La introducción de nuevos sistemas de procesamiento de los activos de información a nivel corporativo plantea siempre un nuevo desafío para los responsables de seguridad de sistemas de la entidad y, en especial, para los responsables de los sistemas de vigilancia, supervisión y control del cumplimiento normativo en materia de protección de datos personales. Por ello, con carácter previo a la introducción de toda tecnología de procesamiento de información a nivel empresarial debe contar una evaluación específica para la determinación de los posibles riesgos y el impacto de la nueva tecnología digital en la seguridad de los datos personales a cargo de la entidad. Así, la Inteligencia Artificial se reconoce como una parte esencial del tratamiento de datos personales y, por consiguiente, toda empresa que desee incorporar soluciones de IA para el tratamiento automatizado de los activos de información deberá cumplir con las disposiciones normativas que incluye el RGPD a efectos de garantizar el cumplimiento normativo en materia de protección de datos personales, ya sea en calidad de responsable o encargado del tratamiento de datos personales en que se incluye una solución de Inteligencia Artificial.
De acuerdo a la Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial que comenzábamos a analizar en nuestro anterior artículo, cabe recordar que la responsabilidad por el tratamiento de datos personales que incorpora Inteligencia Artificial, tiene lugar a lo largo de cada una de las etapas que conforman el ciclo de vida de un componente de IA, a saber: desarrollo, validación, despliegue, inferencia, decisión y evolución. En ningún caso cabe trasladar la responsabilidad en materia de protección de datos personal al sistema automatizado o a la solución de Inteligencia Artificial de aplicación.
A este respecto, en conformidad del art. 24 RGPD, se considerará responsable del tratamiento toda aquella empresa que establezca la finalidad de la recopilación y el tratamiento de datos personales, comercialice un recurso o producto componente de IA que incluya datos personales, la empresa que efectúa tal tratamiento, así como aquella empresa que tome decisiones automatizadas sobre los interesados conforme a la finalidad establecida y toda aquella decisión sobre la evolución de la solución de IA a partir de los datos personales recolectados. Por su parte, de acuerdo al art. 28 RGPD, se considerará encargado toda aquella empresa contratada para efectuar el tratamiento de datos personales o bien ponga a disposición del responsable un modelo de servicio para su explotación en que se incluyan datos personales de los interesados, usuarios finales o clientes.
A la hora de incorporar una solución de IA es necesario garantizar su conformidad con el RGPD durante todo el proceso de implementación: desde su diseño hasta su aplicación práctica. Para empezar, el tratamiento deberá ser lícito, leal y transparente a partir de datos personales exactos; y deberá limitarse a la finalidad estipulada para el tratamiento de los datos personales de los interesados, recabando el consentimiento conforme a las condiciones que establece el art. 7 RGPD. A tal respecto, deberán utilizarse exclusivamente aquellos datos personales que fueran indispensable para alcanzar la finalidad del tratamiento indicada, excluyendo cualquier otra finalidad, para la cual sería necesario informar al usuario final afectado y, sobre todo, recabar el consentimiento al respecto de otros fines a que pudiera dirigirse el tratamiento sobre los datos personales del interesado.
Asimismo, el plazo de conservación de los datos personales, recabados a través de soluciones de Inteligencia Artificial, deberá limitarse al plazo necesario para la realización del fin del tratamiento de conformidad con el RGPD y las cláusulas contractuales alcanzadas entre el responsable y el interesado, salvo que la finalidad del tratamiento de los datos sea de archivo en interés público, investigación científica o histórica o fines estadísticos, en cuyo caso podrán conservarse los datos personales del interesado por un plazo mayor.
