Nuevas pautas de ICO para el cumplimiento de la privacidad de datos de IA y PII

Publicado: 2022-11-16

A medida que la IA se vuelve más frecuente en nuestra vida diaria, las empresas de todo el mundo deben sumergirse en el creciente panorama de las obligaciones legales y reglamentarias relacionadas con el uso de los sistemas de IA.

En noviembre de 2022, la ICO anunció un conjunto de pautas sobre cómo las organizaciones pueden utilizar la IA y los datos personales de manera ética y legal, de conformidad con el marco de protección de datos del Reino Unido.

Se complementa con una serie de preguntas frecuentes sobre el uso de IA y datos personales, como si se deben realizar evaluaciones de impacto, si los resultados deben cumplir con el principio de precisión y si las organizaciones requieren autorización para analizar datos personales.

Esta guía explica cómo se aplican las reglas de protección de datos a las iniciativas de IA, al mismo tiempo que observa las muchas ventajas que dichos proyectos podrían brindar, ayudando a las organizaciones a reducir los riesgos que surgen específicamente desde el punto de vista de la protección de datos.

Lea más sobre esta dirección en el sitio web de ICO.

Cómo recopilar legalmente datos de IA

La guía de la ICO reconoce que si bien la utilización de la IA tiene ventajas innegables, también puede poner en peligro las libertades y los derechos de las personas cuando la protección de datos no se toma en serio. Con este fin, su guía proporciona un marco útil sobre cómo las empresas deben evaluar y mitigar estos riesgos.

La guía cubre ocho elementos estratégicos que las empresas pueden adoptar para mejorar la forma en que manejan la IA y los datos personales:

1. Utilice un procedimiento basado en riesgos al crear e implementar IA

Al usar IA, debe determinar si es necesario para la situación. La IA generalmente se considera una tecnología de alto riesgo cuando interactúa con información personal. Una empresa requiere grandes cantidades de datos para mejorar sus sistemas para que funcionen correctamente y nuestros datos pueden ser revendidos, sin saber quién los recibe o cómo se utilizan.

Por lo tanto, puede haber un sustituto más eficiente y que preserve la privacidad.

Como establece el ICO, debe evaluar los riesgos y establecer las salvaguardas organizativas y técnicas necesarias para reducirlos. Siendo realistas, es imposible eliminar por completo todos los riesgos, y las leyes de protección de datos no exigen que lo haga, pero asegúrese de:

Emplear una evaluación de impacto de protección de datos (DPIA) para determinar y reducir el riesgo de no adherirse a las leyes de protección de datos que plantea su uso de IA, así como para prevenir daños a las personas.
Busque la opinión de muchos grupos sobre los posibles impactos de su uso de la IA para comprender mejor el peligro.

Cuando se requiere legalmente una DPIA, debe realizar una antes de implementar un sistema de IA e introducir las medidas de seguridad organizativas y técnicas adecuadas que ayudarán a reducir o gestionar los riesgos que encuentre. Antes de que ocurra cualquier procesamiento, está legalmente obligado a hablar con el ICO si identifica un riesgo que no puede mitigar adecuadamente.

2. Considere cómo explicará las decisiones de su sistema de IA a quienes se verán afectados

Según la ICO, puede ser un desafío explicar cómo la IA genera ciertas decisiones y resultados, especialmente cuando se trata de aprendizaje automático y algoritmos complicados, pero eso no significa que no deba brindar explicaciones a las personas.

Esto es lo que recomienda el ICO:

Sea claro, abierto y transparente con las personas sobre cómo y por qué recopila y utiliza sus datos personales
Piense en qué justificación se requiere en el entorno donde se utilizará su sistema de IA
Considere cómo es probable que las personas perciban su explicación.
Analice los efectos probables de las elecciones de su sistema de IA para determinar qué tan completa debe ser su justificación
Considere cómo se gestionarán las solicitudes de derechos individuales

3. Reúna solo la información necesaria para crear su sistema de IA

El ICO aconseja limitar la recopilación de datos siempre que sea posible. Esto no quiere decir que no se puedan recopilar datos, solo significa que los datos se administren de una manera que cumpla con los estándares de GDPR.

Debería:

Asegúrese de que la información personal que utiliza sea precisa, adecuada, relevante y limitada; esto diferirá según el contexto en el que utilice la IA.
Piense en qué métodos de preservación de la privacidad son adecuados para la situación en la que está empleando IA para procesar datos personales.

El principio de precisión para la protección de datos no requiere que un sistema de IA sea 100 % correcto. En cambio, las organizaciones deben asegurarse de que existan procedimientos para garantizar la equidad y la precisión general de los resultados.

