Tratamientos que incorporan inteligencia artificial


Maite Morera Fontanet     23/03/2020

1. INTRODUCCIÓN Y PROTECCIÓN DE DATOS

1.1 Definición
El término inteligencia artificial (IA) según el Grupo de Expertos de Alto Nivel de abril de 2019 se refiere a elementos de software (y en su caso, también de hardware), diseñados por seres humanos y que, dado un objetivo complejo, actúan en la dimensión física o digital, perciben su entorno mediante la adquisición e interpretación de datos estructurados o no estructurados recogidos, razonan sobre el conocimiento o el procesamiento de la información derivada de estos datos e identifican y adoptan las mejores medidas a tomar para lograr el objetivo determinado. Los sistemas de IA pueden usar reglas simbólicas o aprender un modelo numérico, y también pueden adaptar su comportamiento analizando cómo el medio ambiente se ve afectado por sus acciones anteriores.

La Comisión Europea trabaja en la definición de una IA confiable, y establece que, para ello, ha de cumplir con siete requisitos clave que son:

1. la posibilidad de supervisión humana
2. la robustez y seguridad técnicas
3. el establecimiento de un sistema de gobernanza de la privacidad y los datos
4. la transparencia
5. la equidad, diversidad y no discriminación
6. el bienestar social y medioambiental
7. la responsabilidad (accountability).

1.2 Tratamientos con componentes de IA
Hay tratamientos que incluyen componentes de IA que manejan datos de personas físicas, como en un modelo de perfilado de marketing o electoral, o puede haber tratamientos en los que no aparezcan datos de carácter personal, como podría suceder en un modelo de predicción meteorológica que recoge datos de estaciones geográficamente distribuidas.

Hay que tener en cuenta que no todo sistema que toma una decisión automatizada es IA, no toda IA es Aprendizaje Automático (ML o Machine Learning), ni todo lo que se publicita como IA es realmente IA, sino que dicha etiqueta puede ser un recurso de marketing o se puede empelar para implementar otro tipo de estrategias de negocio.

1.3 Protección de datos
La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental (artículo 8.1 de la Carta de los Derechos Fundamentals de la Unión Europea y el artículo 16.1 del Tratado de Funcionamiento de la Unión Europea) regulado en el GDPR y la LOPDGDD además de toda la normativa sectorial publicada antes y después de la entrada en vigor del GDPR.

1.4 Ciclo de vida de una solución IA
Una solución IA será un elemento de proceso de datos que se incluirá en una o más fases de un tratamiento. En unos casos, el componente IA se desarrollará específicamente para dicho tratamiento, en otros muchos casos, dicho componente será desarrollado por terceros distintos del responsable. El componente IA no estará aislado y se integrará en un tratamiento específico junto a otros componentes como: la recogida de datos, sistemas de archivos, módulos de seguridad, interfaces de usuario, y otros. Es más, una vez desarrollado, un componente IA podría ser integrado en tratamientos de distintos responsables.

1.5 Tratamientos de datos personales usando IA
En los posibles tratamientos en una solución IA se pueden encontrar datos personales en las siguientes etapas del ciclo de vida:

