KNOW. Novedades Jurídicas y Fiscales nº86 - Febrero 2020

© 2020 KPMG Abogados S.L.P. sociedad española de responsabilidad limitada profesional y firma miembro de la red KPMG de firmas independientes afiliadas a KPMG International Cooperative (“KPMG International”), sociedad suiza. Todos los derechos reservados. 7 Nº 86 – Febrero 2020 KNOW Tax&Legal • Identificación y supresión , durante el proceso de entrenamiento, aquellas categorías de datos que no tienen una influencia significativa en el aprendizaje o en el resultado de la inferencia. • Supresión de conclusiones no relevantes asociadas a información personal durante el proceso de entrenamiento, por ejemplo, en el caso de entrenamiento no-supervisado. • Utilización de técnicas de verificación que requieran un menor número de datos , como la validación cruzada. • Análisis y configuración de hiperparámetros del algoritmo que pudieran tener influencia en la cantidad o extensión de datos tratados para minimizar estos. • Utilización de modelos de aprendizaje federado en vez de centralizado . • Aplicación de estratégicas de privacidad diferencial . • Entrenamiento con datos cifrados utilizando técnicas homomórficas . • Agregación de datos . • Anonimización y seudonimización , no solo en la comunicación de datos, sino también en los datos de entrenamiento, posibles datos personales contenidos en el modelo y en el tratamiento de la inferencia.  Respecto al principio de transparencia , merece la pena destacar que la AEPD lo considera un aspecto crítico. La transparencia está ligada con una información veraz sobre la eficiencia, las capacidades y las limitaciones reales de los sistemas de IA, que evite la creación de falsas expectativas, en los usuarios y los interesados, que puedan ocasionar una mala interpretación de las inferencias que se realizan en el marco del tratamiento. También, la transparencia está ligada a información sobre el contexto y situación del tratamiento, como la existencia de terceras partes, la localización física/virtual de la solución AI, etc.  En cuanto al principio de exactitud , la AEPD aclara que, en la fase de entrenamiento, se han de emplear métricas y técnicas de depuración y trazabilidad para garantizar la fidelidad e integridad del conjunto de datos. La exactitud es particularmente crítica cuando el tratamiento está basado en información biométrica, como IA sobre reconocimiento facial, huellas dactilares, voz, etc.  En relación con el principio de responsabilidad proactiva , la AEPD especifica que se deben implementar registros, como aquellos que permiten realizar la trazabilidad sobre la procedencia de los datos de entrenamiento y validación, así como registros de los análisis que se han realizado sobre la validez de dichos datos y sus resultados. A este respecto, no sólo hay que auditar los tratamientos que tengan lugar como consecuencia del uso de IA, sino que este ha de ser auditable a lo largo de su ciclo de vida, incluyendo su retirada. El proceso de auditoría, para ser efectivo, ha de realizarse en las mismas condiciones que un entorno real de explotación, en particular, para evaluar: • La existencia de un proceso de análisis, desarrollo y/o de implementación documentado incluyendo, cuando proceda, las oportunas evidencias de trazabilidad. • La existencia o no de datos personales , elaboración de perfiles o decisiones automáticas sobre interesados sin intervención humana , así como el análisis de la eficacia de los métodos de anonimización y seudonimización . • Análisis de la existencia y legitimación del tratamiento de categorías especiales de datos, en particular en la información inferida . • La base jurídica para el tratamiento y la identificación de responsabilidades . • En particular, cuando la base jurídica es el interés legítimo, evaluación del balance entre los distintos intereses e impactos sobre los derechos y libertades en función de las garantías adoptadas. • La información y la efectividad de los mecanismos de transparencia implementados. • La aplicación del principio de responsabilidad proactiva y la gestión del riesgo para los derechos y libertades de los interesados y en particular, si se ha evaluado la obligación o necesidad de la ejecución de EIPDs y, en caso afirmativo, sus resultados. • Con relación a lo anterior, la aplicación de medidas de protección de datos por defecto y desde el diseño , entre otras: