Adoptar un enfoque basado en el riesgo que garantice la integridad y la confidencialidad de los datos
Home » IA » IA: el proceso paso a paso » Comprensión del negocio » Adoptar un enfoque basado en el riesgo que garantice la integridad y la confidencialidad de los datos

Los responsables del tratamiento deben minimizar los riesgos para los derechos, intereses y libertades de los interesados. Para ello, deben trabajar con un enfoque basado en el riesgo (véase la sección “Integridad y confidencialidad” del capítulo “Principios”). El enfoque basado en el riesgo previsto en la normativa de protección de datos requiere que los responsables del tratamiento cumplan con sus obligaciones y apliquen las medidas adecuadas en el contexto de sus circunstancias particulares: la naturaleza, el alcance, el contexto y los fines del tratamiento que pretenden realizar, y los riesgos que esto supone para los derechos y las libertades de las personas. Por lo tanto, sus consideraciones de cumplimiento implican la evaluación de los riesgos para los derechos y libertades de las personas y la toma de decisiones sobre lo que es apropiado en esas circunstancias. En todos los casos, los responsables del tratamiento deben garantizar el cumplimiento de los requisitos de protección de datos (véase la sección “Responsabilidad” del capítulo “Principios”).

En aras de gestionar los riesgos para las personas que se derivan del tratamiento de datos personales en los sistemas de IA, es importante que los responsables del tratamiento desarrollen una comprensión y una articulación maduras de los derechos fundamentales, los riesgos y la forma de equilibrar estos y otros intereses. En última instancia, es necesario que los responsables del tratamiento evalúen los riesgos para los derechos de las personas que plantea el uso de la IA, y determinen cómo deben abordarlos y establecer el impacto que esto tiene en su uso de la IA. Para ello, hay dos factores clave que deben tenerse en cuenta:

  • Riesgos derivados del propio tratamiento, como la aparición de sesgos asociados a la elaboración de perfiles o a los sistemas de toma de decisiones automatizadas (véase el apartado 5.2. Disposiciones del RGPD: lealtad -principio de protección de datos- y sesgos).
  • Riesgos derivados del tratamiento en relación con el contexto social y los efectos secundarios indirectamente relacionados con el objeto del tratamiento que puedan producirse.
Cuadro 14: La importancia de los proveedores de software en términos de seguridad

En agosto de 2015, una empresa de software médico de Indiana informó al gobierno federal de que sus redes habían sido pirateadas y la información privada de 3,9 millones de personas había quedado expuesta. Esto incluía datos personales como nombres, direcciones, fechas de nacimiento, números de la Seguridad Social e historiales médicos. Según IBM X-Force Research, se trata de una de las mayores violaciones de datos sanitarios de los últimos años. Según la empresa, el ataque se detectó diecinueve días después de que los autores obtuvieran acceso no autorizado a su red. Los clientes no fueron notificados hasta casi un mes después del inicio del ataque.

Además, los responsables del tratamiento deben garantizar que se aplican las medidas técnicas y organizativas adecuadas para eliminar, o al menos mitigar, el riesgo de seguridad, reduciendo la probabilidad de que se materialicen las amenazas identificadas o reduciendo su impacto. La descripción general de las medidas de seguridad técnicas y organizativas debe formar parte de los registros del tratamiento, siempre que sea posible (artículo 30.1.g) para los responsables del tratamiento, y 30.2.d) para los encargados del tratamiento) y todas las medidas aplicadas forman parte de la EIPD, como medidas de apoyo para limitar el riesgo. Por último, una vez aplicadas las medidas seleccionadas, el riesgo residual restante debe evaluarse y mantenerse bajo control. Tanto el análisis de riesgos como la EIPD son las herramientas que se aplican.

La EIPD no siempre es obligatoria en el caso del desarrollo de IA (véase la subsección “¿En qué casos debo realizar una EIPD?” en la sección “Evaluación del impacto de la protección de datos” del capítulo “Acciones y herramientas”). Depende de si los riesgos asociados al tratamiento son elevados o no, según el artículo 35.3 del RGPD. Sin embargo, es muy recomendable, ya que apoya la rendición de cuentas. En caso de duda, se recomienda encarecidamente consultar a la autoridad de control competente antes del tratamiento.

Ir al contenido