  • Entrenamiento: si es un modelo IA basado, por ejemplo, en técnicas de Aprendizaje Automático (ML), se podrían utilizar datos personales en el desarrollo de este. En otras ocasiones, como es el caso en el que se entrene un modelo IA mediante la captura de conocimiento de un experto, podría considerarse a priori que no existe un tratamiento de datos de carácter personal.
  • En el caso de que el entrenamiento trate datos de carácter personal, este es un tratamiento en sí mismo. En su máxima expresión podría incluir las siguientes actividades: definición, búsqueda y obtención del conjunto de datos de interés, preprocesamiento de la información (tratamiento de datos no-estructurados, limpieza, balanceo, selección, transformación), splitting o partición del conjunto de datos para verificación, e información de trazabilidad y de auditoría.
  • Validación: en esta operación se podría realizar un tratamiento de datos personales cuando se utilicen datos que corresponden a la situación real del tratamiento, para determinar la bondad del modelo de forma experimental. El conjunto de datos puede ser distinto de aquellos utilizados en la etapa de entrenamiento (si es que ésta existe y trata datos personales) y podría incluso ser realizada por un tercero para la auditoría o certificación del modelo.
  • Despliegue: en el caso que la solución IA sea un componente, un módulo que se distribuye a terceros para incluir en sus tratamientos, se puede considerar que hay una comunicación de datos personales cuando la solución IA incluya datos personales o exista una forma de obtenerlos. Por ejemplo, algunas soluciones IA, como las Máquinas de Soporte Vectorial (SVM) podrían contener dentro de la lógica del modelo ejemplos de los datos de entrenamiento. En otros casos, se podrían encontrar patrones en el modelo que identifican a un individuo singular.
  • Explotación: en las distintas actividades de explotación de la solución IA es posible encontrar tratamientos de datos personales:

o Inferencia: cuando se usen datos del interesado para obtener un resultado, cuando se usen datos de terceros con el mismo propósito o cuando datos e inferencias del interesado se almacenan. Si el propio interesado dispone de la IA como un componente de su propiedad, aplicaría la excepción doméstica.

o Decisión: como se ha visto anteriormente, la decisión sobre un interesado es un tratamiento de datos personales.

o Evolución: en la solución IA se podrían usar los datos y resultados de los interesados para refinar el modelo de IA. Cuando nos encontramos que esa evolución se realiza en el componente adquirido por el propio interesado, de forma aislada y autónoma, aplicaría la excepción doméstica. Pero si se envían a terceros, tendríamos una comunicación de datos, un posible tratamiento de almacenamiento, tratamiento para modificar el modelo, o incluso nuevas comunicaciones si esos datos se incorporan al modelo y este es accesible a otros terceros.

  • Retirada: la retirada del servicio puede tener dos extensiones distintas: el componente IA se retira por obsoleto en todos los tratamientos en los que se implemente, o un usuario concreto decide no utilizar el componente IA. Ese usuario puede ser una entidad o una persona física y puede tener efectos en la supresión local, centralizada o distribuida de datos, así como sobre la portabilidad del servicio.

1.6 Evaluación de las soluciones IA
Tanto el modelo de IA incluido en un tratamiento, como el tratamiento en sí, han de tener el propósito de dar respuesta a una necesidad real de la empresa y la industria. Estamos hablando de soluciones que trascienden el ámbito experimental y se van a someter a las leyes del mercado, un mercado regulado y que está obligado a cumplir con unas normas y estándares de calidad.

2. ROLES, RELACIONES Y RESPONSABLES
En las distintas etapas del ciclo de vida de un componente IA será responsable del tratamiento aquella persona física, jurídica, autoridad pública u otro organismo que tome la decisión de realizar el tratamiento de datos personales. Por lo tanto, distintas responsabilidades implicarán distintas obligaciones en el marco del tratamiento. Asimismo, en las distintas etapas pueden intervenir distintos responsables y encargados, además de plantearse situaciones de comunicaciones de datos entre responsables.

3. CUMPLIMIENTO
El GDPR puede proporcionar una extraordinaria flexibilidad para poder garantizar y demostrar su cumplimiento. Sin embargo, hay un conjunto de condiciones mínimas que deben cumplirse para garantizar la conformidad del tratamiento que haga uso de soluciones de IA. Entre ellas pueden citarse:

