KNOW. Novedades Jurídicas y Fiscales nº86 - Febrero 2020

© 2020 KPMG Abogados S.L.P. sociedad española de responsabilidad limitada profesional y firma miembro de la red KPMG de firmas independientes afiliadas a KPMG International Cooperative (“KPMG International”), sociedad suiza. Todos los derechos reservados. 5 Nº 86 – Febrero 2020 KNOW Tax&Legal Enfoque legal Reglas de privacidad para los sistemas de IA – Nueva guía de la AEPD Hace pocos días, mucho antes de que nuestra existencia estuviese marcada por el COVID-19, la Agencia Española de Protección de Datos (AEPD) publicó una nueva guía en su página web: “ Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción ”. La propia AEPD aclara en la parte introductoria del documento que lo que propone no es más que una “ primera aproximación para la adecuación al Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) de productos y servicios que incluyan componentes de Inteligencia Artificial .” Se trata de una guía accesible, tanto en su aproximación al RGPD como a los conceptos relacionados con la Inteligencia Artificial (IA), lo que la convierte en un instrumento verdaderamente útil, no sólo para los especialistas en protección de datos, sino también para los usuarios y desarrolladores de sistemas de IA. De entre las muchas cuestiones que se desgranan en la guía, que supera el medio centenar de páginas, cabe destacar las siguientes: Se considera responsable del tratamiento a quien adopte una solución que incorpora IA. Esto significa que cualquier empresa que incorpore a su operativa una solución tecnológica que tenga un componente de IA será plenamente responsable a la hora de auditar y decidir la adecuación de dicho sistema a las exigencias del RGPD. La empresa, por más ello pudiera responder a la realidad, no podrá escudarse en la carencia de información o el desconocimiento técnico para evadir una responsabilidad que, en ningún caso resulta tampoco trasladable al propio sistema de IA. En cuanto al deber de informar a los interesados (a las personas que están asociadas a los datos que se vayan a tratar con dichos sistemas), la AEPD aclara que cumplir con esta obligación ofreciendo una mera referencia técnica a la utilización de un algoritmo puede ser opaco, confuso, e incluso conducir a la “fatiga informativa” . Debe facilitarse información que permita entender el comportamiento del tratamiento, que dependerá, no obstante, del tipo de componente de IA utilizado. Para facilitar las cosas, la AEPD propone mediante un ejemplo cómo se debería informar al interesado, señalando que sería preciso informarle de:  Qué datos serán empleados para alimentar la solución/ componente de IA, más allá de la categoría de datos, y cuáles serán los plazos de uso de los datos (su antigüedad).  La importancia relativa que cada uno de ellos tiene en la toma de decisión que se adopte utilizando una solución de IA.  La calidad de los datos de entrenamiento y el tipo de patrones utilizados.  Los perfilados realizados y sus implicaciones.  Los valores de precisión o error según la métrica adecuada para medir la bondad de la inferencia (es decir, los posibles sesgos).  La existencia o no de supervisión humana cualificada.  La referencia a auditorías, especialmente sobre las posibles desviaciones de los resultados de las inferencias (los sesgos), así como la certificación o certificaciones realizadas sobre el sistema de IA. En el caso de sistemas adaptativos o evolutivos, la última auditoría realizada.  En el caso de que el sistema IA contenga información de terceros identificables, la prohibición de tratar esa información sin legitimación y de las consecuencias de realizarlo. En cuanto a la gestión de los derechos de protección de datos , indica la AEPD que es preciso contar con un modelo de gobernanza de la información que sea efectivo, que permita la trazabilidad de la información para poder identificar al responsable y hacer posible el ejercicio de dichos derechos. Bartolomé Martín Director Legal Mercantil KPMG Abogados, S.L.P