • La base jurídica para el tratamiento
  • Evaluación del impacto sobre los derechos y libertades en función de las garantías adoptadas.
  • Información y la efectividad de los mecanismos de transparencia implementados.
  • Evaluación de las medidas de protección de datos por defecto y desde el diseño
  • La adecuación de las medidas de seguridad para evitar riesgos a la privacidad.
  • La capacitación y formación del personal del responsable del tratamiento
  • La necesidad de designación del DPO.
  • La incorporación de mecanismos que garanticen la atención a los derechos de los interesados, en particular la supresión de oficio de datos personales, y prestando especial cuidado a los derechos de
  • El cumplimiento de las limitaciones sobre las decisiones automáticas sin intervención humana, la evaluación, en su caso, de la calidad de la intervención humana y los mecanismos de supervisión adoptados.
  • La aplicación del RGPD en el caso de que existan transferencias internacionales de datos.
  • En general, el cumplimiento del RGPD.

La utilización de herramientas de auditoría automática en tiempo real sería especialmente recomendables en aquellos sistemas que tomen decisiones automatizadas asegurando asií asegurar que dichas decisiones automatizadas son coherentes y precisas, evitando decisiones erróneas y permitiendo que estas sean abortadas o canceladas antes de que se produzcan efectos.

Transferencias internacionales

El uso de IA en servicios en la Nube, tan común hoy en día, u otras herramientas de computación cuyos servidores se ubican fuera de nuestras fronteras puede implicar flujos de datos a terceros países fuera del ámbito de aplicación del RGPD.

Debemos recordar que no tienen consideración de transferencia internacional de datos los flujos de datos que se producen dentro del marco del Espacio Común Europeo (los Estados de la Unión Europea más Islandia, Noruega y Liechtenstein).

En todo caso las transferencias de datos fuera del ECE basadas en sistemas de IA deben cumplir con lo establecido Capítulo V del RGPD “Transferencias de datos personales a terceros países u organizaciones internacionales” en el que entre otras obligaciones se encuentra la de informar a los interesados en los términos del art. 13 y 14 del RGPD e incluirlo en el registro de actividades de tratamiento.

Related posts
Nuevas tecnologias

Estafas con Bitcoins y otras criptomonedas. Consecuencias y prevención

11 Mins read
Con el uso de los Bitcoins y otras criptomonedas cada vez más extendido, también se han extendido las estafas que tienen como…
Nuevas tecnologias

¿Qué es un Big Data Architect?

3 Mins read
La mayoría de nosotros hemos oído hablar del Big Data y sabemos, más o menos, a qué se refiere este concepto tan…
CiberseguridadNuevas tecnologias

Seguridad y privacidad en las redes 5G

4 Mins read
La nueva generación de redes móviles ya ha comenzado a desplegarse en varios países y se espera que en los dos próximos…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.