En línea con lo anterior, el responsable del tratamiento de los datos personales deberá garantizar la disponibilidad, la integridad y la confidencialidad de los datos personales que permitan la identificación de los interesados. A tal efecto, el responsable del tratamiento debe mostrar una actitud proactiva en todo el proceso de adecuación al RGPD de todas aquellas soluciones de IA que desee implementar. Para ello, resulta conveniente realizar, con carácter previo a la implantación de toda nueva tecnología digital en la empresa, un análisis del riesgo que entraña el tratamiento de los datos personales para los derechos y libertades de los interesados (si existiera un riesgo elevado deberá efectuarse una Evaluación de Impacto en materia de Protección de Datos o EIPD), así como diseñar una política de privacidad desde el diseño y por defecto, que permita implementar las medidas de seguridad necesarias que garanticen la protección de datos personales (seudonimización, cifrado, encriptación, etc.) y la respuesta eficaz ante incidentes de seguridad (copias de seguridad, tiempo objetivo de recuperación del sistema, etc.). En particular, pero no de forma exclusiva, de acuerdo a los arts. 35.3.a) y 35.7 y 8 RGPD, será necesario realizar una Evaluación de Impacto en Protección de Datos cuando se realice la elaboración de perfiles, basados en tratamientos automatizado, sobre los que se tomen decisiones que produzcan consecuencias de carácter jurídico para las personas físicas o que les afecten de manera significativa. La Evaluación de Impacto de Protección de Datos se ha de realizar antes de que se ejecute el tratamiento de los datos de carácter personal. En consecuencia, la validación ha de realizarse antes del diseño y selección e implementación de la solución basada en Inteligencia Artificial para un determinado tratamiento y que, de esta forma, sea posible identificar cuáles son los requisitos de privacidad a incorporar en el plan de procesamiento de información basado en IA, así como las medidas de privacidad desde el diseño y por defecto a partir de los niveles de riesgos identificados a los que se expone la información personal objeto de tratamiento.
En esta línea, uno de los aspectos críticos de los tratamientos de datos personales basado en Inteligencia Artificial se relaciona con el concepto de transparencia, tanto desde la perspectiva de los interesados como de los operadores del tratamiento. A tal respecto, conviene determinar, previamente al diseño y ejecución de los algoritmos de Inteligencia Artificial, un plan de cumplimiento normativo en materia de propiedad intelectual al respecto tanto del diseño como de la implementación de un programa informático específico a través del cual se realizará el correspondiente tratamiento. La transparencia en el uso de los algoritmos deberá fundamentarse en un plan de complimiento normativo que permita compaginar tanto los derechos de propiedad intelectual de los operadores como el derecho a la privacidad de los interesados.
En todo caso, el responsable del tratamiento de datos personales que incorpora soluciones de Inteligencia Artificial deberá proporcionar a los interesados la información necesaria, conforme a los arts. 13 y 14 RGPD, en relación al contenido y la fase específica del procedimiento de IA. Específicamente, la forma que recomienda la AEPD para realizar este deber de informar, conforme al art. 11 LOPDyGDD, es la presentación mediante capas, a saber:
a) primera capa: incluirá la identidad del responsable del tratamiento o de su representante; la finalidad del tratamiento; derechos del interesado regulados en los arts. 15 a 22 RGPD; información sobre la inclusión en el tratamiento de decisiones individuales automatizadas; información significativa sobre el procedimiento de razonamiento lógico utilizado; y las consecuencias de dicho tratamiento para los derechos y libertades de los interesados. Por último, si los datos personales no hubieran sido recopilados directamente de los interesados, deberá incluirse también la categoría de datos personales objeto del tratamiento y su fuente de procedencia
b) segunda capa: incluirá información más específica sobre la información de la primera capa, así como el resto de información necesaria conforme a los arts. 13 y 14 RGPD.
Por último, los responsables de la incorporación de soluciones de Inteligencia Artificial deberán garantizar el ejercicio de los derechos de los interesados cuyos datos personales son objeto de tratamiento automatizado. Concretamente, los derechos de los interesados se refieren al acceso a los datos incluidos en el componente de Inteligencia Artificial (art. 15 RGPD); la rectificación de los datos personales inexactos (art. 16 RGPD); la supresión de los datos personales que le conciernan cuando ya no fueran necesarios conforme al fin establecido del tratamiento (art. 17 RGPD); la limitación del tratamiento (art. 18 RGPD); recibir los datos personales que le incumban y transmitirlos a otro responsable (art. 20 RGPD); y la oposición al tratamiento de sus datos personales, incluyendo la elaboración de perfiles, en cualquier momento (art. 21 RGPD).
Como se aprecia, la adecuación a la normativa comunitaria en materia de protección de datos personales es una tarea compleja que requiere de un procedimiento a largo para garantizar el cumplimiento normativo desde el diseño de la solución de IA hasta su posterior ejecución o puesta en circulación en los canales comerciales de aplicación.
Ver Parte I aquí.