Lista de control: comprensión del negocio
☐ Los responsables del tratamiento han evaluado la cantidad de datos que se necesitarán para desarrollar la solución de IA o la naturaleza de esos datos y se han asegurado de que casan bien con el principio de minimización. ☐ Los responsables han fijado umbrales aceptables de falsos positivos/negativos o rangos, dependiendo del caso de uso y luego han realizado un balance de utilidad. ☐ Los responsables han equilibrado adecuadamente el nivel de precisión necesario y el rango de datos personales necesarios para alcanzarlo. ☐ Los responsables han previsto el desarrollo de algoritmos más comprensibles frente a los menos comprensibles siempre que ha sido posible ☐ Los responsables han garantizado una formación óptima para todos los sujetos implicados en el proyecto o una evaluación interna o externa adecuada sobre cuestiones éticas y jurídicas. ☐ Los responsables han diseñado cuidadosamente las herramientas que legitimarán el tratamiento de datos. Para ello, han comprobado si es necesaria la intervención de un comité de ética o si es aplicable algún tipo de soft law. ☐ Los responsables han adoptado un enfoque basado en el riesgo (que incluye medidas de seguridad técnicas y organizativas) que minimiza los riesgos para los derechos, intereses y libertades de los interesados. ☐ Los responsables del tratamiento han implantado herramientas y políticas destinadas a valorar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas. ☐ Los responsables han considerado si se aplica el marco regulatorio relativo a la investigación científica. ☐ Las políticas de almacenamiento conservan los datos personales en una forma que permite la identificación de los interesados durante no más tiempo del necesario para los fines para los que se tratan los datos personales. ☐ Los responsables han considerado la designación de un DPD |
Lista de control: comprensión de los datos
☐ Los responsables del tratamiento han aplicado medidas técnicas y organizativas adecuadas para garantizar que, por defecto, sólo se traten los datos personales necesarios para cada finalidad específica del tratamiento. ☐ Los responsables han introducido políticas que minimizan la cantidad de datos personales recogidos, el alcance de su tratamiento, el período de su almacenamiento y su accesibilidad. Dichas medidas garantizan que, por defecto, los datos personales no sean accesibles sin la intervención del individuo a un número indefinido de personas físicas. ☐ Los responsables del tratamiento no recogen datos innecesarios. Si los datos ya están almacenados, han tomado medidas destinadas a eliminar los elementos innecesarios. ☐ Los responsables han limitado la resolución de los datos a lo mínimamente necesario para los fines perseguidos por el tratamiento. ☐ Los responsables han seleccionado la base jurídica legitimadora que mejor refleja la verdadera naturaleza de su relación con el individuo y la finalidad del tratamiento. ☐ Los responsables han analizado cuidadosamente si el tratamiento implica la desanonimización de los datos anonimizados y la creación de nueva información personal que no estaba contenida en el conjunto de datos original, y adoptan las medidas adecuadas para hacer frente a estos retos ☐ Los responsables del tratamiento se han asegurado de que la fusión de conjuntos de datos no crea problemas éticos o jurídicos en relación con los derechos y libertades de los interesados. |
Lista de control: Preparación de los datos
☐ Los responsables del tratamiento se han asegurado de que los datos sean exactos, es decir, correctos y actualizados. ☐ Si se prevé la elaboración de perfiles o la toma de decisiones automatizada: ☐ Los responsables del tratamiento han enviado a las personas un enlace a su declaración de privacidad cuando han obtenido sus datos personales de forma indirecta. ☐ Los responsables del tratamiento han explicado cómo las personas pueden acceder a los detalles de la información que han utilizado para crear su perfil. ☐ Los responsables del tratamiento han comunicado a los interesados que les proporcionan sus datos personales y cómo pueden oponerse a la elaboración de perfiles. ☐ Los responsables del tratamiento han introducido procedimientos para que los clientes puedan acceder a los datos personales introducidos en sus perfiles, de modo que puedan revisar y editar cualquier problema de exactitud. ☐ Los responsables del tratamiento han implantado controles adicionales en sus sistemas de elaboración de perfiles/toma de decisiones automatizada para proteger a cualquier grupo vulnerable (incluidos los niños). ☐ Los responsables del tratamiento se han asegurado de que solo recogen la cantidad mínima de datos necesaria y tienen una política clara de conservación de los perfiles que crean. ☐ Los responsables del tratamiento han llevado a cabo un EIPD para considerar y abordar los riesgos cuando inician cualquier nueva toma de decisiones o elaboración de perfiles automatizados. ☐ Los responsables del tratamiento han implicado al DPD correspondiente en estas actividades. ☐ Los responsables del tratamiento han considerado los requisitos del sistema necesarios para apoyar una revisión humana significativa desde la fase de diseño. En particular, los requisitos de interpretabilidad y el diseño eficaz de la interfaz de usuario para apoyar las revisiones e intervenciones humanas. ☐ Los responsables del tratamiento han diseñado e impartido la formación y el apoyo adecuados a los supervisores humanos. ☐ Los responsables del tratamiento han dado al personal que participa en el tratamiento la autoridad, los incentivos y el apoyo adecuados para abordar o escalar las preocupaciones de los individuos y, si es necesario, anular la decisión del sistema de IA. ☐ Los responsables del tratamiento se han asegurado de que los equipos encargados de seleccionar los datos que se integrarán en los conjuntos de datos estén compuestos por personas que garanticen la diversidad que se espera que muestre el desarrollo de la IA. ☐ Los responsables del tratamiento se han asegurado de que se corrigen los factores que dan lugar a inexactitudes en los datos personales y se minimiza el riesgo de errores. ☐ Los responsables del tratamiento han implementado herramientas destinadas a prevenir los efectos discriminatorios sobre las personas físicas por razón de su origen racial o étnico, sus opiniones políticas, su religión o sus creencias, su pertenencia a un sindicato, su situación genética o sanitaria o su orientación sexual, o que den lugar a medidas que tengan ese efecto |
Lista de control: Modelización (entrenamiento)
☐ Los responsables del tratamiento han determinado la finalidad del uso del sistema de IA al inicio de su entrenamiento o despliegue, y han realizado una reevaluación de esta determinación si el tratamiento del sistema arrojaba resultados inesperados ☐ Los responsables han depurado los datos utilizados durante la fase de entrenamiento de toda la información no estrictamente necesaria para el entrenamiento del modelo. ☐ Los responsables han estudiado la posibilidad de aplicar herramientas técnicas que podrían servir para detectar sesgos, como la Evaluación del Impacto Algorítmico ☐ Los responsables han considerado realizar un EIPD en esta fase ☐ Los responsables se han asegurado de poder responder a las solicitudes de los interesados para que se apliquen las excepciones al derecho de acceso ☐ Los responsables pueden garantizar el derecho de rectificación de los datos, especialmente los generados por las inferencias y perfiles elaborados por el desarrollo de la IA. ☐ Los responsables del tratamiento pueden responder a las solicitudes de supresión, salvo que se aplique una excepción pertinente y siempre que el interesado tenga los motivos adecuados |
Lista de control: evaluación (validación)
☐ Los responsables del tratamiento se han asegurado de que la validación refleja con exactitud las condiciones en las que se ha validado el algoritmo ☐ Los responsables del tratamiento han informado a los interesados sobre el tratamiento adicional en esta fase. ☐ Los responsables han garantizado la eliminación del conjunto de datos utilizados para la validación, a menos que exista una necesidad lícita de mantenerlos con el fin de perfeccionar o evaluar el sistema, o para otros fines compatibles con aquellos para los que fueron recogidos ☐ Los responsables han considerado realizar un EIPD en esta fase ☐ Si los interesados solicitan la supresión de sus datos, los responsables han adoptado un enfoque caso por caso teniendo en cuenta cualquier limitación a este derecho prevista en el Reglamento). ☐ Los responsables han considerado una auditoría del sistema por parte de un tercero independiente |
Lista de control: despliegue
☐ Los responsables han suprimido todos los datos personales innecesarios o, por el contrario, han justificado la imposibilidad de hacerlo. ☐ Los responsables han informado a los interesados sobre el tratamiento adicional en esta fase. ☐ Los responsables han determinado la base jurídica legitimadora adecuada para realizar la comunicación de datos personales a terceros, especialmente si se trata de categorías especiales de datos. ☐ Los responsables del tratamiento han considerado la realización de un EIPD ☐ Los responsables se han asegurado de que el algoritmo no incluye datos personales de forma oculta (o han tomado las medidas necesarias si esto es inevitable). ☐ Los desarrolladores de IA han implementado herramientas destinadas a comunicar los resultados del sistema de validación y seguimiento empleado y han ofrecido su colaboración para continuar ☐ Los desarrolladores de IA se han comprometido a ofrecer información en tiempo real al usuario final sobre los valores de precisión y/o calidad de la información inferida en cada etapa. |