Tractaments que incorporen intel·ligència artificial


Maite Morera Fontanet     23/03/2020

1. INTRODUCCIÓ I PROTECCIÓ DE DADES


1.1 Definició
El terme intel·ligència artificial (IA) segons el Grup d'Experts d'Alt Nivell d'abril de 2019 es refereix a elements de programari (i, si escau, també de maquinari), dissenyats per éssers humans i que, donat un objectiu complex, actuen en la dimensió física o digital, perceben el seu entorn mitjançant l'adquisició i interpretació de dades estructurades o no estructurades recollits, raonen sobre el coneixement o el processament de la informació derivada d'aquestes dades i identifiquen i adopten les millors mesures a prendre per aconseguir l'objectiu determinat . Els sistemes d'IA poden usar regles simbòliques o aprendre un model numèric, i també poden adaptar el seu comportament analitzant com el medi ambient es veu afectat per les seves accions anteriors.

La Comissió Europea treballa en la definició d'una IA fiable, i estableix que, per a això, ha de complir amb set requisits clau que són:
1. la possibilitat de supervisió humana
2. la robustesa i seguretat tècniques
3. l'establiment d'un sistema de governança de la privacitat i les dades
4. la transparència
5. l'equitat, diversitat i no discriminació
6. el benestar social i mediambiental
7. la responsabilitat (accountability).


1.2 Tractaments amb components d'IA
Hi ha tractaments que inclouen components d'IA que manegen dades de persones físiques, com en un model de perfilat de màrqueting o electoral, o pot haver-hi tractaments en els quals no apareguin dades de caràcter personal, com podria succeir en un model de predicció meteorològica que recull dades d'estacions geogràficament distribuïdes.

Cal tenir en compte que no tot sistema que pren una decisió automatitzada és IA, no tota IA és Aprenentatge Automàtic (ML o Machine Learning), ni tot el que es publicita com IA és realment IA, sinó que aquesta etiqueta pot ser un recurs de màrqueting o es pot empelar per implementar un altre tipus d'estratègies de negoci.


1.3 Protecció de dades
La protecció de les persones físiques en relació amb el tractament de dades personals és un dret fonamental (article 8.1 de la Carta dels Drets Fundamentals de la Unió Europea i l'article 16.1 de el Tractat de Funcionament de la Unió Europea) que regula el GDPR i la LOPDGDD a més de tota la normativa sectorial publicada abans i després de l'entrada en vigor del GDPR.


1.4 Cicle de vida d'una solució IA
Una solució IA serà un element de procés de dades que s'inclourà en una o més fases d'un tractament. En uns casos, el component IA es desenvoluparà específicament per a aquest tractament, en molts casos, aquest component serà desenvolupat per tercers diferents del responsable. El component IA no estarà aïllat i s'integrarà en un tractament específic al costat d'altres components com: la recollida de dades, sistemes d'arxius, mòduls de seguretat, interfícies d'usuari, i altres. És més, un cop desenvolupat, un component IA podria ser integrat en tractaments de diferents responsables.


