Entrevista a Carlos Diaz Alsina, Delegado de Protección de Datos en Triodos Bank NV S.E
“El Compliance Officer debe velar porque proveedores externos y tecnologías cumplan con los estándares éticos y normativos existentes”
Ponente en el seminario que IECOM organizó recientemente para definir como se diseña una política de ética de datos, Carlos Diaz Alsina, experto en privacidad, explica en esta entrevista como se gestionan los datos en una organización con el apoyo de la tecnología desde criterios éticos.
Desde su punto de vista “el Compliance officer debería velar porque el uso de proveedores externos eminentemente tecnológicos, o determinadas tecnologías emergentes, o incluso disruptivas, cumplan con esos estándares éticos y normativos”-
Para este experto, Compliance officer y Delegado de Protección de Datos deben ir de la mano pero tener diferenciados nuestros papeles.
“Quizá la diferencia podría estar en el foco de nuestra atención, la aproximación del DPD debe estar en los riesgos para los derechos y libertades del sujeto, en que la persona afectada pueda ejercer todos sus derechos, que no se generen expectativas distintas, sesgos, que exista una información clara y suficiente.”; apunta
En su opinion, “el Compliance officer por su parte tendrá un papel muy relevante en la identificación de las normas internas o externas afectadas, en la aproximación al riesgo sobre la compañía, más que en los riesgos sobre el sujeto”.
¿De qué forma hay que utilizar la tecnología en la empresa para que cumpla con los criterios éticos de cada compañía? ¿Cómo se definen dichos criterios éticos?
La tecnología que utiliza la empresa debe ser una herramienta más para la consecución de sus fines empresariales, de su misión.
Al igual que el Compliance officer vela porque la conducta de la propia empresa y de que sus empleados se ajusten a determinados estándares éticos y normativos, también éste
En el cumplimiento de los criterios éticos, el Compliance officer tiene un papel fundamental, asegurándose de que no se produzcan comportamientos contrarios a los deseados.
¿Por qué es importante contar con un buen gobierno de los datos? ¿De qué manera se alinea con la estrategia de la compañía?
Cada vez es más frecuente que las compañías se adapten a procesos tecnológicos tremendamente complejos. Términos como big data, machine learning, Inteligencia Artificial, data lake, business intelligence, etc., forman parte, cada vez más, de la terminología empresarial.
Eso sin contar la utilización de la nube o de multitudes de proveedores tecnológicos con acceso a datos de carácter personal.
Aprobar políticas y procedimientos internos que determinen cómo se deben gobernar esos datos, los riesgos en su custodia, su gestión, su tratamiento, destrucción, etc., puede ayudar enormemente a la compañía, pero también a los empleados y a los propios Compliance officer, así como a delegados de protección de datos a no perder de vista dónde y para qué se utilizan estos datos.
Ahora que se habla de los algoritmos y modelos predictivos ¿Cómo podemos controlar que estos modelos cumplen con los estándares éticos y normativos internos y externos de la empresa?
La Agencia de Protección de Datos ha publicado una guía de tremenda utilidad para darnos unas pautas orientativas acerca de cómo se deben auditar los tratamientos de datos personales que incluyan soluciones basadas en Inteligencia Artificial (IA en adelante).
Para la realización de esta auditoría, resulta fundamental disponer de un listado de objetivos de control así como de controles. Por ejemplo, si lo que se pretende es asegurar la calidad del dato que utilizará esa solución, las medidas de control adecuadas serían disponer de políticas de gobierno de datos, mecanismos de supervisión, etc.
Se puede consultar aquí: https://www.aepd.es/es/documento/requisitos-auditorias-tratamientos-incluyan-ia.pdf
Además, la Unión Europea, en su libro blanco sobre IA habla de una Inteligencia Artificial confiable, y para ello debe cumplir con siete requisitos clave: (i) acción y supervisión humanas, (ii) solidez técnica y seguridad, (iii) gestión de la privacidad y los datos, (iv) transparencia, (v) diversidad, no discriminación y equidad, (vi) bienestar social y ambiental y (vii) rendición de cuentas.
Estos siete apartados podrían muy bien servir de partida para analizar los riesgos adicionales que supone el uso de la IA sobre otras tecnologías.
En este escenario de uso de la tecnología ¿Cómo se vertebra la relación entre el Compliance officer y el delegado de protección de datos para que no haya conflicto de competencias?
Tanto el Compliance officer como los delegados de protección de datos (DPD) debemos entender estas nuevas tecnologías, no podemos descansar nuestra responsabilidad en que se haya automatizado una tarea o en la propia capacidad de la máquina.
Al contrario, debemos asegurarnos de que esa automatización, desde su diseño, desarrollo, pruebas y resultados, se ajustan a la normativa interna y externa. Debemos ir de la mano, pero efectivamente tener diferenciados nuestros papeles.
Quizá la diferencia podría estar en el foco de nuestra atención, la aproximación del DPD debe estar en los riesgos para los derechos y libertades del sujeto, en que la persona afectada pueda ejercer todos sus derechos, que no se generen expectativas distintas, sesgos, que exista una información clara y suficiente…
El Compliance officer por su parte tendrá un papel muy relevante en la identificación de las normas internas o externas afectadas, en la aproximación al riesgo sobre la compañía, más que en los riesgos sobre el sujeto.
