Datos personales en la Inteligencia Artificial

La inteligencia artificial (IA) ha incrementado su presencia en diversos sectores, en situaciones como la actual emergencia sanitaria por COVID-19 ha tenido una participación relevante, por lo que surge la necesidad de establecer medidas para la protección de los datos personales, que pudieran ser tratados a través de cualquier producto, software o dispositivo de inteligencia artificial.

Por ello es fundamental que todo producto de inteligencia artificial que para su operación trate datos personales considere medidas para su protección desde el diseño o por defecto.

A continuación, se presentan y describen las recomendaciones publicadas por la Red Iberoamericana de Protección de Datos sobre el tratamiento de datos personales en la inteligencia artificial: 

• Cumplir las normas locales sobre datos personales: se recomienda realizar un estudio de riesgos legales de las regulaciones nacionales de tal forma que al identificarlos y atenderlos se implementen medidas que permitan ganar y mantener la confianza de los usuarios de la tecnología de inteligencia artificial.
• Realizar estudios de impacto a la privacidad: se sugiere realizar una evaluación de impacto en la privacidad previo al diseño o desarrollo del producto, software o dispositivo de inteligencia artificial, con la finalidad de identificar los riesgos que puedan afectar el derecho a la protección de datos personales de los titulares. La evaluación deberá considerar por lo menos una descripción detallada del tratamiento de datos personales que involucra el desarrollo de IA, evaluación de los riesgos específicos con relación al tratamiento definido y las medidas previstas para dar atención a los riesgos identificados. 
• Incluir la privacidad, la ética y la seguridad por diseño y por defecto: se recomienda incluir la privacidad desde el diseño para garantizar el correcto tratamiento de los datos personales en procesos de IA, es importante considerar desde antes de la recolección de la información diversas medidas preventivas (tecnológicas, organizacionales, humanas, entro otras), así como medidas de seguridad para evitar cualquier vulneración de los datos tratados. La ética debe ser considerada desde el diseño y por defecto de cualquier tecnología de IA.
• Principio de responsabilidad demostrada: los desarrolladores y creadores de productos de IA deben considerar medidas para cumplir con sus obligaciones legales y demostrarlo de una forma real y efectivo en la práctica de sus funciones, para lo cual pueden considerar la instrumentación de programas y políticas de protección de datos personales, implementar los sistemas de administración de riesgos con relación al tratamiento de datos personales, elaborar políticas y programas de protección de datos personales, implementar un programa de capacitación y actualización del personal en materia de datos personales, revisar las medidas de seguridad a través de una vigilancia interna y/o externa que incluya auditorias, así como establecer procedimientos para dar atención a dudas, solicitudes o quejas de los titulares.
• Diseñar esquemas apropiados de gobernanza sobre tratamiento de datos personales: definir de forma clara las funciones y responsabilidades que serán requeridas en la organización para el diseño o desarrollo de tecnología de IA, por ejemplo para realizar la gestión de los riesgos, definir los modelos de decisión que serán empleados, para llevar a cabo actividades de mantenimiento, monitoreo y revisión, para gestionar los canales de comunicación con los clientes o usuarios. 
• Garantizar el cumplimiento con los principios de datos personales: es fundamental que los responsables y encargados de proyectos de IA definan estrategias que les permita garantizar el cumplimiento de los principios de protección de datos personales.
• Respetar los derechos de los titulares: las organizaciones que crean o utilizan tecnologías de IA deben garantizar los derechos de los titulares de los datos personales, particularmente al derecho a no ser objeto de decisiones individuales automatizadas.
• Asegurar la calidad de los datos: garantizar que la información utilizada por la tecnología de IA sea cierta y precisa, de tal forma que se minimicen los  riesgos de sesgo que puedan vulnerar los derechos de los titulares de los datos personales.
• Utilizar herramientas de anonimización: se recomienda por regla general se utilice información anonimizada en las tecnologías de IA de tal forma que no se pueda identificar al titular de los datos personales.
• Confianza y transparencia con los titulares de los datos personales: como una forma de generar mayor confianza la organización debe ser transparente, para lo cual debe mantener canales de comunicación y divulgación sobre el uso de datos personales, efectuar pruebas piloto para evaluar la toma de decisiones utilizada por la tecnología de IA, brindar opción al titular de excluir su información (en el caso que la ley lo permita), establecer canales de revisión para que las decisiones automatizadas puedan  ser revisada y ratificadas por humanos.

Adicionalmente el INAI ha publicado el documento Recomendaciones para el tratamiento de datos personales derivado del uso de la Inteligencia Artificial con la finalidad de que los responsables conozcan los principios, deberes y obligaciones, que deben cumplir cuando realiza un tratamiento de datos personales a través de servicios, productos o tecnologías que utilicen inteligencia artificial para su funcionamiento.