2 minute read
Gestión
Procesamiento seguro: Desarrolladores y/o usuarios de sistemas de IA que procesen datos personales deberán considerar los riesgos de seguridad que plantea el uso de estos sistemas y aplicar aquellas medidas de seguridad que contribuyan a mitigarlos. Entre esos riesgos se incluye la posibilidad de accesos no autorizados de terceros con el potencial de manipular el algoritmo y, por tanto, los resultados obtenidos.
Responsabilidad proactiva o accountability: En el contexto de la inteligencia artificial y protección de datos, responsables y encargados deben rendir cuentas tanto a los reguladores como a las personas, y deben tener en cuenta la probabilidad y gravedad de las consecuencias del uso de la IA en las personas.No pueden simplemente desplegar un sistema de inteligencia artificial y luego culpar a ese sistema cuando su salida daña a las personas o resulta en incumplimiento
Advertisement
Será necesario determinar, en cada fase del uso de los sistemas de IA, quién es el responsable y quién el encargado del tratamiento, ya que puede variar en cada una de ellas. En cualquier caso, es recomendable identificar un equipo o autoridad específica dentro de la empresa responsable del uso de sistemas de inteligencia artificial donde se procesan datos personales.
Nombrar un Delegado de Protección de Datos: Dado que el uso de sistemas de IA suele implicar el procesamiento de datos a gran escala y/o la monitorización regular y sistemática a gran escala de individuos, será necesario que responsables y encargados designen un DPO. (Delegado en protección de Datos) Registro de actividades de tratamiento: Responsables y encargados tendrán que elaborar un registro de actividades de tratamiento si emplean sistemas de IA, en el que se incluirán, entre otra información, los datos que se tratan, los propósitos de uso de la IA y las medidas de seguridad adoptadas. Si el propósito original cambia, el RAT deberá actualizarse.
Brechas de seguridad: Siempre que haya una violación que involucre datos personales procesados por un sistema de IA, ya sea en la capacitación o en la fase de uso, el responsable debe informar a la AEPD y a las personas sobre el incumplimiento, si las condiciones relevantes se cumplen por las circunstancias del incidente Esta notificación debe realizarse en un plazo no superior a 72 horas
Derechos de los interesados: El diseño de los sistemas de IA debe permitir que responsables del tratamiento puedan atender y responder a las solicitudes de derechos de los interesados (acceso, rectificación, supresión, limitación, portabilidad y oposición)
Contrato de entre responsable y encargado: En el contexto la Inteligencia Artificial y la protección de datos, la relación entre responsable y encargado puede variar, dependiendo de las funciones y responsabilidades precisas que las partes tienen en relación con la capacitación y el despliegue del sistema de IA; estas deben reflejarse adecuadamente en un contrato. Por ejemplo, un encargado puede entrenar un algoritmo bajo la instrucción de un responsable. A través de las disposiciones contractuales, los encargados pueden garantizar que estos sistemas de IA estén diseñados u operados para procesar datos personales solo de acuerdo con sus instrucciones y para los fines acordados entre las partes.
