Anexo: Listas de control
Home » IA » Marco general » Anexo: Listas de control
Lista de control: elaboración de perfiles y toma de decisiones automatizada[1]

☐ Los responsables del tratamiento tienen una base jurídica para llevar a cabo la elaboración de perfiles y/o la toma de decisiones automatizada, y lo documentan en su política de protección de datos.

☐ Los responsables del tratamiento envían a los particulares un enlace a su declaración de privacidad cuando han obtenido sus datos personales de forma indirecta.

☐ Los controladores explican cómo las personas pueden acceder a los detalles de la información que utilizaron para crear su perfil.

☐ Los responsables del tratamiento informan a las personas que les facilitan sus datos personales y cómo pueden oponerse a la elaboración de perfiles.

☐ Los responsables del tratamiento disponen de procedimientos para que los clientes puedan acceder a los datos personales introducidos en sus perfiles, de modo que puedan revisarlos y modificarlos por si hubiera algún problema de exactitud.

☐ Los responsables del tratamiento aplican controles adicionales a sus sistemas de elaboración de perfiles/toma de decisiones automatizada para proteger a cualquier grupo vulnerable (incluidos los niños).

☐ Los controladores solo recopilan el mínimo de datos necesarios y tienen una política clara de conservación de los perfiles que crean.

Como modelo de buenas prácticas

☐ Los responsables del tratamiento llevan a cabo una DPIA para considerar y abordar los riesgos cuando inician cualquier nueva toma de decisiones automatizada o elaboración de perfiles.

☐ Los responsables del tratamiento informan a sus clientes sobre la elaboración de perfiles y la toma de decisiones automatizada que llevan a cabo, qué información utilizan para crear los perfiles y de dónde obtienen esta información.

☐ Los responsables del tratamiento utilizan datos anonimizados en sus actividades de elaboración de perfiles.

☐ Los responsables garantizan el derecho a la legibilidad de las decisiones algorítmicas.

☐ Los responsables de la toma de decisiones disponen de un mecanismo capaz de notificar y explicar los motivos cuando no se acepta una impugnación de la decisión algorítmica por falta de intervención humana.

☐ Los responsables de la toma de decisiones disponen de un modelo de evaluación de los derechos humanos en la toma de decisiones automatizada.

☐ Existe supervisión humana cualificada desde la fase de diseño, en particular sobre los requisitos de interpretación y el diseño eficaz de la interfaz, y se forma a los examinadores.

☐ Se realizan auditorías con respecto a posibles desviaciones de los resultados de inferencias en sistemas adaptativos o evolutivos.

☐ Se está llevando a cabo, o se ha llevado a cabo, la certificación del sistema de IA.

Lista de control: solidez técnica y seguridad[2]

Resistencia a los ataques y seguridad

☐ El controlador evaluó las posibles formas de ataque a las que podría ser vulnerable el sistema de IA.

☐ El controlador tuvo en cuenta distintos tipos y naturalezas de vulnerabilidades, como la contaminación de datos, la infraestructura física y los ciberataques.

☐ El controlador puso en marcha medidas o sistemas para garantizar la integridad y resistencia del sistema de IA frente a posibles ataques.

☐ El controlador comprobó cómo se comporta el sistema en situaciones y entornos inesperados.

☐ El controlador consideró hasta qué punto el sistema podría ser de doble uso. En caso afirmativo, el controlador adoptó las medidas preventivas adecuadas para evitarlo (por ejemplo, no publicar la investigación ni desplegar el sistema).

Plan de emergencia y seguridad general

☐ El controlador garantizó que el sistema dispone de un plan de emergencia suficiente si se enfrenta a ataques de adversarios u otras situaciones inesperadas (por ejemplo, procedimientos técnicos de conmutación o solicitud de un operador humano antes de continuar).

☐ El controlador consideró el nivel de riesgo planteado por el sistema de IA en este caso de uso específico.

☐ El controlador pone en marcha cualquier proceso para medir y evaluar los riesgos y la seguridad.