1.5 Tractaments de dades personals usant IA
En els possibles tractaments en una solució IA es poden trobar dades personals en les següents etapes del cicle de vida:
  • Entrenament: si és un model IA basat, per exemple, en tècniques d'Aprenentatge Automàtic (ML), es podrien utilitzar dades personals en el desenvolupament d'aquest. En altres ocasions, com és el cas en el que s'entreni un model IA mitjançant la captura de coneixement d'un expert, podria considerar-se a priori que no existeix un tractament de dades de caràcter personal.
  • En el cas que l'entrenament tracti dades de caràcter personal, aquest és un tractament en si mateix. En la seva màxima expressió podria incloure les següents activitats: definició, recerca i obtenció del conjunt de dades d'interès, preprocessament de la informació (tractament de dades no-estructurats, neteja, balanceig, selecció, transformació), splitting o partició del conjunt de dades per a verificació, i informació de traçabilitat i d'auditoria.
  • Validació: en aquesta operació es podria realitzar un tractament de dades personals quan s'utilitzin dades que corresponen a la situació real del tractament, per determinar la bondat de el model de forma experimental. El conjunt de dades pot ser diferent d'aquells utilitzats en l'etapa d'entrenament (si és que aquesta existeix i tracta dades personals) i podria fins i tot ser realitzada per un tercer per a l'auditoria o certificació de el model.
  • Desplegament: en el cas que la solució IA sigui un component, un mòdul que es distribueix a tercers per a incloure en els seus tractaments, es pot considerar que hi ha una comunicació de dades personals quan la solució IA inclogui dades personals o hi hagi una forma de obtenir-los. Per exemple, algunes solucions IA, com les Màquines de Suport Vectorial (SVM) podrien contenir dins de la lògica de el model exemples de les dades d'entrenament. En altres casos, es podrien trobar patrons en el model que identifiquen a un individu singular.
  • Explotació: en les diferents activitats d'explotació de la solució IA és possible trobar tractaments de dades personals:
    • Inferència: quan es facin servir dades de l'interessat per obtenir un resultat, quan es facin servir dades de tercers amb el mateix propòsit o quan dades i inferències de l'interessat s'emmagatzemen. Si la persona interessada disposa de la IA com un component de la seva propietat, aplicaria l'excepció domèstica.
    • Decisió: com s'ha vist anteriorment, la decisió sobre un interessat és un tractament de dades personals.
    • Evolució: en la solució IA es podrien fer servir les dades i resultats dels interessats per refinar el model d'IA. Quan ens trobem que aquesta evolució es realitza en el component adquirit pel propi interessat, de forma aïllada i autònoma, aplicaria l'excepció domèstica. Però si s'envien a tercers, tindríem una comunicació de dades, un possible tractament d'emmagatzematge, tractament per a modificar el model, o fins i tot noves comunicacions si aquestes dades s'incorporen a el model i aquest és accessible a altres tercers.
  • Retirada: la retirada del servei pot tenir dues extensions diferents: el component IA es retira per obsolet en tots els tractaments en què s'implementi, o un usuari concret decideix no utilitzar el component IA. Aquest usuari pot ser una entitat o una persona física i pot tenir efectes en la supressió local, centralitzada o distribuïda de dades, així com sobre la portabilitat de el servei.


1.6 Evaluació de les solucions IA
Tant el model d'IA inclòs en un tractament, com el tractament en si, han de tenir el propòsit de donar resposta a una necessitat real de l'empresa i la indústria. Estem parlant de solucions que transcendeixen l'àmbit experimental i es van a sotmetre a les lleis de mercat, un mercat regulat i que està obligat a complir amb unes normes i estàndards de qualitat.


2. ROLS, RELACIONS I RESPONSABLES

En les diferents etapes del cicle de vida d'un component IA serà responsable de l'tractament aquella persona física, jurídica, autoritat pública o un altre organisme que prengui la decisió de realitzar el tractament de dades personals. Per tant, diferents responsabilitats implicaran diferents obligacions en el marc de el tractament. Així mateix, en les diferents etapes poden intervenir diferents responsables i encarregats, a més de plantejar-se situacions de comunicacions de dades entre responsables.


