Privacidad e Inteligencia Artificial. Aspectos claves de su desarrollo
Durante meses se ha estado hablando en prácticamente todos los sectores de la sociedad sobre la Inteligencia Artificial (“IA”) y sobre las ventajas y riesgos de la misma para los menores, para los trabajos, para los artistas y sus obras, etc.
Ahora bien, antes de empezar a plantearnos el potencial de la IA para todas estas actividades y de preocuparnos por su potencial, debemos empezar, antes de todo, a preguntarnos sobre los riesgos y características que deben intervenir en su creación, desarrollo y mejora. Para ello, un punto esencial es analizar dichos aspectos desde la perspectiva del uso de los datos personales y los requisitos aplicables que deben extraerse del Reglamento General de Protección de Datos RGPD.
Y es que varias autoridades de control en materia de protección de datos, como la española, la francesa, la inglesa, etc., han ido examinando a lo largo de los años esta materia, de cara a establecer unos requisitos mínimos que deben tenerse en cuenta por dichas IAs cuando las mismas vayan a tratar o vayan a ser entrenadas con datos personales.
De todos estos organismos, podemos extraer unos elementos comunes cuyo conocimiento es esencial para los desarrolladores de IA, de los que nos gustaría destacar los siguientes:
· Definir un objetivo y ser transparente con el usuario y usar sólo datos para los que contamos con autorización
Es muy importante analizar los datos que necesitamos para limitar el acceso de la IA y sus desarrolladores a los mínimos datos posibles, así como garantizar que dichos datos no hayan cumplido su plazo de retención notificado, ya que su conservación más allá de dicho plazo, sin notificación al usuario, implicaría vulnerar la información proporcionada al mismo y, por tanto, incumplir el principio de transparencia y de conservación de datos que impone la normativa.
· Supervisar la mejora continua del aprendizaje y el proceso y evitar posibles riesgos y discriminaciones
Es posible que la IA empiece a utilizar los inputs que han sido entregados por un usuario final (respuestas, documentos, modelos, etc.) para responder las nuevas consultas, lo que implica que puedan verse filtrados a dicho usuarios datos personales de los usuarios originales.
Asimismo, también existe el riesgo de que la IA empiece a desarrollar patrones de respuesta que puedan constituir un incumplimiento de las leyes de igualdad y no discriminación, tanto porque los mismos estén basados en patrones discriminatorios como incluso en el caso de que estén basados en datos objetivos pero impacten en un ámbito que ha querido protegerse por las leyes estatales (por ejemplo, una IA destinada a establecer un valor para un seguro que trate de forma distinta a hombres y mujeres).
· Protección frente a los riesgos de los modelos de IA
Como puede imaginarse, las IA tienen acceso a una cantidad enorme de información personal que, además, con carácter general, es capaz de identificar perfectamente entre el resto de la información que se le proporcionan en los entrenamientos y consultas.
Esto implica que exista un riesgo muy alto de que una IA, con una seguridad no apropiada, pueda ser objeto de ataques cibernéticos con el objetivo de obtener información personal, como puede ser información identificativa, bancarias, etc., con los grandes riesgos que esto conlleva en materia de suplantación de identidad, phishing, y similares.
Es por ello por lo que es muy importante establecer un procedimiento de pruebas de seguridad que garantice que los sistemas de IA tienen medidas robustas que impidan la extracción de la información personal a la que han tenido acceso, así como limitar la conservación de datos personales a la mínima indispensable de manera que se permita garantizar el impacto bajo (y, por tanto, el interés bajo del hacker) en caso de que se produzca cualquier brecha de seguridad en dicho sistema
· Derechos de los usuarios y decisiones automatizadas
Es importante tener en cuenta que los usuarios van a poder ejercer sus derechos en materia de protección de datos ante las empresas propietarias de estas IAs, esto implica que las mismas deben ser capaz de procurar al usuario el acceso a la información que pueda contener la IA, a rectificar la misma o suprimir la información.
Por ejemplo, al igual que ocurre con los buscadores online, si un usuario conoce que la IA en cuestión está mostrando información personal a terceros relativa a su persona o un evento pasado de relevancia pero que ya no tiene interés para terceros (por ejemplo, un caso de concurso de acreedores de una persona que ocurrió hace 10 años) tiene el derecho, y la empresa el deber, de que dicha información sea eliminada de inmediato.
Es por ello por lo que las empresas deben tener un procedimiento organizativo, pero también a nivel técnico, para atender y gestionar estas peticiones de derechos o de impugnación de las decisiones de la IA.
A nivel negocio, está claro que el tratamiento de datos personales va a ser uno de los puntos esenciales en los procesos que con toda seguridad se crearán para la evaluación y aprobación de las IAs por parte de las autoridades competentes, por lo que no tener en cuenta este aspecto en la creación de las mismas puede implicar la pérdida completa de la inversión si la misma posteriormente no puede ser lanzada.
Por ello, va a ser esencial que, dentro de cada entidad se fragüe una estrecha colaboración entre técnicos de desarrollo, personal de seguridad informática y expertos en protección de datos si se pretende lanzar al mercado una IA.
Para más información no dudes en contactarnos.