L'Agència Agència Espanyola de Protecció de Dades
(AEPD) ha publicat la guia Requisits per a auditories de tractaments de dades personals que incloguin Intel·ligència Artificial , un document que ofereix orientacions i un llistat de possibles objectius de control i controls específics que podrien incorporar-se en aquestes auditories des d'una perspectiva de protecció de dades.
La realització de tractaments de dades personals en els quals s'utilitza Intel·ligència Artificial (IA) per realitzar anàlisi i inferències exigeix que s'apliqui un model de desenvolupament madur que proporcioni garanties de qualitat i privadesa. El impacte que podrien tenir els tractaments basats en IA en els drets i llibertats dels ciutadans posa de manifest la necessitat d'establir mesures de control efectiu, correcció, responsabilitat, rendició de comptes, gestió del risc i transparència relatives als sistemes i als tractaments de les dades en els quals s'utilitzi.
El Reglament General de Protecció de Dades (RGPD) estableix en el seu article 24 l'obligació per part d'aquells que tracten dades d'aplicar “mesures tècniques i organitzatives apropiades a fi de garantir i poder demostrar que el tractament és conforme amb el present Reglament”. Aquestes mesures han de ser seleccionades “tenint en compte la naturalesa, l'àmbit, el context i les finalitats del tractament, així com els riscos de diversa probabilitat i gravetat per als drets i llibertats de les persones” i una d'aquestes eines per “garantir i poder demostrar” el compliment del RGPD és la realització d'auditories. Això requereix disposar de criteris objectius dissenyats per executar l'auditoria de components de IA des d'una perspectiva de protecció de dades.
El document recull objectius com inventariar l'algorisme auditat, identificar les responsabilitats i complir amb el principi de transparència; identificar les finalitats, analitzar la proporcionalitat i necessitat del tractament i els límits en la conservació de les dades; assegurar la qualitat de les dades i controlar possibles biaixos i verificar i validar les accions realitzades i els resultats obtinguts donant compliment al principi de responsabilitat activa del RGPD, entre uns altres.
El text està dirigit, principalment, a responsables i encarregats que han d'auditar tractaments que incloguin components basats en IA, amb vista a garantir i poder demostrar el compliment d'obligacions i principis en matèria de protecció de dades als quals estan subjectes; als desenvolupadors que vulguin oferir garanties sobre els seus productes i solucions; als Delegats de Protecció de Dades encarregades tant de supervisar els tractaments com d'assessorar als responsables i, finalment, als equips d'auditors encarregats d'avaluar aquests tractaments.
La guia Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial ha estat desenvolupada amb base en un estudi realitzat per Ètiques Research and Consulting sota l'encàrrec i la supervisió de l'Agència Espanyola de Protecció de Dades i les revisions realitzades per experts de l'Artificial Intelligence Hub del Consell Superior de Recerques Científiques (CSIC AI HUB), de l'Observatori de l'impacte social i ètic de la intel·ligència artificial (OdiseIA), de l'Associació Professional de Cossos Superiors de Sistemes i Tecnologies de la Informació de les Administracions Públiques (ASTIC), Grup d'Innovació Docent en Ciberseguretat (CiberGID)-ETSI Informàtica - UNED i del Centre per al Desenvolupament Tecnològic i Industrial (CDTI).