☐ El controlador facilitó la información necesaria en caso de riesgo para la integridad física humana.

☐ El controlador consideró una póliza de seguros para hacer frente a posibles daños del sistema de IA.

☐ El controlador identificó los riesgos potenciales para la seguridad de (otros) usos previsibles de la tecnología, incluido el uso indebido accidental o malintencionado. Existe un plan para mitigar o gestionar estos riesgos?

☐ El controlador evaluó si existe una posibilidad probable de que el sistema de IA pueda causar daños o perjuicios a los usuarios o a terceros. El controlador evaluó la probabilidad, el daño potencial, la audiencia impactada y la gravedad.

☐ El responsable del tratamiento consideró las normas de responsabilidad y protección de los consumidores, y las tuvo en cuenta.

☐ El controlador consideró el impacto potencial o el riesgo de seguridad para el medio ambiente o los animales.

☐ El análisis de riesgos del controlador incluyó si los problemas de seguridad o de red (por ejemplo, riesgos de ciberseguridad) podrían plantear riesgos de seguridad o daños debidos a un comportamiento involuntario del sistema de IA.

☐ El controlador estimó el impacto probable de un fallo del sistema de IA cuando proporciona resultados erróneos, deja de estar disponible o proporciona resultados socialmente inaceptables (por ejemplo, discriminación).

☐ El controlador definió umbrales y estableció procedimientos de gobernanza para activar planes alternativos/de emergencia.

☐ El controlador definió y probó planes alternativos.

Precisión

☐ El controlador evaluó qué nivel y definición de precisión serían necesarios en el contexto del sistema de IA y del caso de uso.

☐ El controlador evaluó cómo se mide y garantiza la precisión.

☐ El responsable del tratamiento puso en marcha medidas para garantizar que los datos utilizados son completos y están actualizados.

☐ El responsable del tratamiento puso en marcha medidas para evaluar si hay necesidad de datos adicionales, por ejemplo para mejorar la precisión o eliminar sesgos.

☐ El controlador verificó qué perjuicios causaría que el sistema de IA hiciera predicciones inexactas.

☐ El controlador puso en marcha formas de medir si el sistema está haciendo una cantidad inaceptable de predicciones inexactas.

☐ El controlador puso en marcha una serie de medidas para aumentar la precisión del sistema.

Fiabilidad y reproducibilidad

☐ El controlador pone en marcha una estrategia para supervisar y comprobar si el sistema de IA cumple sus objetivos, propósitos y aplicaciones previstas.

☐ El controlador comprobó si es necesario tener en cuenta contextos específicos o condiciones particulares para garantizar la reproducibilidad.

☐ El controlador puso en marcha métodos de verificación para medir y garantizar distintos aspectos de la fiabilidad y reproducibilidad del sistema.

☐ El controlador puso en marcha procesos para describir cuándo falla un sistema de IA en determinados escenarios.

☐ El controlador documentó claramente y puso en funcionamiento estos procesos para la comprobación y verificación de la fiabilidad de los sistemas de IA.

☐ El controlador estableció mecanismos de comunicación para garantizar a los usuarios (finales) la fiabilidad del sistema.

Lista de control: limitación de la finalidad [3]

☐ Los responsables del tratamiento han identificado claramente su finalidad o finalidades de tratamiento.

☐ Los controladores han documentado esos fines.

☐ Los responsables del tratamiento incluyen detalles de sus fines en la información sobre privacidad de las personas físicas.

☐ Los responsables del tratamiento revisan periódicamente su tratamiento y, en caso necesario, actualizan su documentación y la información sobre la privacidad de las personas.

☐ Si los responsables del tratamiento tienen previsto utilizar los datos personales para un nuevo fin distinto de una obligación o función legal establecida en la ley, comprueban que sea compatible con su finalidad original u obtienen el consentimiento específico para el nuevo fin.

Lista de control: consentimiento

☐ Los responsables del tratamiento han comprobado que el consentimiento es la base jurídica más adecuada para el tratamiento.

☐ Los responsables del tratamiento solicitan el consentimiento de los interesados de forma libre, específica, informada e inequívoca.

