KNOW. Novedades Jurídicas y Fiscales nº86 - Febrero 2020

© 2020 KPMG Abogados S.L.P. sociedad española de responsabilidad limitada profesional y firma miembro de la red KPMG de firmas independientes afiliadas a KPMG International Cooperative (“KPMG International”), sociedad suiza. Todos los derechos reservados. 6 Nº 86 – Febrero 2020 KNOW Tax&Legal  En cuanto al derecho de acceso , aclara que alcanza también a los datos utilizados para el entrenamiento del sistema.  En cuanto al derecho de rectificación , el responsable tiene la obligación de atender el ejercicio de este derecho, incluso y especialmente, respecto a los datos generados por las inferencias y perfiles elaborados por la solución IA. Si el interesado detecta un sesgo, tendrá derecho a que los datos generados como resultado de utilizar la solución de IA sean rectificados.  En cuanto al derecho de supresión y las obligaciones de bloqueo de los datos , cuando se seleccione o desarrolle una solución IA, será necesario incluir medidas para bloquear los datos relativos al proceso de inferencia (al menos, respecto a la entrada - input - y resultados obtenidos - output -) que pudieran hacer falta para atender un recurso o reclamación de los interesados.  En cuanto al derecho de portabilidad , se hace hincapié en que debe ser tenido en cuenta desde las más tempranas fases de concepción y diseño del tratamiento, en la selección del componente de IA y/o por los desarrolladores de componentes de IA. En lo que se refiere a la toma de decisiones individuales automatizadas , la AEPD hace una aclaración interesante (por su aplicación al resto de Considerandos del RGPD) y señala que, con relación al tratamiento de datos de menores, la prohibición que se establece en el Considerando 71 del RGPD (que establece que no se les deben aplicar las decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, con efectos jurídicos o significativamente similares) no tiene un carácter absoluto, pudiendo darse excepciones cuando resulte imprescindible para proteger el bienestar del menor y se implementen las garantías adecuadas. Respecto al cumplimiento y aplicación de los principios que informan el RGPD :  Respecto al principio de minimización de datos , la AEPD señala que los datos recabados con fines de entrenamiento han de ser depurados de toda la información no estrictamente necesaria para llevar a cabo tal actividad (el entrenamiento del modelo). Asimismo, se refiere a su aplicación en el momento de la distribución, momento en el que, si la solución incorpora datos de interesados, será necesario: • Suprimirlos o, por el contrario, justificar la imposibilidad de hacerlo, en todo o en parte, por la degradación que para el modelo supondría. • Determinar la base jurídica para llevar a cabo la comunicación de datos a terceros, especialmente si se incluyen categorías especiales de datos. • Informar sobre dicha circunstancia a los interesados (como se ha señalado anteriormente). • Demostrar que se han ejecutado las medidas de privacidad por defecto y desde el diseño (sobre todo la minimización de datos). • En función de los riesgos que podría suponer para los interesados, y teniendo en cuenta el volumen o las categorías de datos, realizar una evaluación del impacto para la protección de datos. De ser precisa, la guía indica que se ha de realizar antes de que se ejecute el tratamiento efectivo de los datos de carácter personal, es decir, antes de iniciar el tratamiento. Por lo tanto, antes del diseño/selección e implementación de la solución IA para un determinado tratamiento. En particular, cuando el tratamiento, de forma automatizada, elabore perfiles y tome decisiones, hay que identificar todas estas decisiones en las distintas fases del tratamiento, detallarlas, analizar los parámetros de funcionamiento, como los márgenes de error, y evaluar cuidadosamente qué efectos tienen sobre los interesados. Existen diferentes técnicas de minimización de datos para las aplicaciones de Inteligencia Artificial, y algunas de ellos son específicas para ML. Las técnicas están en continuo desarrollo, pero la AEPD cita las siguientes: • Realización de un análisis previo de las condiciones que han de cumplir los datos para que sean considerados de alta calidad y con una gran capacidad predictora para la aplicación concreta. • Análisis de forma crítica de la extensión de la tipología de datos empleados en cada etapa de la solución IA. • Supresión de datos no estructurados, o información no necesaria recogida durante el preproceso de la información.