La inteligencia artificial denominada IA la definen algunos expertos como la capacidad de un sistema para interpretar correctamente datos externos, para aprender de dichos datos y emplear esos conocimientos, para lograr tareas y metas concretas a través de la adaptación flexible o bien la capacidad de las máquinas para usar algoritmos y utilizar lo aprendido en la toma de decisiones tal y como lo haría un ser humano.
Para su uso, un tratamiento que tome decisiones automatizadas usando la inteligencia artificial puede afectar a personas físicas, ello conlleva realizar tratamientos y procedimientos con datos personales y la aplicación del Reglamento europeo de protección de datos 2016/679 (RGPD)
La agencia española de protección de datos ha publicado la guía “Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción” Este documento tiene como objetivo ser una primera aproximación para la adecuación al Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) de productos y servicios que incluyan componentes de Inteligencia Artificial y pretende ser una mera introducción a la adecuación de los tratamientos que incluyan componentes de IA y no cubre todas las posibilidades y riesgos que se pueden derivar del empleo de soluciones en IA en tratamientos de datos personales.
Posteriormente a la publicación de la anterior guía, la Agencia española de protección de datos también ha publicado la guía de “Requisitos para Auditorías de Tratamientos que incluyan IA” Esta guía realiza una primera aproximación a un conjunto de controles que podrían incorporarse a las auditorías de tratamientos de datos personales que hacen uso de componentes basados en inteligencia artificial (IA). Es importante señalar que los controles incluidos están concebidos para realizar un análisis de la adecuación del tratamiento desde una perspectiva de protección de datos.
Existe un conjunto mínimo de condiciones que deben cumplirse a la hora de realizar un tratamiento de datos con inteligencia artificial para garantizar la conformidad del tratamiento realizado.
Entre ellas pueden citarse:
- La existencia de una base para legitimación del tratamiento de datos personales.
- La obligación de informar a los sujetos de los datos y ser transparente.
- La obligación de proporcionar a los sujetos de los datos mecanismos para el ejercicio de sus derechos
- La aplicación del principio de responsabilidad proactiva que establecen la necesidad de incorporar una serie de garantías adicionales, más allá de un mínimo, documentadas y orientadas a gestionar el riesgo para los derechos y libertades de los individuos. En particular, la obligación de mantener un registro de actividades de tratamiento
- El cumplimiento de las condiciones para poder realizar transferencias internacionales de datos
Con relación a la protección de datos personales, el cumplimiento de lo establecido en el RGPD exige cierto nivel de madurez a las soluciones IA que permita determinar de forma objetiva la adecuación de los tratamientos y la existencia de avales y medidas para gestionar sus riesgos.