Según el principio de confidencialidad, los responsables del tratamiento deben minimizar los riesgos para los derechos, intereses y libertades de los interesados. Para ello, deben trabajar con un enfoque basado en el riesgo (véase la sección “Integridad y confidencialidad” en los “Principios”, Parte II de estas Directrices). El enfoque basado en el riesgo de la ley de protección de datos requiere que los responsables del tratamiento cumplan con sus obligaciones y apliquen las medidas adecuadas en el contexto de sus circunstancias particulares: la naturaleza, el alcance, el contexto y los fines del tratamiento que pretenden realizar, y los riesgos que esto supone para los derechos y las libertades de las personas. Por lo tanto, sus consideraciones de cumplimiento implican la evaluación de los riesgos para los derechos y libertades de las personas y la toma de decisiones sobre lo que es apropiado en esas circunstancias. En todos los casos, los responsables del tratamiento deben garantizar el cumplimiento de los requisitos de protección de datos y ser capaces de demostrar su cumplimiento, por ejemplo, mediante documentación (véase “Rendición de cuentas” dentro de los “Principios, Parte II de estas Directrices).
Para gestionar los riesgos para las personas que se derivan del tratamiento de datos personales en los sistemas de IdC, es importante que los responsables del tratamiento desarrollen una comprensión y una articulación maduras de los derechos fundamentales, los riesgos y la forma de equilibrar estos y otros intereses. En última instancia, es necesario que los responsables del tratamiento evalúen los riesgos para los derechos de las personas que plantea el uso de la IdC, y determinen cómo deben abordarlos y establecer el impacto que esto tiene en su uso de la IdC.[1] Para ello, hay que tener en cuenta dos factores clave: [2]
- Riesgos derivados del propio tratamiento, como la aparición de sesgos asociados a la elaboración de perfiles o a los sistemas de toma de decisiones automatizadas.
- Los riesgos derivados del tratamiento en relación con el contexto social y los efectos secundarios relacionados indirectamente con el objeto del tratamiento que puedan producirse.
Con el fin de minimizar dichos riesgos, los responsables del tratamiento deben garantizar la aplicación de medidas técnicas y organizativas adecuadas para eliminar, o al menos mitigar, el riesgo de seguridad, reduciendo la probabilidad de que las amenazas identificadas se materialicen, o reduciendo su impacto. Es necesario tener en cuenta las normas de seguridad que ya existen en el mercado, así como las normas de cumplimiento en relación con la protección de datos que se aplicarán a la solución de IdC, como el RGPD para la protección de datos o el PCI-DSS para las transacciones con tarjetas de pago. Además, los desarrolladores de IdC deben recordar siempre que el artículo 32, apartado 4, del RGPD aclara que un elemento importante de la seguridad es garantizar que los empleados que acceden a los datos actúen solo por orden y según las instrucciones del responsable del tratamiento (véase la sección “Integridad y confidencialidad” de los “Principios” en la parte II de estas Directrices).
| Cuadro 10:
Por ejemplo, si la aplicación incluye un módulo para gestionar datos bancarios o de pago con tarjetas de crédito/débito, es necesario tener en cuenta el estándar PCI DSS. Además, si va a manejar y procesar datos personales debe adaptarse al marco normativo que opera en el territorio, como el RGPD en la Unión Europea. Algunas mitologías de evaluación de riesgos ya están disponibles:
|
La descripción general de las medidas de seguridad técnicas y organizativas debe formar parte de los registros del tratamiento, siempre que sea posible (letra g) del apartado 1 del artículo 30 para los responsables del tratamiento, y letra d) del apartado 2 del artículo 30 para los encargados del tratamiento) y todas las medidas aplicadas forman parte de la EIPD, como medidas de apoyo para limitar el riesgo. Por último, una vez aplicadas las medidas seleccionadas, los riesgos residuales restantes deben evaluarse y mantenerse bajo control. Tanto el análisis de riesgos como la EIPD son las herramientas que se aplican.
Como se indica en los requisitos y pruebas de aceptación para la compra y/o el desarrollo del software, el hardware y la infraestructura empleados, la evaluación de riesgos y las decisiones tomadas “deben documentarse para cumplir el requisito de protección de datos desde el diseño” (del artículo 25 del RGPD) (véase la sección “Protección de datos desde el diseño y por defecto” en el apartado “Conceptos principales”, Parte II de estas Directrices).
Por último, los responsables del tratamiento deben ser siempre conscientes de que, según el artículo 32, apartado 1, letra d), del RGPD, la protección de datos es un proceso. Por lo tanto, deben probar, valorar y evaluar la eficacia de las medidas técnicas y organizativas con regularidad. En este momento deben crearse procedimientos que sirvan a los responsables del tratamiento para identificar los cambios que desencadenen la revisión de la DPIA. Siempre que sea posible, los responsables del tratamiento deben tratar de imponer un modelo dinámico de supervisión de las medidas en cuestión (véase la sección “Integridad y confidencialidad” en la Parte II de los “Principios” de estas directrices)
- ICO (2020) IoT auditing framework – draft guidance for consultation. Information Commissioner’s Office, Wilmslow, p.13-14. Disponible en: https://ico.org.uk/media/about-the-ico/consultations/2617219/guidance-on-the-ai-auditing-framework-draft-for-consultation.pdf (consultado el 15 de mayo de 2020). ↑
- AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Agencia Española de Protección de Datos, Madrid, p.30. Disponible en: www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (consultado el 15 de mayo de 2020). ↑