3. CUMPLIMENTO

El GDPR pot proporcionar una extraordinària flexibilitat per poder garantir i demostrar el seu compliment. No obstant això, hi ha un conjunt de condicions mínimes que s'han de complir per garantir la conformitat de l'tractament que faci ús de solucions d'IA. Entre elles poden citar-se:
  • L'existència d'una base per legitimació de el tractament de dades personals, (articles 6 a l'11 del GDPR).
  • El primer pas per determinar que la solució d'IA compleixi amb el GDPR és l'establiment d'una base jurídica legitimadora des del moment de la concepció del tractament. La legitimació per a les diferents etapes del cicle de vida i per a cada tractament s'ha d'establir en la fase de disseny, sigui aquest tractament la pròpia creació d'un compon nt IA o un tractament que plantegi la utilització d'un component IA. Si no es troba una base legitimadora no s'ha de realitzar el tractament.
  • L'obligació de ser transparent i d'informar els interessats (articles 12 a l'14 del GDPR).
  • La informació que cada responsable ha de proporcionar als interessats s'estableix en els articles 13 i 14 del GDPR, i el contingut concret s'haurà d'adaptar a l'etapa de l'cicle de vida de la IA en què s'estigui realitzant el tractament.
  • L'obligació de proporcionar als interessats mecanismes per a l'exercici dels seus drets (articles 15 al 23 del GDPR).
  • Els responsables que facin ús de solucions d'IA per tractar dades personals, elaborar perfils o prendre decisions automatitzades, han de ser conscients que els interessats tenen drets en l'àmbit de la protecció de dades que han de ser atesos. Per tant, durant la fase de concepció del tractament, els responsables han de ser conscients que han d'establir mecanismes i procediments adequats per a poder atendre les sol·licituds que rebin, i que aquests mecanismes han d'estar adequadament dimensionats per l'escala de l'tractament que estan efectuant.
  • L'aplicació del principi de responsabilitat proactiva (articles 24 al 43) que estableixen la necessitat d'incorporar una sèrie de garanties addicionals, més enllà d'un mínim, documentades i orientades a gestionar el risc per als drets i llibertats dels individus. En particular, l'obligació de mantenir un registre d'activitats de tractament (article 30 del GDPR).
  • El compliment de les condicions per a poder realitzar transferències internacionals de dades (articles 44 al 50 del GDPR).


4. GESTIÓ DEL RISC PELS DRETS I LLIBERTATS

Tant per determinar el risc, com per establir les mesures apropiades per gestionar-lo, cal realitzar una anàlisi del tractament, dividint el mateix en les seves diferents fases i administrar les peculiaritats de cadascuna d'elles.

Per determinar el nivell de risc d'un tractament basat en IA o que conté fases en què hi ha un component d'aquesta, cal tenir en compte:
  • Els riscos que es deriven del tractament en si mateix, sent el més característic el que es deriva del biaix en els sistemes de presa de decisions sobre les persones o la seva discriminació (Algorithmic discrimination).
  • Els riscos que es deriven del tractament amb relació a l'context social i els efectes col·laterals que es puguin derivar d'ell, indirectament relacionats amb l'objecte de tractament.
En qualsevol cas, el responsable ha de ser capaç d'identificar els riscos addicionals derivats de la novetat de la solució IA i la seva manera d'implementació com, per exemple, en el cas que el component IA que es distribueixi inclogui dades personals.

El responsable d'el desenvolupament, manteniment i / o distribució d'un component IA, així com el responsable d'un tractament que inclogui components IA, ha de prendre, en cadascuna de les respectives etapes i responsabilitats, les mesures oportunes per minimitzar o eliminar els factors de risc.

En particular, però no de forma exclusiva, i tal com estableix l'article 35.3.a GDPR, cal fer una avaluació d'impacte de protecció de dades (EIPD / DPIA) quan es realitzi l'elaboració de perfils, basats en tractaments automatitzats (però no necessàriament exclusivament automatitzats), sobre els que es prenguin decisions que produeixin efectes jurídics per a les persones físiques o que els afectin significativament.

En el cas de tractaments basats en IA, la transparència està dirigida tant als interessats com als operadors del tractament (personal autoritzat). En particular, la transparència està lligada amb una informació veraç sobre l'eficiència, les capacitats i les limitacions reals dels sistemes d'IA, que eviti la creació de falses expectatives, en els usuaris i els interessats, que puguin ocasionar una mala interpretació de les inferències que es realitzen en el marc de el tractament.