¿De qué manera podemos detectar que el uso de dicha tecnología es invasiva y puede atentar contra los derechos fundamentales?
Efectivamente, esa sería la pregunta para trasladar al proveedor o al desarrollador de la solución tecnológica en concreto.
Compliance Officer y DPD podemos llegar a entender a alto nivel estas tecnologías, sus potenciales riesgos, facilitar posibles medidas de control en la parte menos técnica, como las medidas organizativas y de gobierno, pero los conocimientos técnicos necesarios para asegurar que estamos bajo los criterios normativos y éticos de la compañía son muy elevados.
Al margen de la guía de la Agencia de Protección de Datos, se está trabajando en la estandarización UNE/ISO sobre IA, Big Data, sus implicaciones éticas, sociales o los posibles sesgos.
En cualquier caso, la aproximación debe basarse en el riesgo frente al individuo y en la complejidad de la solución.
El borrador de reglamento europeo por el que se establecen normas armonizadas en materia de IA (Ley de inteligencia artificial) califica estas soluciones sobre la base de: i) un riesgo inaceptable, ii) un riesgo alto, y iii) un riesgo bajo o mínimo.
Por ejemplo, suponen un riesgo inaceptable aquellas prácticas prohibidas, como la manipulación subliminal de los individuos o aprovechar sus vulnerabilidades.
Este borrador y su anexo ejemplificativo pueden servirnos de guías, junto con otros documentos como el citado de la AEPD, acerca de qué usos podrían suponer un riesgo para los derechos y libertades de los individuos.
Se puede consultar la propuesta en:
¿Qué riesgos a nivel de cumplimiento están asociados desde su punto de vista a la Inteligencia Artificial?
Actualmente en el ámbito regulatorio se encuentra fundamentalmente el riesgo de cumplimiento del Reglamento Europeo sobre Protección de Datos (RGPD), aunque en el futuro veremos también el riesgo del Reglamento Europeo que regule la IA. Principios de cumplimiento como la minimización, la exactitud, la transparencia…, del actual RGPD se amplifican en gran medida cuando se descansa la responsabilidad en usos de tecnologías que pueden llegar a resultar de gran complejidad.
En estos casos, tendremos que hacer un análisis de riesgo del tratamiento y, si del resultado de ese análisis se determina la existencia de un riesgo relevante para los derechos y libertades del individuo, realizar una evaluación de impacto que concretará los principales riesgos y medidas a adoptar.
Pero también puede haber riesgos sobre otros derechos fundamentales, como puede ocurrir con principios de igualdad y no discriminación.
Es el caso de los sesgos (bias en inglés), aquellos resultados discriminatorios que se producen de forma voluntaria o involuntaria incluso, cuando consciente o inconscientemente se trasladan a la solución tecnológica ciertos prejuicios que pueda tener el individuo que encarga el desarrollo o el propio desarrollador acerca de raza, orientación sexual, religión, procedencia geográfica, etc.
La solución de IA o el aprendizaje de la propia máquina partiría ya de bases discriminatorias.
¿Cómo aplicamos la ética al big data o a la propia Inteligencia Artificial?
Internacionalmente se están dando pasos cada vez más sólidos para concretar la aplicación de términos como ética, fiabilidad o IA confiable.
En el ámbito de la Unión Europea, el Grupo de expertos de alto nivel sobre IA aprobó las Directrices Éticas para una IA fiable, donde marcaba una serie de principios éticos, basados en los derechos fundamentales del individuo, que debían establecerse de forma imperativa en el contexto de los sistemas de IA.
Se trata de los principios de respeto de la autonomía humana; prevención del daño; equidad y explicabilidad.
En cuanto al reconocimiento facial o uso de datos biométricos, da la sensación de que los reguladores de protección de datos son muy restrictivos de cara al uso de dichas herramientas ¿Es lógica dicha restricción?
Tiene toda la lógica, tanto el reconocimiento facial como otros datos biométricos cada vez son más precisos y tienen más utilidades, pero también más riesgos para los individuos. Fundamentalmente habrá que comprobar la proporcionalidad de utilizar esas tecnologías, su finalidad, su fiabilidad y seguridad, la posibilidad de que el usuario tenga alternativas menos intrusivas y la transparencia informativa en cuanto a su uso, etc.
Aquí también debemos concienciarnos los propios usuarios y usuarias en cuanto a los riesgos que entraña el uso de estas tecnologías, porque en nuestro día a día es cierto que ya hemos interiorizado que se puede usar para desbloquear un móvil, utilizar robots domésticos
También se puede utilizar para hacer vídeos graciosos con ciertos efectos, etc. y eso nos da una sensación de falsa seguridad, no nos paramos a pensar quién puede estar detrás de esas aplicaciones o funcionalidades y qué riesgos puede tener que, por ejemplo, esa aplicación tenga accesos a determinadas partes de nuestros dispositivos, sin que seamos conscientes de su completo uso o no tengan unas medidas de seguridad apropiadas.