Comprensión del negocio
Home » IA » Estudio de casos » Primer escenario: construcción de una herramienta de IA dedicada al diagnóstico del COVID-19 » Comprensión del negocio

Descripción

“La fase inicial de comprensión del negocio se centra en entender los objetivos del proyecto desde una perspectiva empresarial, convertir este conocimiento en una definición del problema de minería de datos y, a continuación, desarrollar un plan preliminar diseñado para alcanzar los objetivos. Para entender qué datos deben ser analizados más tarde, y cómo, es vital para los profesionales de la minería de datos entender completamente el negocio para el que están buscando una solución. La fase de comprensión del negocio implica varios pasos clave, incluyendo la determinación de los objetivos del negocio, la evaluación de la situación, la determinación de los objetivos de minería de datos, y la producción del plan del proyecto.”[1]

Este objetivo general implica cuatro tareas principales:

  1. Determinar los objetivos empresariales:
    1. Descubrir el objetivo principal del negocio, así como las cuestiones relacionadas con éste que se desean abordar.
    2. Determinar la medida del éxito.
  2. Evaluar la situación:
    1. Identificar los recursos disponibles para el proyecto, tanto materiales como personales.
    2. Identificar los datos disponibles para cumplir el objetivo principal de la empresa.
    3. Enumerar las hipótesis realizadas en el proyecto.
    4. Enumerar los riesgos del proyecto, enumerar las posibles soluciones a esos riesgos, crear un glosario de términos empresariales y de minería de datos, y construir un análisis de costes y beneficios para el proyecto.
  3. Determinar los objetivos de la minería de datos:
    1. Decidir qué nivel de precisión predictiva se espera para considerar que el proyecto es exitoso.
  4. Elaborar un plan de proyecto:
    1. Describir el plan previsto para alcanzar los objetivos de extracción de datos, incluyendo la descripción de los pasos específicos y el calendario propuesto, una evaluación de los riesgos potenciales y una evaluación inicial de las herramientas y técnicas necesarias para apoyar el proyecto.

Principales acciones a abordar

Definir los objetivos del negocio

Lo primero que hay que aclarar cuando se quiere crear una herramienta de IA es lo que se quiere conseguir. En el caso de una herramienta que identifique una patología a partir de una radiografía, puede ser, por ejemplo, que

  1. Sirva de apoyo al trabajo del radiólogo
  2. Puede servir de apoyo al trabajo de un médico de atención primaria, es decir, para determinar si se debe derivar al paciente a un especialista.
  3. También puede servir para sustituir al médico y realizar un diagnóstico de, por ejemplo, COVID por sí solo.
  4. Puede utilizarse para realizar un primer triaje (es decir, recomendar si debe intervenir un médico de atención primaria o un especialista).

Cada uno de estos escenarios tiene características muy diferentes. Algunos de ellos requieren un nivel de precisión mayor que otros. Así, por ejemplo, si se pretende sustituir al profesional sanitario, es necesario que la IA alcance un nivel de precisión muy alto.

Las implicaciones éticas y jurídicas de los distintos fines serán, al mismo tiempo, muy diferentes. Si el mecanismo se va a utilizar con fines de toma de decisiones automatizada, como en los casos 3) o 4), el tratamiento de los datos estará sujeto a un régimen jurídico considerablemente más estricto. De hecho, en muchos países ese uso puede ser directamente ilegal.

Todas estas consideraciones deben tenerse en cuenta desde el principio. El proceso de desarrollo no debe iniciarse si usted, como responsable del tratamiento, no aclara cuáles son los resultados que se pretenden obtener, ya que esta cuestión es clave para determinar si el tratamiento de datos previsto se ajusta o no al RGPD. Decidir el nivel de precisión predictiva que se espera para considerar que el proyecto tiene éxito, es esencial para evaluar la cantidad de datos que se necesitarán para desarrollar la herramienta de IA o la naturaleza de esos datos. El nivel de predictibilidad o precisión del algoritmo, los criterios de validación para probarlo, la cantidad máxima o la calidad mínima de los datos personales que serán necesarios para utilizarlo en el mundo real, etc., son características fundamentales de un desarrollo de IA.

Estos elementos clave del desarrollo deben tenerse en cuenta desde la primera fase del ciclo de vida de la solución. Esto será muy útil para aplicar una política de protección de datos desde el diseño. Si se puede alcanzar un nivel de precisión aceptable utilizando una cantidad de datos personales considerablemente menor que la que requiere un nivel superior, esto debería considerarse decididamente. Cuanto más inexactas sean estas evaluaciones, más difícil será determinar los fines precisos que se persiguen con el tratamiento (véase la subsección véase el subapartado “Requisitos previos a la licitud: fines explícitos” de la sección “Licitud, lealtad y transparencia”). Si tenemos en cuenta que los responsables del tratamiento deben hacer explícitas las finalidades del tratamiento, es decir, “reveladas, explicadas o expresadas de forma inteligible”, es muy recomendable que las expectativas sean precisas.

Optar por las soluciones técnicas

En general, siempre se debe prever el desarrollo de algoritmos más comprensibles en lugar de los menos comprensibles. Las compensaciones entre la explicabilidad/transparencia y el mejor rendimiento del sistema deben equilibrarse adecuadamente en función del contexto de uso. Aunque en la asistencia sanitaria la precisión y el rendimiento del sistema pueden ser más importantes que su explicabilidad, siempre hay que tener en cuenta que explicar una recomendación puede servir para formar a los médicos, proporcionar información adecuada a los pacientes que tienen que elegir entre distintos tratamientos posibles o justificar una decisión de triaje, por ejemplo. Por lo tanto, si un servicio bastante similar puede ofrecerse a través de un algoritmo fácil de entender o de uno opaco, es decir, cuando no hay compensación entre la explicabilidad y el rendimiento, debe optar por el que sea más interpretable (véase la sección sobre “Licitud, lealtad y transparencia” en el capítulo “Principios”).

Implantar un programa de formación en cuestiones éticas y jurídicas

Ésta es una de las acciones más importantes que hay que tener en cuenta desde el primer momento en el desarrollo de un negocio de IA. Los diseñadores de algoritmos (desarrolladores, programadores, codificadores, científicos de datos, ingenieros), que ocupan el primer eslabón de la cadena algorítmica, probablemente no sean conscientes de las implicaciones éticas y jurídicas de sus acciones. Si todo el personal que interviene está en estrecho contacto con los interesados, las consideraciones éticas son más fáciles de aplicar. Sin embargo, es probable que éste no sea su caso. De hecho, uno de los principales problemas que presenta una herramienta de IA dedicada a tratar temas de asistencia sanitaria es que generalmente utiliza datos personales incluidos en grandes conjuntos de datos. Esto desdibuja de alguna manera la relación entre los datos y el interesado, lo que conduce a violaciones de la normativa que rara vez se producen cuando el responsable del tratamiento y el interesado tienen una relación directa.

Esto podría acarrear terribles consecuencias en cuanto al adecuado cumplimiento de las normas de protección de datos, principalmente porque están en juego categorías especiales de datos. Es primordial que estos trabajadores clave tengan la mayor conciencia posible de las implicaciones éticas y sociales de su trabajo, y del hecho mismo de que éstas pueden llegar a extenderse a las decisiones de la sociedad, que por derecho no deberían poder juzgar solos. La mentalidad de silo debe combatirse cuidadosamente.

Para evitar que la tergiversación de las cuestiones éticas y jurídicas provoque consecuencias indeseadas, hay dos líneas principales de actuación que pueden adoptarse. En primer lugar, los desarrolladores pueden intentar que quienes diseñan los algoritmos sean capaces de comprender las implicaciones de sus acciones, tanto para los individuos como para la sociedad, y sean conscientes de sus responsabilidades, aprendiendo a mostrar una atención y vigilancia continuas. En este sentido, una formación óptima para todos los sujetos implicados en el proyecto (desarrolladores, programadores, codificadores, científicos de datos, ingenieros, investigadores), incluso antes de que se inicie, podría ser una de las herramientas más eficaces para ahorrar tiempo y recursos en cuanto al cumplimiento de la normativa de protección de datos. Así, la puesta en marcha de programas de formación básica que incluyan al menos los fundamentos de la Carta de Derechos Fundamentales, los principios expuestos en el artículo 5 del RGPD, la necesidad de una base jurídica para el tratamiento (incluida la ejecución de contratos entre las partes), etc.

Sin embargo, formar a personas que nunca han estado en contacto con temas de protección de datos puede ser difícil. Una política alternativa es la participación de un experto en protección de datos y en cuestiones éticas y jurídicas en el equipo de desarrollo, a fin de crear un equipo interdisciplinar. Esto podría hacerse contratando a un experto para este fin (un trabajador interno o un consultor externo) para diseñar la estrategia y las posteriores decisiones sobre datos personales que requiera el desarrollo de las herramientas, con la estrecha participación del responsable de la protección de datos.

También es muy recomendable adoptar las medidas adecuadas para garantizar la confidencialidad (véase el apartado Medidas de apoyo a la confidencialidad en la sección Integridad y confidencialidad del capítulo Principios).

Diseñar una herramienta de procesamiento de datos legítima

Según el artículo 5.1.a) del RGPD, los datos personales deben ser “recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines”. El concepto de legitimidad no está bien definido en el RGPD, pero el Grupo de Trabajo del Artículo 29 afirmó que la legitimidad implica que los datos deben ser procesados “de conformidad con la ley”, y “ley” debe entenderse como un concepto amplio que incluye “todas las formas de derecho escrito y común, la legislación primaria y secundaria, los decretos municipales, los precedentes judiciales, los principios constitucionales, los derechos fundamentales, otros principios jurídicos, así como la jurisprudencia, ya que dicha “ley” sería interpretada y tenida en cuenta por el tribunal competente”.

Por lo tanto, es un concepto más amplio que el de legalidad. Implica el cumplimiento de los principales valores de la normativa aplicable y de los principales principios éticos en juego. Por ejemplo, algunos desarrollos concretos de IA necesitarán la intervención de un comité de ética. En otros casos, pueden aplicarse directrices o cualquier otro tipo de normativa blanda. Deberá garantizar el cumplimiento adecuado de este requisito mediante el diseño de un plan en esta fase preliminar del ciclo de vida de la herramienta (véase la sección sobre “Licitud, lealtad y transparencia” en el capítulo “Principios”). Para ello, hay que ser especialmente consciente de los requisitos que plantea la normativa aplicable a nivel nacional. En muchos Estados miembros, el desarrollo de un algoritmo relacionado con la asistencia sanitaria implicará seguramente la intervención de los Comités de Ética, muy probablemente en una fase preliminar.

Adoptar un enfoque basado en el riesgo que garantice la integridad y la confidencialidad de los datos

Dado que la creación de su algoritmo implicará seguramente el uso de una enorme cantidad de categorías especiales de datos personales, principalmente datos sanitarios, debe asegurarse de aplicar las medidas adecuadas para minimizar los riesgos para los derechos y libertades de los interesados (véase el acápite “Integridad y confidencialidad” en el capítulo “Principios”). Para ello, debe evaluar los riesgos para los derechos y libertades de las personas que participan en el proceso de investigación y desarrollo y juzgar lo que es apropiado para protegerlos. En todos los casos, debe asegurarse de que cumplen con los requisitos de protección de datos.

El pensamiento basado en el riesgo con respecto a la confidencialidad de los datos, o un enfoque basado en el riesgo con respecto a las cuestiones sobre el daño que se puede causar a las personas/titulares de los datos, debe incluirse desde los primeros pasos del proceso. Podría tener consecuencias legales para el responsable del tratamiento de datos en relación con las obligaciones estipuladas en el RGPD si no se consideran desde el principio. Por lo tanto, deben identificarse las amenazas implícitas al tratamiento de datos previsto y evaluar el nivel de riesgo intrínseco que conlleva. Si se tiene previsto utilizar programas informáticos para el tratamiento, debe asegurarse de que se aplican las medidas adecuadas de apoyo a la confidencialidad. Si su IA va a utilizar programas informáticos de terceros o programas comerciales, es fundamental que se excluyan las funciones de tratamiento de datos personales que no tengan base legal o que no sean compatibles con los fines previstos.

Siempre que sea posible, trate de evitar el uso de servicios de almacenamiento de datos o de software que estén ubicados en un tercer país. Si esto es inevitable, debe asegurarse de que sus contratos de procesamiento de datos con esos terceros proporcionen una protección adecuada que cumpla con el RGPD o, si no es el caso, asegurarse de que los participantes en la investigación sean plenamente conscientes de los riesgos de privacidad/seguridad de sus datos. También debe conocer e informarse sobre las medidas de seguridad adecuadas aplicadas por los proveedores de servicios de almacenamiento de datos y de software, y que las omisiones en materia de seguridad pueden dar lugar a una violación del tratamiento de seguridad.

Además, debe asegurarse de que se aplican las medidas técnicas y organizativas adecuadas para eliminar, o al menos mitigar, el riesgo, reduciendo la probabilidad de que las amenazas identificadas se materialicen o reduciendo su impacto. Las medidas de seguridad deben formar parte de sus registros de procesamiento y todas las medidas implementadas formarán parte de la EIPD.