☐ El consentimiento amplio sólo se utiliza cuando es difícil o improbable prever cómo se tratarán estos datos en el futuro.

☐ El consentimiento amplio utilizado para el tratamiento de categorías especiales de datos es compatible con la normativa nacional.

☐ Cuando se utiliza el consentimiento amplio, se da a los interesados la oportunidad de retirar su consentimiento y de decidir si participan o no en determinadas investigaciones y partes de ellas.

☐ Los controladores tienen una relación directa con el sujeto que proporciona los datos que se utilizarán para el entrenamiento, la validación y el despliegue del modelo de AI.

☐ No hay desequilibrio de poder entre los responsables del tratamiento y los interesados.

☐ Los controladores piden a la gente que opte positivamente.

☐ Los controladores no utilizan casillas premarcadas ni ningún otro tipo de consentimiento por defecto.

☐ Los controladores utilizan un lenguaje claro y sencillo, fácil de entender.

☐ Los controladores especifican para qué quieren los datos y qué van a hacer con ellos.

☐ Los responsables del tratamiento dan opciones distintas (“granulares”) para consentir por separado los distintos fines y tipos de tratamiento.

☐ Los responsables del tratamiento informan a las personas físicas de que pueden retirar su consentimiento y de cómo hacerlo.

☐ Los responsables del tratamiento garantizan que las personas puedan negarse a dar su consentimiento sin sufrir perjuicio alguno.

☐ Los controladores evitan que el consentimiento sea una condición previa de un servicio.

Lista de control: el interés legítimo como base jurídica

☐ Los responsables del tratamiento han comprobado que el interés legítimo es la base más adecuada.

☐ Los responsables del tratamiento comprenden su responsabilidad de proteger los intereses de las personas físicas.

☐ Los controladores llevan un registro de las decisiones tomadas y de su razonamiento, para asegurarse de que pueden justificar su decisión.

☐ Los responsables del tratamiento han identificado los intereses legítimos pertinentes.

☐ Los controladores han comprobado que el tratamiento es necesario y que no hay una forma menos intrusiva de lograr el mismo resultado.

☐ Los responsables del tratamiento han realizado una prueba de sopesamiento y confían en que los intereses de la persona no prevalecen sobre esos intereses legítimos.

☐ Los responsables del tratamiento solo utilizan los datos de las personas de la forma que razonablemente cabría esperar, a menos que tengan un motivo muy justificado.

☐ Los responsables del tratamiento no utilizan los datos de las personas de forma que les resulte intrusiva o que pueda causarles perjuicios, a menos que los responsables del tratamiento tengan un motivo muy justificado.

☐ Si los responsables del tratamiento tratan datos de menores, ponen especial cuidado en asegurarse de que protegen los intereses de los niños.

☐ Los controladores han estudiado salvaguardias para reducir el impacto, en la medida de lo posible.

☐ Los responsables del tratamiento han estudiado si pueden ofrecer una opción de exclusión voluntaria.

☐ Los controladores han considerado si también necesitan realizar una DPIA.

Lista de control: minimización de datos

☐ Los responsables del tratamiento se han asegurado de que solo utilizan los datos personales en caso necesario.

☐ Los controladores han tenido en cuenta la proporcionalidad entre la cantidad de datos y la precisión de la herramienta de IA.

☐ Los responsables del tratamiento revisan periódicamente los datos que conservan y suprimen todo lo que no necesitan.

☐ Los controladores en la fase de entrenamiento del sistema de IA depuran toda la información que no sea estrictamente necesaria para dicho entrenamiento.

☐ Los responsables del tratamiento comprueban si se tratan datos personales en la fase de distribución del sistema de IA y los suprimen, salvo que exista una necesidad justificada y legitimidad para conservarlos con otros fines compatibles.

Lista de control: derecho de acceso[4]

Preparación de las solicitudes de acceso

☐ Los responsables del tratamiento saben cómo reconocer una solicitud de acceso del sujeto y comprenden cuándo se aplica el derecho de acceso.

☐ Los responsables del tratamiento entienden que el derecho de acceso debe aplicarse en cada fase del ciclo de vida de la solución de IA, si utiliza datos personales.

☐ Los controladores tienen una política sobre cómo registrar las solicitudes que reciben verbalmente.

☐ Los responsables del tratamiento comprenden cuándo pueden denegar una solicitud y son conscientes de la información que deben facilitar a los particulares al hacerlo.

☐ Los responsables del tratamiento comprenden la naturaleza de la información complementaria que deben facilitar en respuesta a una solicitud de acceso del interesado.

Cumplimiento de las solicitudes de acceso

☐ Los responsables del tratamiento disponen de procesos para garantizar que responden a una solicitud de acceso del sujeto sin demoras indebidas y en el plazo de un mes desde su recepción.

☐ Los responsables del tratamiento conocen las circunstancias en las que pueden ampliar el plazo para responder a una solicitud.

☐ Los controladores comprenden que se hace especial hincapié en utilizar un lenguaje claro y sencillo si revelan información a un menor.

☐ Los controladores comprenden lo que deben tener en cuenta si una solicitud incluye información sobre otras personas.

☐ Los responsables del tratamiento entienden cómo aplicar el derecho de acceso en etapas de formación.

Lista de control: portabilidad de datos[5]

Preparación de las solicitudes de portabilidad de datos

☐ Los responsables del tratamiento saben reconocer una solicitud de portabilidad de datos y entienden cuándo se aplica el derecho.

☐ Los responsables del tratamiento tienen en cuenta el requisito de portabilidad de los datos desde las primeras fases de concepción y diseño del tratamiento de la IA.

☐ Los controladores tienen una política sobre cómo registrar las solicitudes que reciben verbalmente.

☐ Los responsables del tratamiento comprenden cuándo pueden denegar una solicitud y son conscientes de la información que deben facilitar a los particulares si proceden a dicha denegación.

Cumplimiento de las solicitudes de portabilidad de datos

☐ Los responsables del tratamiento pueden transmitir datos personales en formatos estructurados, de uso común y legibles por máquina.

☐ Los responsables del tratamiento informan a los usuarios con antelación cuando no es técnicamente posible ejercer el derecho de portabilidad mediante un protocolo.

☐ Los responsables del tratamiento utilizan métodos seguros para transmitir los datos personales.

☐ Los responsables del tratamiento disponen de procesos para garantizar que responden a una solicitud de portabilidad de datos sin demoras indebidas y en el plazo de un mes desde su recepción.

☐ Los responsables del tratamiento conocen las circunstancias en las que pueden ampliar el plazo para responder a una solicitud.

Lista de control: derecho de rectificación[6]

Preparación de las solicitudes de rectificación

☐ Los responsables del tratamiento saben reconocer una solicitud de rectificación y comprenden cuándo se aplica este derecho.

☐ Los controladores tienen una política sobre cómo registrar las solicitudes que reciben verbalmente.

☐ Los responsables del tratamiento comprenden cuándo pueden denegar una solicitud y son conscientes de la información que deben facilitar a los particulares cuando se les pide.

Cumplimiento de las solicitudes de rectificación

☐ Los responsables del tratamiento están dispuestos a abordar el derecho de rectificación de los datos de los interesados, especialmente los generados por las inferencias y perfiles realizados por la solución de IA.

☐ Los responsables del tratamiento disponen de procesos para garantizar que responden a una solicitud de rectificación sin demoras indebidas y en el plazo de un mes a partir de su recepción.

☐ Los responsables del tratamiento conocen las circunstancias en las que pueden ampliar el plazo para responder a una solicitud.

☐ Los responsables del tratamiento disponen de sistemas adecuados para rectificar o completar la información, o facilitar una declaración complementaria.

☐ Los responsables del tratamiento disponen de procedimientos para informar a los destinatarios en caso de rectificación de los datos que hayan compartido con ellos.

