1. INTRODUCCIÓN Y PROTECCIÓN DE DATOS
1.1 Definición
El término inteligencia artificial (IA) según el Grupo de Expertos de Alto Nivel de abril de 2019 se refiere a elementos de software (y en su caso, también de hardware), diseñados por seres humanos y que, dado un objetivo complejo, actúan en la dimensión física o digital, perciben su entorno mediante la adquisición e interpretación de datos estructurados o no estructurados recogidos, razonan sobre el conocimiento o el procesamiento de la información derivada de estos datos e identifican y adoptan las mejores medidas a tomar para lograr el objetivo determinado. Los sistemas de IA pueden usar reglas simbólicas o aprender un modelo numérico, y también pueden adaptar su comportamiento analizando cómo el medio ambiente se ve afectado por sus acciones anteriores.
La Comisión Europea trabaja en la definición de una IA confiable, y establece que, para ello, ha de cumplir con siete requisitos clave que son:
1. la posibilidad de supervisión humana
2. la robustez y seguridad técnicas
3. el establecimiento de un sistema de gobernanza de la privacidad y los datos
4. la transparencia
5. la equidad, diversidad y no discriminación
6. el bienestar social y medioambiental
7. la responsabilidad (accountability).
1.2 Tratamientos con componentes de IA
Hay tratamientos que incluyen componentes de IA que manejan datos de personas físicas, como en un modelo de perfilado de marketing o electoral, o puede haber tratamientos en los que no aparezcan datos de carácter personal, como podría suceder en un modelo de predicción meteorológica que recoge datos de estaciones geográficamente distribuidas.
Hay que tener en cuenta que no todo sistema que toma una decisión automatizada es IA, no toda IA es Aprendizaje Automático (ML o Machine Learning), ni todo lo que se publicita como IA es realmente IA, sino que dicha etiqueta puede ser un recurso de marketing o se puede empelar para implementar otro tipo de estrategias de negocio.
1.3 Protección de datos
La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental (artículo 8.1 de la Carta de los Derechos Fundamentals de la Unión Europea y el artículo 16.1 del Tratado de Funcionamiento de la Unión Europea) regulado en el GDPR y la LOPDGDD además de toda la normativa sectorial publicada antes y después de la entrada en vigor del GDPR.
1.4 Ciclo de vida de una solución IA
Una solución IA será un elemento de proceso de datos que se incluirá en una o más fases de un tratamiento. En unos casos, el componente IA se desarrollará específicamente para dicho tratamiento, en otros muchos casos, dicho componente será desarrollado por terceros distintos del responsable. El componente IA no estará aislado y se integrará en un tratamiento específico junto a otros componentes como: la recogida de datos, sistemas de archivos, módulos de seguridad, interfaces de usuario, y otros. Es más, una vez desarrollado, un componente IA podría ser integrado en tratamientos de distintos responsables.
1.5 Tratamientos de datos personales usando IA
En los posibles tratamientos en una solución IA se pueden encontrar datos personales en las siguientes etapas del ciclo de vida:
o Inferencia: cuando se usen datos del interesado para obtener un resultado, cuando se usen datos de terceros con el mismo propósito o cuando datos e inferencias del interesado se almacenan. Si el propio interesado dispone de la IA como un componente de su propiedad, aplicaría la excepción doméstica.
o Decisión: como se ha visto anteriormente, la decisión sobre un interesado es un tratamiento de datos personales.
o Evolución: en la solución IA se podrían usar los datos y resultados de los interesados para refinar el modelo de IA. Cuando nos encontramos que esa evolución se realiza en el componente adquirido por el propio interesado, de forma aislada y autónoma, aplicaría la excepción doméstica. Pero si se envían a terceros, tendríamos una comunicación de datos, un posible tratamiento de almacenamiento, tratamiento para modificar el modelo, o incluso nuevas comunicaciones si esos datos se incorporan al modelo y este es accesible a otros terceros.
1.6 Evaluación de las soluciones IA
Tanto el modelo de IA incluido en un tratamiento, como el tratamiento en sí, han de tener el propósito de dar respuesta a una necesidad real de la empresa y la industria. Estamos hablando de soluciones que trascienden el ámbito experimental y se van a someter a las leyes del mercado, un mercado regulado y que está obligado a cumplir con unas normas y estándares de calidad.
2. ROLES, RELACIONES Y RESPONSABLES
En las distintas etapas del ciclo de vida de un componente IA será responsable del tratamiento aquella persona física, jurídica, autoridad pública u otro organismo que tome la decisión de realizar el tratamiento de datos personales. Por lo tanto, distintas responsabilidades implicarán distintas obligaciones en el marco del tratamiento. Asimismo, en las distintas etapas pueden intervenir distintos responsables y encargados, además de plantearse situaciones de comunicaciones de datos entre responsables.
3. CUMPLIMIENTO
El GDPR puede proporcionar una extraordinaria flexibilidad para poder garantizar y demostrar su cumplimiento. Sin embargo, hay un conjunto de condiciones mínimas que deben cumplirse para garantizar la conformidad del tratamiento que haga uso de soluciones de IA. Entre ellas pueden citarse:
4. GESTIÓN DEL RIESGO PARA LOS DERECHOS Y LIBERTADES
Tanto para determinar el riesgo, como para establecer las medidas apropiadas para gestionarlo, es preciso realizar un análisis del tratamiento, dividiendo el mismo en sus distintas fases y administrar las peculiaridades de cada una de ellas.