4. Etiquetar los riesgos de sesgo y discriminación en una etapa temprana

Hay formas en que un sistema de IA puede estar sesgado o conducir a la discriminación. Esto puede crear conjuntos de datos inexactos y desequilibrados, y abordar este problema de manera temprana es un aspecto importante del cumplimiento de la privacidad de datos.

El ICO recomienda que usted:

Determine si los datos que recopila son precisos, representativos, confiables, relevantes y actualizados para la comunidad o los diferentes grupos de personas afectadas por el sistema de IA.
Determinar si los juicios realizados por el sistema de IA son aceptables mediante el mapeo de las posibles implicaciones y resultados para varios grupos.

5. Invierta tiempo y recursos en la preparación adecuada de los datos

Como ya se mencionó, la IA es tan confiable como los datos que recopila. Por lo tanto, las organizaciones deben asegurarse de que se dedican suficientes recursos y tiempo para recopilar los datos necesarios.

El ICO recomienda que:

Cuando se trata del etiquetado de datos que involucran características protegidas o datos de categoría especial, debe haber criterios definidos y líneas de responsabilidad.
Para mantener la coherencia y ayudar con situaciones inusuales, debe involucrar a varios etiquetadores humanos

6. Asegúrese de que su sistema de IA sea seguro

Los sistemas de IA tienen el potencial de aumentar los riesgos o introducir nuevas vulnerabilidades de seguridad.

Cuando se trata de medidas de seguridad, no existe un enfoque único para todos. Sin embargo, debe cumplir con la ley y establecer las garantías organizativas y técnicas adecuadas para proporcionar un nivel de seguridad proporcional a los riesgos identificados.

Utiliza la Inteligencia Artificial de forma segura

El ICO recomienda que las empresas:

Realice una evaluación de riesgos de seguridad que incluya un inventario actual de todos los sistemas de IA para que pueda obtener un concepto general de dónde podrían ocurrir incidentes potenciales.
Realizar la depuración del modelo, que es el proceso de identificar y abordar fallas en su modelo, ya sea por un auditor de seguridad interno o un auditor de seguridad externo.
Implemente un sistema de monitoreo proactivo y busque cualquier irregularidad.

7. Las revisiones humanas de las decisiones de IA deberían ser significativas

Debe determinarse desde el principio si los resultados se utilizan para ayudar a un tomador de decisiones humano, o si las decisiones son completamente autónomas, según el objetivo de la IA.

El ICO enfatiza que los interesados tienen derecho a saber si las elecciones que involucran sus datos se han realizado completamente por su cuenta o con la ayuda de AI. Las pautas también sugieren que deben evaluarse significativamente cuando se utilizan para ayudar a una persona.

Para asegurarse de que estas revisiones sean significativas, los revisores deben ser:

Suficientemente capacitado para evaluar y cuestionar los resultados del sistema de IA
Capaz de revocar un juicio automático
Consciente de factores adicionales que no se reflejaron en los datos de entrada

Cuando una decisión tiene un impacto legal o de otro tipo sustancial, los interesados tienen derecho en virtud del RGPD a no estar sujetos a ella. También tienen derecho a esperar información significativa sobre el razonamiento detrás de la decisión.

Como resultado, incluso si se establece como una recomendación, la revisión humana es necesaria cuando la IA toma decisiones importantes.

8. Consulte con un proveedor externo para asegurarse de que su uso de IA sea apropiado

La compra de un sistema de IA de un tercero no lo exime de la responsabilidad de cumplir con la legislación de protección de datos. En la mayoría de los casos, usted será el controlador de datos y decidirá cómo implementar el sistema de IA.

Como resultado, debe poder demostrar cómo el sistema de IA se adhiere a la legislación de protección de datos.

El ICO sugiere que las empresas:

Elija un proveedor apropiado realizando la debida diligencia antes de cualquier adquisición
Involucrarse con el proveedor externo para realizar una evaluación antes de la implementación (como una DPIA)
Establezca roles y deberes con el proveedor externo y regístrelos (por ejemplo, quién responderá a las solicitudes de derechos individuales o realizará controles de seguridad)
Solicitar documentación al proveedor externo que demuestre que respeta la “privacidad por diseño”
Considere si los datos personales se transferirán internacionalmente; de ser así, asegúrese de que se respeten los derechos de privacidad de las personas.

RGPD e IA

Si bien la IA tiene el potencial de ser una herramienta valiosa, a medida que se desarrolla, también representa un riesgo para la seguridad y la privacidad de los datos, así como preocupaciones normativas.

Es difícil evitar mencionar el Reglamento General de Protección de Datos (GDPR) mientras se discuten las reglas de inteligencia artificial (IA). Los datos son el componente esencial para las aplicaciones de IA, y el RGPD ha tenido la mayor influencia mundial en términos de crear un mercado de datos más regulado.

Consulte nuestro centro de privacidad de datos y GDPR, que profundiza en las regulaciones y el cumplimiento.