Una vez aplicadas las medidas seleccionadas, el riesgo residual restante debe evaluarse y mantenerse bajo control. Tanto el análisis de riesgos como la EIPD son las herramientas que se aplican. En su caso concreto, deberá realizar una EIPD, ya que la creación de la herramienta de IA implicará el tratamiento a gran escala de categorías especiales de datos.

Por último, no olvide que al utilizar big data e IA es difícil prever cuáles serán los riesgos futuros, por lo que hacer una evaluación de las implicaciones éticas no será suficiente para abordar todos los posibles riesgos. Por lo tanto, es importante considerar una reevaluación de los riesgos y también es muy recomendable integrar una forma más dinámica de evaluar los riesgos de la investigación. No dude en realizar EIPD adicionales en otras etapas del proceso si es necesario.

Preparar la documentación para el tratamiento de datos

Todo aquel que procese datos personales (incluidos tanto los responsables como los encargados del tratamiento) debe documentar sus actividades principalmente para el uso de las Autoridades de Supervisión cualificadas/relevantes. Debe hacerlo a través de los registros de tratamiento que su organización mantiene de forma centralizada en todas sus actividades de tratamiento, y de la documentación adicional que corresponde a una actividad de tratamiento de datos individual (véase la sección Documentación del tratamiento en el capítulo Acciones y herramientas). Esta etapa preliminar es el momento perfecto para establecer una forma sistemática de recopilar la documentación necesaria, ya que será el momento en que podrá concebir y planificar la actividad de tratamiento.

De hecho, debe crear una Política de Protección de Datos (véase la subsección Economía de escala para el cumplimiento y su demostración en la sección Responsabilidad, en el capítulo “Principios”) que permita la trazabilidad de la información (si existen códigos de conducta aprobados, éstos deben aplicarse, de nuevo, véase la subsección Economía de escala para el cumplimiento y su demostración en la sección Responsabilidad del capítulo Principios). Esta política también debe dejar claras las responsabilidades asignadas a los encargados del tratamiento si está dispuesto a involucrarlos en su proyecto e incluir las tareas del acuerdo de tratamiento que se le delegarán en relación con la ejecución de los derechos de los interesados. Debe recordar siempre que el Art. 32(4) del RGPD aclara que un elemento importante de la seguridad es garantizar que los empleados actúen sólo bajo instrucciones y según sus indicaciones (véase la sección de Integridad y Confidencialidad en el capítulo relativo a los Principios).

El desarrollo de su herramienta de IA puede implicar el uso de diferentes conjuntos de datos. La trazabilidad del procesamiento, la información sobre la posible reutilización de los datos y el uso de datos pertenecientes a diferentes conjuntos de datos en diferentes o en las mismas etapas del ciclo de vida deben estar garantizados por los registros.

Como se indica en los Requisitos y pruebas de aceptación para la compra y/o desarrollo del software, hardware e infraestructura empleados (sección Documentación del tratamiento), la evaluación de riesgos y las decisiones tomadas “tienen que documentarse para cumplir con el requisito de protección de datos desde el diseño (del art. 25 del RGPD). En la práctica, esto puede adoptar la forma de:

  • Requisitos de protección de datos especificados para la compra (por ejemplo, una licitación) o el desarrollo de software, hardware e infraestructura,
  • Test de aceptación que verifiquen que el software, los sistemas y la infraestructura elegidos son aptos para el propósito y proporcionan la protección y las salvaguardias adecuadas.

Esta documentación puede ser parte integrante del EIPD.”

Por último, debe ser siempre consciente de que, según el art. 32(1)(d) del RGPD, la protección de datos es un proceso. Por lo tanto, se debe probar, valorar y evaluar la eficacia de las medidas técnicas y organizativas con regularidad. Este es un momento excelente para construir una estrategia destinada a afrontar estos retos.

Considerar el marco regulatorio aplicable

El RGPD incluye un marco regulatorio específico relativo al tratamiento con fines de investigación científica (véase la sección “Protección de datos e investigación científica” en el capítulo “Conceptos).[2] Su desarrollo de IA constituye una investigación científica, independientemente de que se cree con fines de lucro o no. Por lo tanto, el “Derecho de la Unión o de los Estados miembros podrá prever excepciones a los derechos contemplados en los artículos 15, 16, 18 y 21, con arreglo a las condiciones y garantías contempladas en el apartado 1 del presente artículo, en la medida en que dichos derechos puedan hacer imposible o perjudicar gravemente la consecución de los fines específicos, y dichas excepciones sean necesarias para el cumplimiento de dichos fines” (art. 89.2). Además, según la letra b) del artículo 5, “el tratamiento ulterior de los datos recogidos, de conformidad con el apartado 1 del artículo 89, no se considerará incompatible con los fines iniciales (“limitación de la finalidad”). También deberían considerarse otras excepciones particulares al marco general aplicable al tratamiento con fines de investigación (como la limitación del almacenamiento)”.

Ciertamente, usted podría beneficiarse de este marco favorable. No obstante, debe conocer el marco normativo concreto que se aplica a esta investigación (principalmente, las garantías que deben aplicarse). Podría incluir cambios importantes en función de las respectivas normativas nacionales. Se recomienda encarecidamente consultar a su DPD a tal efecto.

Definir políticas adecuadas de almacenamiento de datos

Según el artículo 5 (1) (e) del RGPD, los datos personales deben “conservarse en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que se tratan los datos personales” (véase la sección de Limitación del almacenamiento en el capítulo Principios). Este requisito tiene una doble vertiente. Por un lado, se refiere a la identificación: los datos deben almacenarse de forma que permitan la identificación de los interesados durante un periodo no superior al necesario. En consecuencia, se deben aplicar políticas destinadas a evitar la identificación en cuanto no sea necesaria para el tratamiento. Esto implica la adopción de medidas adecuadas para garantizar que, en cualquier momento, sólo se utilice el grado mínimo de identificación que sea necesario para cumplir los fines (véase la subsección Aspecto temporal en la sección Limitación del almacenamiento en el capítulo Principios).

Por otro lado, el almacenamiento de datos implica que los datos sólo pueden almacenarse durante un periodo limitado: el tiempo estrictamente necesario para los fines para los que se tratan los datos. Sin embargo, el RGPD permite el “almacenamiento durante períodos más largos” si el único propósito es la investigación científica (como en su caso concreto).

Así pues, esta excepción plantea el riesgo de que usted decida conservar los datos durante más tiempo del estrictamente necesario para garantizar que estén disponibles por motivos distintos de los fines originales para los que se recogieron. No lo hagas, si no hay razones de peso que lo recomienden (por ejemplo, si las radiografías proceden de una historia clínica, debes conservarlas en la historia clínica del paciente). Debe tener en cuenta que, aunque el RGPD permita el almacenamiento durante períodos más largos, usted debe tener una buena razón para optar por ese período ampliado. Así, si no necesita los datos, y no hay razones legales obligatorias que le obliguen a conservarlos, es mejor anonimizarlos o eliminarlos. Este podría ser también un excelente momento para prever plazos para la eliminación de las diferentes categorías de datos y documentar estas decisiones (véase el principio Responsabilidad proactiva en el capítulo Principios).

Nombrar un Delegado de Protección de Datos

De acuerdo con el artículo 37 del RGPD, debe designar un DPD ya que procesará una gran cantidad de categorías especiales de datos de acuerdo con el artículo 9. En cualquier caso, el personal clave del responsable del tratamiento de datos debe definir el papel del DPD en relación con la gestión general del proyecto, asegurándose de que el papel del DPD no sea marginal, sino que se integre en los procesos de toma de decisiones de la organización/proyecto. También deberían dejar claro cuál podría ser ese papel en términos de supervisión, toma de decisiones y cuestiones similares.

Garantizar el cumplimiento del marco jurídico de los productos sanitarios

Aunque estas Directrices están orientadas principalmente a cuestiones de protección de datos, no podemos dejar de mencionar que se debe ser muy consciente desde esta fase preliminar de que ha garantizarse el adecuado cumplimiento del marco jurídico relacionado con los productos sanitarios. Nos referimos principalmente al Reglamento (UE) 2017/745 – Reglamento sobre productos sanitarios (MDR) y al Reglamento (UE) 2017/746 – Reglamento sobre productos sanitarios para diagnóstico in vitro (IVDR). Lo más probable es que también existan normativas nacionales aplicables a estos temas. Por favor, tome medidas encaminadas a su cumplimiento. Puede encontrar directrices útiles para este fin aquí: https://ec.europa.eu/docsroom/documents/40323

En lo que respecta a la regulación de los datos sanitarios a nivel de los Estados miembros, el siguiente recurso puede resultar especialmente relevante: https://ec.europa.eu/health/sites/health/files/ehealth/docs/ms_rules_health-data_en.pdf

 

 

  1. Shearer, Colin, The CRISP-DM Model: The New Blueprint for Data Mining, p. 14.
  2. Este marco específico también incluye fines de investigación histórica o fines estadísticos. Sin embargo, la investigación sobre las TIC no suele estar relacionada con estos fines. Por lo tanto, no los analizaremos.

 

Ir al contenido