  • La existencia de una base para legitimación del tratamiento de datos personales, (artículos 6 al 11 del GDPR).
  • El primer paso para determinar que la solución de IA cumpla con el GDPR es el establecimiento de una base jurídica legitimadora desde el momento de la concepción del tratamiento. La legitimación para las distintas etapas del ciclo de vida y para cada tratamiento se tiene que establecer en la fase de diseño, sea este tratamiento la propia creación de un compone nte IA o un tratamiento que plantee la utilización de un componente IA. Si no se encuentra una base legitimadora no se debe realizar el tratamiento.
  • La obligación ser transparente y de informar a los interesados (artículos 12 al 14 del GDPR).
  • La información que cada responsable ha de proporcionar a los interesados se establece en los artículos 13 y 14 del GDPR, y el contenido concreto se tendrá que adaptar a la etapa del ciclo de vida de la IA en la que se esté realizando el tratamiento.
  • La obligación de proporcionar a los interesados mecanismos para el ejercicio de sus derechos (artículos 15 al 23 del GDPR).
  • Los responsables que hagan uso de soluciones de IA para tratar datos personales, elaborar perfiles o tomar decisiones automatizadas, han de ser conscientes de que los interesados tienen derechos en el ámbito de la protección de datos que deben ser atendidos. Por lo tanto, durante la fase de concepción del tratamiento, los responsables han de ser conscientes de que tienen que establecer mecanismos y procedimientos adecuados para poder atender las solicitudes que reciban, y que dichos mecanismos deberán estar adecuadamente dimensionados para la escala del tratamiento que están efectuando.
  • La aplicación del principio de responsabilidad proactiva (artículos 24 al 43) que establecen la necesidad de incorporar una serie de garantías adicionales, más allá de un mínimo, documentadas y orientadas a gestionar el riesgo para los derechos y libertades de los individuos. En particular, la obligación de mantener un registro de actividades de tratamiento (artículo 30 del GDPR).
  • El cumplimiento de las condiciones para poder realizar transferencias internacionales de datos (artículos 44 al 50 del GDPR).

4. GESTIÓN DEL RIESGO PARA LOS DERECHOS Y LIBERTADES
Tanto para determinar el riesgo, como para establecer las medidas apropiadas para gestionarlo, es preciso realizar un análisis del tratamiento, dividiendo el mismo en sus distintas fases y administrar las peculiaridades de cada una de ellas.

Para determinar el nivel de riesgo de un tratamiento basado en IA o que contiene fases en las que existe un componente de esta, hay que tener en cuenta:

  • Los riesgos que se derivan del tratamiento en sí mismo, siendo el más característico el que se deriva del sesgo en los sistemas de toma de decisiones sobre las personas o su discriminación (algorithmic discrimination).
  • Los riesgos que se derivan del tratamiento con relación al contexto social y los efectos colaterales que se puedan derivar de él, indirectamente relacionados con el objeto de tratamiento.

En cualquier caso, el responsable ha de ser capaz de identificar los riesgos adicionales derivados de la novedad de la solución IA y su modo de implementación como, por ejemplo, en el caso de que el componente IA que se distribuya incluya datos personales.

El responsable del desarrollo, mantenimiento y/o distribución de un componente IA, así como el responsable de un tratamiento que incluya componentes IA, ha de tomar, en cada una de las respectivas etapas y responsabilidades, las medidas oportunas para minimizar o eliminar los factores de riesgo.

En particular, pero no de forma exclusiva, y tal como establece el artículo 35.3.a GDPR, es necesario realizar una evaluación de impacto de protección de datos (EIPD/DPIA) cuando se realice la elaboración de perfiles, basados en tratamientos automatizados (pero no necesariamente exclusivamente automatizados), sobre los que se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente.

En el caso de tratamientos basados en IA, la transparencia está dirigida tanto a los interesados como a los operadores del tratamiento (personal autorizado). En particular, la transparencia está ligada con una información veraz sobre la eficiencia, las capacidades y las limitaciones reales de los sistemas de IA, que evite la creación de falsas expectativas, en los usuarios y los interesados, que puedan ocasionar una mala interpretación de las inferencias que se realizan en el marco del tratamiento.