Lista de control: derecho de supresión[7]

Preparación de las solicitudes de supresión

☐ Los responsables del tratamiento saben cómo reconocer una solicitud de supresión y comprenden cuándo se aplica este derecho.

☐ Los controladores tienen una política sobre cómo registrar las solicitudes que reciben verbalmente.

☐ Los responsables del tratamiento comprenden cuándo pueden denegar una solicitud y son conscientes de la información que deben facilitar a los particulares al hacerlo.

Cumplimiento de las solicitudes de supresión

☐ Los responsables del tratamiento disponen de procesos para garantizar que responden a una solicitud de supresión sin demoras indebidas y en el plazo de un mes desde su recepción.

☐ Los responsables del tratamiento conocen las circunstancias en las que pueden ampliar el plazo para responder a una solicitud.

☐ Los responsables del tratamiento entienden que se hace especial hincapié en el derecho de supresión si la solicitud se refiere a datos recogidos de niños.

☐ Los responsables del tratamiento disponen de procedimientos para informar a los destinatarios en caso de que borren los datos que hayan compartido con ellos.

☐ Los controladores disponen de métodos adecuados para borrar la información.

Lista de control: derecho de oposición

Preparación para las objeciones al tratamiento

☐ Los controladores saben reconocer una objeción y entienden cuándo se aplica el derecho.

☐ Los controladores tienen una política sobre cómo registrar las objeciones que reciben verbalmente.

☐ Los responsables del tratamiento comprenden cuándo pueden rechazar una objeción y son conscientes de la información que deben facilitar a los particulares al hacerlo.

☐ Los responsables del tratamiento disponen de información clara en su aviso de privacidad sobre el derecho de oposición de los particulares, que se presenta separada del resto de información sobre sus derechos.

☐ Los responsables del tratamiento entienden cuándo deben informar a las personas de su derecho de oposición, además de incluirlo en su aviso de privacidad.

Cumplimiento de las solicitudes de oposición al tratamiento

☐ Los responsables del tratamiento disponen de procesos para garantizar que responden a una objeción sin demoras indebidas y en el plazo de un mes a partir de su recepción.

☐ Los responsables del tratamiento conocen las circunstancias en las que pueden ampliar el plazo para responder a una objeción.

☐ Los responsables del tratamiento disponen de métodos adecuados para borrar, suprimir o dejar de tratar de otro modo los datos personales.

Lista de control: sesgo

☐ El controlador ha establecido una estrategia o un conjunto de procedimientos para evitar crear o reforzar sesgos injustos en el sistema de IA, tanto en lo que respecta al uso de los datos de entrada como para el diseño del algoritmo.

☐ El controlador evalúa y reconoce las posibles limitaciones derivadas de la composición de los conjuntos de datos utilizados.

☐ El controlador ha tenido en cuenta la diversidad y representatividad de los datos utilizados.

☐ El controlador ha realizado pruebas para poblaciones específicas o casos de uso problemáticos.

☐ Los controladores utilizaron las herramientas técnicas disponibles para mejorar su comprensión de los datos, el modelo y el rendimiento.

☐ El controlador ha puesto en marcha procesos para probar y vigilar posibles sesgos durante las fases de desarrollo, despliegue y uso del sistema de IA.

☐ El controlador ha puesto en marcha un mecanismo que permite a otros señalar problemas relacionados con la parcialidad, la discriminación o el mal funcionamiento del sistema de IA.

☐ El responsable del tratamiento ha establecido pasos y formas de comunicación claros sobre cómo y a quién pueden plantearse estas cuestiones.

☐ El controlador ha tenido en cuenta a otras personas, potencialmente afectadas indirectamente por el sistema de IA, además de los usuarios (finales).

☐ El controlador ha evaluado si existe alguna posible variabilidad de decisión que pueda producirse en las mismas condiciones.

☐ En caso de variabilidad, el responsable del tratamiento ha establecido un mecanismo de medición o evaluación del impacto potencial de dicha variabilidad sobre los derechos fundamentales.

☐ El controlador ha implementado un análisis cuantitativo o métricas para medir y probar la definición de equidad aplicada.

