6 claves en el tratamiento de datos en IA

La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una guía para llevar a cabo auditorías en los tratamientos que incluyan Inteligencia Artificial y desde Paradigma han querido analizar los puntos claves. Según señalan los expertos de Paradigma Digital, multinacional española especializada en la transformación digital de las empresas, las medidas o puntos clave en el tratamiento de datos personales en IA “tienen que ser seleccionados según cada caso. Por ejemplo, si un componente que, a partir del análisis de los datos de entrada, puede llegar a tomar decisiones que afecten de manera significativa a un individuo, negándole el acceso a servicios esenciales o restringiendo sus libertades, resulta evidente que el alcance de la auditoría y la exhaustividad del análisis de los controles propuestos ha de ser mayor que en un componente que, por ejemplo, se limite a la clasificación del correo electrónico en la bandeja de spam.” La compañía española señala como medidas las siguientes:

1) El deber de informar: El deber de informar, implica informar al interesado, de forma clara y accesible, sobre los metadatos (parámetros utilizados en los procesos de aprendizaje) del componente IA, su lógica y las consecuencias de su empleo, así como mecanismo de comunicación en caso de comportamiento erróneo del componente de IA. Para ello, primero debemos tener identificada esta información, así como disponer de una correcta identificación del componente IA, conservando el histórico de versiones, documentando el origen de los datos, y asegurar que las características de los datos usados para entrenar al componente IA estén identificadas y justificadas.

2) Principio de limitación de finalidad: Hemos de tener bien definido el propósito del componente IA, identificando la finalidad perseguida, y ceñirnos a ella. La finalidad no podrá ser la recogida de datos y ver qué puedo hacer con ellos luego. Para garantizar este principio también debemos identificar el contexto del uso de ese componente IA, incluyendo los baremos o umbrales para interpretar y utilizar los resultados. Igualmente, ha de encontrarse identificada la arquitectura básica del componente IA, comprendiendo las interrelaciones que mantiene con otros elementos integrantes del tratamiento.

3) Exactitud y calidad de los datos: Se trata de asegurarnos de que recogemos y tratamos solo los datos indispensables para la finalidad perseguida. Requiere por tanto un análisis preciso de compensación, estableciendo la relación entre la cantidad y tipología de datos a ser recogidos/descartados y aquellos necesarios para garantizar la efectividad y eficiencia del componente.

4) Existencia de sesgos: Ha de verificarse que en los datos de entrenamiento no existan sesgos históricos previos, incluir un mecanismo de supervisión humana para asegurar esa ausencia de sesgos en los resultados, así como procedimientos para identificar y eliminar o limitar sesgos en los datos utilizados para entrenar el modelo. También debemos tener claro el origen de las fuentes de datos, justificando el proceso de elección de las fuentes de datos utilizadas para el entrenamiento del componente. Ojo, porque cuando tratemos datos personales sensibles, como pueden ser datos de salud o datos biométricos, es necesario un análisis específico, puesto que la norma general es la prohibición de tratarlos, salvo que encajemos en alguna de las excepciones previstas. Además, hemos de contar con procesos para la depuración previa de los conjuntos de datos originales, y aplicar criterios de minimización mediante estrategias de ocultación, separación, abstracción, anonimización y seudonimización de los datos .En relación con ello, para cumplir con el principio de exactitud, ha de garantizarse el rendimiento, debiendo analizarse e interpretarse los valores de las tasas de falsos positivos y falsos negativos que arroja el componente IA de cara a determinar la precisión, la especificidad y la sensibilidad del comportamiento del componente. También debemos velar por la coherencia, determinando si el componente IA se comporta de manera distinta frente a individuos que se diferencian entre sí en características asociadas a categorías especiales de datos o en los valores que toman las variables proxy. También habiendo comprobado que no existe correlación entre los resultados y las variables adicionales asociadas a sujetos que no forman parte de las variables de proceso y que pudieran determinar la existencia de sesgos.

5) Derecho del interesado de no ser objeto de decisiones automatizadas: Es el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca en él efectos jurídicos o de análoga naturaleza. En este punto, la trazabilidad cobra especial relevancia, y para garantizarla deberán existir mecanismos de monitorización, disponibles a operadores humanos para su seguimiento y verificación, y asegurar la intervención humana en la toma de decisiones, tanto de oficio, ante resultados discrepantes en relación con el comportamiento esperado, como de parte, ante solicitud de los interesados afectados por el resultado del componente.

6) Fundamentos del componente IA: Esto incluirá una adecuación de los modelos teóricos base y del marco metodológico, definiendo un procedimiento de revisión crítica de los razonamientos derivados de la aceptación de hipótesis importantes para el desarrollo del componente IA. Por ejemplo, examinar cuáles son los argumentos tras una relación causal que modela un algoritmo, como la selección de variables que definen un fenómeno. La AEPD nos recuerda que para cumplir con el principio de responsabilidad proactiva debemos adecuar el proceso de verificación y validación del componente IA, asegurando que están definidas y justificadas las métricas y criterios respecto a los cuales se realizará las comprobaciones en el proceso de verificación y validación, o tener definida una estrategia de pruebas. Así mismo, para garantizar la estabilidad y robustez, en el caso de componentes IA de aprendizaje continuo, se debe evaluar el grado de adaptabilidad a nuevos datos. Por último, para cumplir con la protección de datos desde el diseño y por defecto, y la seguridad del tratamiento, debemos implementar medidas para garantizar la confidencialidad (seudonimización o anonimización), la integridad o la resiliencia. También implementar procedimientos para monitorizar el funcionamiento del componente y detectar, de manera temprana, posibles fugas de datos, accesos no autorizados u otros tipos de brechas de seguridad.

Desde Paradigma concluyen que “los tratamientos que incluyen soluciones de IA exigen un análisis amplio, no centrado en los aspectos técnicos específicos de las tecnologías empleadas, sino que ha de cubrir un alcance mucho más extenso, que contemple aspectos éticos y regulatorios como la protección de datos y los riesgos para los derechos y libertades que pueda traer consigo. Esto es debido al impacto que pueden generar, y a la propia dificultad tanto de su regulación como de su comprensión, generando dudas entre los usuarios, investigadores, especialistas, autoridades y la industria con relación a aspectos de cumplimiento normativo, respeto a los derechos de los interesados y seguridad jurídica de todos los intervinientes.”

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .