Anexo I: Evaluación de las soluciones IA
Home » IA » IA: el proceso paso a paso » Anexo I: Evaluación de las soluciones IA
Según la Agencia Española de Protección de Datos, las auditorías deben abarcar una amplia lista de elementos, a saber:

  • La existencia o no de datos personales, elaboración de perfiles o decisiones automáticas sobre los interesados sin intervención humana
  • La eficacia de los métodos de anonimización y seudonimización
  • La existencia y legitimidad del tratamiento de categorías especiales de datos, en particular la información inferida.
  • La base jurídica del tratamiento y la determinación de las responsabilidades.
  • En particular, cuando la base jurídica sea el interés legítimo, la evaluación del equilibrio entre los distintos intereses y las repercusiones en los derechos y libertades de los interesados a la luz de las garantías adoptadas.
  • La información y la eficacia de los mecanismos de transparencia aplicados.
  • La aplicación del principio de responsabilidad proactiva y de gestión de riesgos para los derechos y libertades de los interesados y, en particular, la obligación o necesidad de realizar las EIPD y, en su caso, sus resultados.
  • La aplicación de medidas de protección de datos por diseño y por defecto, como:
    • el análisis de la necesidad de la cantidad y extensión del tratamiento de datos personales en las diferentes etapas del desarrollo de la IA
    • el análisis de la exactitud, la fiabilidad, la calidad y los sesgos de los datos utilizados o capturados para el desarrollo o el funcionamiento del componente de IA, así como los métodos de limpieza de datos utilizados.
    • el seguimiento y aplicación de los procesos de prueba y validación relativos a la precisión, exactitud, convergencia, coherencia, previsibilidad y cualquier otra métrica de la bondad de los algoritmos utilizados, perfilados y de las inferencias realizadas. Además, la comprobación de que estos parámetros cumplen los requisitos de tratamiento.
  • La adecuación de las medidas de seguridad para evitar riesgos para la privacidad.
  • El entrenamiento y la formación del personal del responsable vinculado al desarrollo o a la implantación del componente IA, cuando proceda, en este último caso con especial atención a la correcta interpretación de las inferencias.
  • La necesidad y, en su caso, la capacidad del RPD.
  • La incorporación de mecanismos que garanticen la atención de los derechos de los interesados, en particular la supresión de oficio de los datos personales, con especial atención a los derechos de los menores.
  • El cumplimiento de las limitaciones a las decisiones automáticas sin intervención humana, la evaluación, en su caso, de la calidad de la intervención humana and the monitoring mechanisms adopted. In particular, when the legal basis is the explicit consent, identification of the guarantees adopted to determine whether the consent is free.
  • The application of the guarantees established in Chapter V of the GPRS in the case of international data transfers.
Ir al contenido