☐ El controlador ha establecido mecanismos para garantizar la equidad en los sistemas de IA y ha estudiado otros posibles mecanismos.

Lista de comprobación: ¿es necesaria una DPIA?

 El responsable del tratamiento determinó las jurisdicciones en las que tendrán lugar las actividades de tratamiento de datos.

 El responsable del tratamiento ha comprobado si esas jurisdicciones han promulgado listas que indiquen los tratamientos que requieren una EADP y ha visto si las actividades de tratamiento de datos previstas que implican IA están cubiertas por esas disposiciones.

 Si los responsables del tratamiento no están seguros de la necesidad de llevar a cabo una DPIA, consultan con el RPD o, en su lugar, con el departamento jurídico del responsable del tratamiento.

 En caso necesario, el responsable del tratamiento llevó a cabo una DPIA.

 En caso necesario, el responsable del tratamiento realizará una consulta previa a la autoridad de control competente.

 Si se sugirieron cambios, el responsable del tratamiento siguió el consejo de la autoridad de control.

Lista de control: diligencia debida del procesador

 Los responsables del tratamiento han solicitado información sobre dónde se llevarán a cabo las actividades de tratamiento de datos, y: (1) llevar a cabo la revisión de la jurisprudencia que se sugiere a continuación; y (2) evaluar si las jurisdicciones, en caso de países no pertenecientes a la UE, son consideradas adecuadas por la Comisión de la UE.

 Los responsables del tratamiento revisaron la jurisprudencia de las autoridades nacionales de supervisión en las que opera el encargado del tratamiento para comprobar posibles sanciones.

 Los controladores exigían pruebas de adhesión a un código de conducta o certificación.

 Los controladores exigieron pruebas de la certificación ISO pertinente.

 Los responsables del tratamiento exigieron una copia de los registros de las actividades de tratamiento.

 Los controladores preguntaron por el proceso de desarrollo de la IA, en particular qué tipo de datos se utilizaron para entrenarla y qué datos necesita la IA para funcionar y ofrecer un resultado útil.

Lista de control: RPD

 Los controladores comprobaron si la institución ya había nombrado a un RPD.

 En caso contrario, han comprobado con el departamento jurídico si las actividades de tratamiento de datos previstas exigen el nombramiento de un RPD, ya sea consultando las interpretaciones autorizadas europeas, la normativa local, las interpretaciones autorizadas locales, la jurisprudencia -tanto local como europea- y, por último, las interpretaciones académicas.

 Los controladores exigieron el nombramiento de RPD en caso necesario, así como su participación en el proceso de desarrollo de la IA cuando fuera necesario.

 Como norma general, el RPD debe estar al tanto de cada paso que se dé para dar margen a su intervención si se considera pertinente.

 

  1. ICO (sin fecha) Derechos relacionados con la toma de decisiones automatizada, incluida la elaboración de perfiles. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/rights-related-to-automated-decision-making-including-profiling/ (consultado el 15 de mayo de 2020).
  2. Esta lista de comprobación se ha adaptado de la elaborada por el Grupo de Expertos de Alto Nivel sobre Inteligencia Artificial (2019) Ethics guidelines for trustworthy AI. Comisión Europea, Bruselas. Disponible en: https://ec.europa.eu/digital-single-market/en/news/ethics-guidelines-trustworthy-ai (consultado el 20 de mayo de 2020).
  3. ICO (sin fecha) Principio (b): limitación de la finalidad. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/purpose-limitation/ (consultado el 17 de mayo de 2020).
  4. ICO (sin fecha) Derecho de acceso. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-of-access/ (consultado el 28 de mayo de 2020).
  5. ICO (sin fecha) Derecho a la portabilidad de datos. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-data-portability/ (consultado el 28 de mayo de 2020).
  6. ICO (sin fecha) Derecho de rectificación. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-rectification/ (consultado el 28 de mayo de 2020).
  7. ICO (sin fecha) Right to erasure. Oficina del Comisario de Información, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/ (consultado el 28 de mayo de 2020).

 

Ir al contenido