“Equivocarse es humano, pero para meter la pata de verdad hace falta un ordenador”.

– Paul Ehrlich / Bill Vaughan^[1]

Como todos los sistemas TIC, los sistemas de IA pueden fallar y ofrecer resultados o predicciones incorrectos. Sin embargo, en el caso de los sistemas de IA, puede resultar especialmente difícil explicar por qué se ha llegado a una determinada conclusión (falsa) de forma tangible y humana. Un ejemplo de comportamiento indeseable sería un sistema de IA que tome decisiones que afecten significativamente a una persona (por ejemplo, denegar automáticamente una solicitud de crédito). El RGPD exige que los responsables del tratamiento apliquen planes alternativos adecuados que protejan a los interesados de tales situaciones, incluido el derecho a impugnar una decisión de IA y a obtener una intervención humana que tenga en cuenta el punto de vista de los interesados.^[2] Estas salvaguardias deben tenerse en cuenta durante el diseño de los sistemas. Incluso en los casos en que el RGPD no exija explícitamente dicho plan de emergencia, es conveniente que los responsables del tratamiento consideren la posibilidad de aplicarlo.

Los controladores también deben ser conscientes de las cuestiones de seguridad. Las nuevas tecnologías suelen conllevar nuevos riesgos. Es importante ser consciente de que la protección de los datos personales depende de las medidas de seguridad de las TI y, por lo tanto, los riesgos relacionados con los datos personales son los relacionados con las TI. En consecuencia, las medidas técnicas y organizativas apropiadas aplicadas en TI proporcionarán la protección de datos estipulada por el GDPR, y éstas deben probarse y actualizarse periódicamente para prevenir o minimizar los riesgos de seguridad. (véase la subsección “Principal diferencia con otros riesgos del RGPD y con los riesgos de la seguridad informática” en la sección “Integridad y confidencialidad” del capítulo “Principios”).

Para evaluar estos riesgos y derivar las salvaguardias adecuadas, el GDPR exige que se realice una DPIA antes del tratamiento cuando exista un alto riesgo para los derechos y libertades de una persona física^[3] (véase “DPIA” dentro de la sección “Principales herramientas y acciones” de la Parte II de estas Directrices). El uso de nuevas tecnologías como la IA aumenta la probabilidad de que el tratamiento entre en la categoría de alto riesgo. Algunas agencias nacionales de protección de datos han emitido directivas que exigen una DPIA cuando se utilizan determinados algoritmos de IA.^[4] En caso de duda, se recomienda que los responsables del tratamiento realicen una DPIA.^[5]

 

 

1. La autoría de la cita parece estar en entredicho, véase, por ejemplo, https://quoteinvestigator.com/2010/12/07/foul-computer/#note-1699-18 (consultado el 2 de junio de 2020). ↑
2. Artículo 33, apartado 3, del RGPD. ↑
3. Artículo 35, apartado 1, del RGPD ↑
4. Véase, por ejemplo, la situación jurídica en Austria § 2(2)(4) DSFA-V. ↑
5. Grupo de Trabajo del Artículo 29 (2017) WP248, Directrices sobre la evaluación del impacto en la protección de datos (EIPD) y la determinación de si el tratamiento “puede entrañar un alto riesgo” a efectos del Reglamento 2016/679, p.8. Comisión Europea, Bruselas. ↑