Para determinar el nivel de riesgo de un tratamiento basado en IA o que contiene fases en las que existe un componente de esta, hay que tener en cuenta:
En cualquier caso, el responsable ha de ser capaz de identificar los riesgos adicionales derivados de la novedad de la solución IA y su modo de implementación como, por ejemplo, en el caso de que el componente IA que se distribuya incluya datos personales.
El responsable del desarrollo, mantenimiento y/o distribución de un componente IA, así como el responsable de un tratamiento que incluya componentes IA, ha de tomar, en cada una de las respectivas etapas y responsabilidades, las medidas oportunas para minimizar o eliminar los factores de riesgo.
En particular, pero no de forma exclusiva, y tal como establece el artículo 35.3.a GDPR, es necesario realizar una evaluación de impacto de protección de datos (EIPD/DPIA) cuando se realice la elaboración de perfiles, basados en tratamientos automatizados (pero no necesariamente exclusivamente automatizados), sobre los que se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente.
En el caso de tratamientos basados en IA, la transparencia está dirigida tanto a los interesados como a los operadores del tratamiento (personal autorizado). En particular, la transparencia está ligada con una información veraz sobre la eficiencia, las capacidades y las limitaciones reales de los sistemas de IA, que evite la creación de falsas expectativas, en los usuarios y los interesados, que puedan ocasionar una mala interpretación de las inferencias que se realizan en el marco del tratamiento.
El empleo de estrategias de transparencia, gestión del riesgo y mecanismos de auditoria y certificación no sólo permitirán el cumplimiento de lo establecido en el GDPR, sino que mejorarán la confianza de los usuarios en los productos y servicios basados en IA, además de abrir un nuevo mercado en este sector de actividad: ingenieros de privacidad, auditores, esquemas de certificación, profesionales acreditados, etc. estas nuevas oportunidades de desarrollo se extienden también a la creación de esquemas de portabilidad.
5. TRANSFERENCIAS INTERNACIONALES
El desarrollo o despliegue de un componente de IA basado en servicios en la Nube, la comunicación de los datos de los usuarios a terceros para evolucionar el modelo de IA, o la distribución de componente de IA en el caso de que existan datos personales inherentes al modelo, pueden implicar flujos transfronterizos de datos a terceros países. No tienen consideración de transferencia internacional de datos los flujos de datos que se producen dentro del marco del Espacio Común Europeo.
Para dichas transferencias han de aplicarse las garantías que se establecen en el capítulo V del GDPR.
6. BIBLIOGRAFÍA
Este documento es un resumen del artículo publicado por Manuel Castilleja Toscano, referente a la guía publicada por la AEPD en febrero de 2020, "Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción" que pretende ser una mera introducción a la adecuación de los tratamientos que incluyan componentes de IA, por lo que no cubre todas las posibilidades y riesgos que se pueden derivar del empleo de soluciones en IA en tratamientos de datos personales.
ANEXO. SERVICIOS ACTUALES BASADOS EN IA
La lista que se presenta en este anexo no pretende ser exhaustiva, sino un ejemplo para ilustrar la extensión de los servicios que actualmente se están prestando basándose en IA:
o Captchas, chatbots, detección de fraude, personalización de anuncios.
o Selección de candidatos.
o Predicción de hipotecas en base al análisis del perfil del cliente, monitorización de transacciones para detectar actividades fraudulentas basándose en los hábitos de consumo, inversión financiera automática.
o Diagnóstico basado en el análisis de imágenes, predicción de tasas de readmisión de pacientes en base al análisis de los datos, mapas sanitarios, análisis de salud mental, prevención de suicidios, chatbots de salud mental, predicción de riesgo basado en parámetros analíticos, diagnóstico por análisis de muestra patológica, procesamiento del lenguaje natural de historias clínicas, análisis genético, electrodiagnóstico, desarrollo de vacunas y medicamentos.
o Recomendaciones de productos basándose en el perfil del cliente y en el análisis de sus compras, maximizar el alcance de productos y servicios a un grupo de clientes, agentes de viaje virtuales, monitorización de redes sociales.
o Contadores inteligentes y predicción de la demanda de consumo de los clientes, estimación del coste de determinados servicios de mantenimiento, asignación de tratamientos en el sistema público de sanidad, tratamiento automático de multas, soporte a la decisión en administración de justicia.
o Vehículos autónomos, semáforos inteligentes, optimización de las rutas y horarios de los servicios públicos de transporte.
o Contenido y formación personalizada a las necesidades del alumnado, corrección de exámenes, detección de plagio o fraude en trabajos, tutorización automática, detección de estudiantes anómalos.
o Reconocimiento facial, huellas dactilares, detección de comportamiento, control de fronteras, análisis de indicio de engaño, análisis de registros de actividad, detección de intrusiones, análisis de comunicaciones.
o Asistentes inteligentes, espejos inteligentes, electrodomésticos, seguridad.
o Herramientas de dibujo, ayudas a la creación artística, optimización de programas de entrenamiento deportivo.
NORMATIVA RELACIONADA
AEPD: Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción.
CE: El Libro Blanco de la Comisión Europea sobre Inteligencia Artificial.