El empleo de estrategias de transparencia, gestión del riesgo y mecanismos de auditoria y certificación no sólo permitirán el cumplimiento de lo establecido en el GDPR, sino que mejorarán la confianza de los usuarios en los productos y servicios basados en IA, además de abrir un nuevo mercado en este sector de actividad: ingenieros de privacidad, auditores, esquemas de certificación, profesionales acreditados, etc. estas nuevas oportunidades de desarrollo se extienden también a la creación de esquemas de portabilidad.

5. TRANSFERENCIAS INTERNACIONALES
El desarrollo o despliegue de un componente de IA basado en servicios en la Nube, la comunicación de los datos de los usuarios a terceros para evolucionar el modelo de IA, o la distribución de componente de IA en el caso de que existan datos personales inherentes al modelo, pueden implicar flujos transfronterizos de datos a terceros países. No tienen consideración de transferencia internacional de datos los flujos de datos que se producen dentro del marco del Espacio Común Europeo.

Para dichas transferencias han de aplicarse las garantías que se establecen en el capítulo V del GDPR.

6. BIBLIOGRAFÍA
Este documento es un resumen del artículo publicado por Manuel Castilleja Toscano, referente a la guía publicada por la AEPD en febrero de 2020, "Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción" que pretende ser una mera introducción a la adecuación de los tratamientos que incluyan componentes de IA, por lo que no cubre todas las posibilidades y riesgos que se pueden derivar del empleo de soluciones en IA en tratamientos de datos personales.


ANEXO. SERVICIOS ACTUALES BASADOS EN IA

La lista que se presenta en este anexo no pretende ser exhaustiva, sino un ejemplo para ilustrar la extensión de los servicios que actualmente se están prestando basándose en IA:

  • Servicios de Internet

o Captchas, chatbots, detección de fraude, personalización de anuncios.

  • Recursos humanos

o Selección de candidatos.

  • Servicios financieros

o Predicción de hipotecas en base al análisis del perfil del cliente, monitorización de transacciones para detectar actividades fraudulentas basándose en los hábitos de consumo, inversión financiera automática.

  • Salud y Sanidad

o Diagnóstico basado en el análisis de imágenes, predicción de tasas de readmisión de pacientes en base al análisis de los datos, mapas sanitarios, análisis de salud mental, prevención de suicidios, chatbots de salud mental, predicción de riesgo basado en parámetros analíticos, diagnóstico por análisis de muestra patológica, procesamiento del lenguaje natural de historias clínicas, análisis genético, electrodiagnóstico, desarrollo de vacunas y medicamentos.

  • Comercio y comunicación:

o Recomendaciones de productos basándose en el perfil del cliente y en el análisis de sus compras, maximizar el alcance de productos y servicios a un grupo de clientes, agentes de viaje virtuales, monitorización de redes sociales.

  • Servicios públicos y suministros:

o Contadores inteligentes y predicción de la demanda de consumo de los clientes, estimación del coste de determinados servicios de mantenimiento, asignación de tratamientos en el sistema público de sanidad, tratamiento automático de multas, soporte a la decisión en administración de justicia.

  • Transporte:

o Vehículos autónomos, semáforos inteligentes, optimización de las rutas y horarios de los servicios públicos de transporte.

  • Educación:

o Contenido y formación personalizada a las necesidades del alumnado, corrección de exámenes, detección de plagio o fraude en trabajos, tutorización automática, detección de estudiantes anómalos.

  • Seguridad:

o Reconocimiento facial, huellas dactilares, detección de comportamiento, control de fronteras, análisis de indicio de engaño, análisis de registros de actividad, detección de intrusiones, análisis de comunicaciones.

  • Hogar:

o Asistentes inteligentes, espejos inteligentes, electrodomésticos, seguridad.

  • Otros:

o Herramientas de dibujo, ayudas a la creación artística, optimización de programas de entrenamiento deportivo.

NORMATIVA RELACIONADA
AEPD: Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción.
CE: El Libro Blanco de la Comisión Europea sobre Inteligencia Artificial.