L'ús d'estratègies de transparència, gestió de el risc i mecanismes d'auditoria i certificació no només permetran el compliment del que estableix el GDPR, sinó que milloraran la confiança dels usuaris en els productes i serveis basats en IA, a més d'obrir un nou mercat en aquest sector d'activitat: enginyers de privacitat, auditors, esquemes de certificació, professionals acreditats, etc. aquestes noves oportunitats de desenvolupament s'estenen també a la creació d'esquemes de portabilitat.


5. TRANSFERÈNCIES INTERNACIONALS

El desenvolupament o desplegament d'un component d'IA basat en serveis al cloud, la comunicació de les dades dels usuaris a tercers per evolucionar el model d'IA, o la distribució de component d'IA en el cas que existeixin dades personals inherents al model, poden implicar fluxos transfronterers de dades a tercers països. No tenen consideració de transferència internacional de dades dels fluxos de dades que es produeixen dins de el marc de l'Espai Comú Europeu.

Per aquestes transferències han d'aplicar les garanties que s'estableixen al capítol V del GDPR.


6. BIBLIOGRAFIA

Aquest document és un resume de l'article publicat per Manuel Castilleja Toscano, referent a la guia publicada per l'AEPD al febrer de 2020, "Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción"que pretén ser una mera introducció a l'adequació dels tractaments que incloguin components d'IA, de manera que no cobreix totes les possibilitats i riscos que es poden derivar d'l'ús de solucions en IA en tractaments de dades personals.


ANNEX. SERVEIS ACTUALS BASATS EN IA

La llista que es presenta en aquest annex no pretén ser exhaustiva, sinó un exemple per il·lustrar l'extensió dels serveis que actualment s'estàn prestant basant-se en IA:
  • Serveis d'Internet
    • Captchas, chatbots, detecció de frau, personalització d'anuncis.
  • Recursos humans
    • Selecció de candidats.
  • Serveis financers
    • Predicció d'hipoteques sobre la base de l'anàlisi del perfil de client, monitorització de transaccions per detectar activitats fraudulentes basant-se en els hàbits de consum, inversió financera automàtica.
  • Salut i Sanitat
    • Diagnòstic basat en l'anàlisi d'imatges, predicció de taxes de readmissió de pacients basant-se l'anàlisi de les dades, mapes sanitaris, anàlisi de salut mental, prevenció de suïcidis, chatbots de salut mental, predicció de risc basat en paràmetres analítics, diagnòstic per anàlisi de mostra patològica, processament de el llenguatge natural d'històries clíniques, anàlisi genètica, electrodiagnosi, desenvolupament de vacunes i medicaments.
  • Comerç i comunicació:
    • Recomanacions de productes basant-se en el perfil de client i en l'anàlisi de les seves compres, maximitzar l'abast de productes i serveis a un grup de clients, agents de viatge virtuals, monitorització de xarxes socials.
  • Serveis públics i subministres:
    • Comptadors intel·ligents i predicció de la demanda de consum dels clients, estimació de el cost de determinats serveis de manteniment, assignació de tractaments al sistema públic de sanitat, tractament automàtic de multes, suport a la decisió en administració de justícia.
  • Transport:
    • Vehicles autònoms, semàfors intel·ligents, optimització de les rutes i horaris dels serveis públics de transport.
  • Educació:
    • Contingut i formació personalitzada a les necessitats de l'alumnat, correcció d'exàmens, detecció de plagi o frau en treballs, tutorització automàtica, detecció d'estudiants anòmals.
  • Seguretat:
    • Reconeixement facial, empremtes dactilars, detecció de comportament, control de fronteres, anàlisi d'indici d'engany, anàlisi de registres d'activitat, detecció d'intrusions, anàlisi de comunicacions.
  • Llar:
    • Assistents intel·ligents, miralls intel·ligents, electrodomèstics, seguretat.
  • Altres:
    • Eines de dibuix, ajudes a la creació artística, optimització de programes d'entrenament esportiu.


NORMATIVA RELACIONADA
AEPD: Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción.
CE: El Libro Blanco de la Comisión Europea sobre Inteligencia Artificial.