Categorias
PUNTOS CLAVE PARA EL USO DE UN SISTEMA DE IA EN TU EMPRESA CONFORME EL RGPD
TRES PUNTOS CLAVE PARA IMPLEMENTAR UN SISTEMA DE IA EN TU EMPRESA CONFORME A LA PROTECCIÓN DE DATOS
La inteligencia artificial (IA) ofrece una ventaja significativa para aquellas empresas que desean optimizar sus procesos operativos, transformar su atención al cliente y aumentar su productividad.
Aunque algunas empresas optan por desarrollar sus propios sistemas de IA, el uso de herramientas desarrolladas por terceros (proveedores) suele ser la opción más atractiva, al suponer menos inversión de tiempo y recursos. Aun así, su implementación requiere una planificación cuidadosa y una comprensión clara de varios factores clave.
En este artículo se abordan tres cuestiones fundamentales que debes considerar al implementar un sistema de IA en tu empresa:
Dado que el uso de sistemas de IA suele conllevar el tratamiento de datos personales, la empresa que contrata estos sistemas debe elegir únicamente proveedores de servicios de IA que ofrezcan garantías suficientes en materia de seguridad y privacidad. Antes de elegir a un proveedor, infórmate sobre los estándares de cumplimiento a los que se adhiere.
Asimismo, será esencial examinar detenidamente los términos y condiciones establecidos por cada proveedor, especialmente las cláusulas relativas al uso de información de la empresa como datos de entrenamiento para otros modelos de IA.
Ten en cuenta que las empresas que crean modelos de IA deben mantener registros del desarrollo y las pruebas de su sistema y, como empresa interesada en utilizar su IA, deben facilitarte esta información dentro de los límites de su propiedad intelectual.
El Reglamento Europeo de Inteligencia Artificial (AIA, por sus siglas en inglés) establece obligaciones aplicables, no solo a los desarrolladores de sistemas de IA, sino también a las empresas que utilizan o proporcionan a sus clientes servicios basados en esta tecnología.
Para que tu empresa pueda cumplir con esta normativa, que entró en vigor el 1 de agosto de 2024 y empezará a aplicarse progresivamente a partir de 2025, será primordial determinar el tipo de riesgo del sistema de IA en tu caso de uso. Esto se debe a que el AIA establece diferentes requisitos y obligaciones en función del tipo de riesgo asociado a tu IA, por lo que la clave para cumplir con esta normativa será saber en qué nivel de riesgo se encuadra el sistema que pretendemos desplegar.
Por ejemplo, si una empresa está interesada en dejar en manos de la IA la contratación de sus empleados (riesgo considerado como “alto” por el AIA), estará sujeta al cumplimiento de las obligaciones correspondientes a este nivel de riesgo, entre ellas: garantizar que los datos de entrada sean pertinentes y supervisar el funcionamiento del sistema, asignar supervisión humana, informar de inmediato al proveedor y a las autoridades competentes sobre riesgos detectados, conservar los registros generados por el sistema de IA, informar a los trabajadores, etc.
Por otro lado, si lo que se pretende es integrar un chatbot en la web, para ofrecer un servicio automatizado de atención al cliente, (riesgo “limitado”), quedará sometida a otro tipo de obligaciones, adaptadas a su nivel de riesgo, como el deber de informar a los usuarios de que interactúan con un sistema de inteligencia artificial, y no con una persona.
La protección de datos tiene afectación directa en los sistemas de IA, dado que, si un componente IA trata datos personales, elabora perfiles sobre una persona física o toma decisiones sobre la misma, tendrá que someterse a las exigencias normativas aplicables en la materia (RGPD y LOPDGDD).
En este caso, la AEPD considera que, al contratar un sistema de IA, la empresa, que actúa como responsable del tratamiento, encarga a quien ostenta la propiedad del sistema de IA la ejecución de un tratamiento de datos personales bajo sus instrucciones; por lo que su uso implicará, entre otros aspectos:
- Acreditar que existe una base legal que justifique el tratamiento de los datos.
- Llevar un Registro de Actividades del Tratamiento (RAT).
- Cumplir con los principios del artículo 5 RGPD y garantizar los derechos de los interesados.
- Regular la relación Responsable – Encargado mediante un contrato de encargo de tratamiento.
- En su caso, nombrar un Delegado de Protección de Datos.
- Aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo y notificar violaciones de Seguridad a la Agencia Española de Protección de Datos (AEPD).
Debemos recordar que infringir las normas de protección de datos puede conllevar la imposición de sanciones económicas cuantiosas, que incluso pueden alcanzar los 20 millones de euros, o un 4 % del volumen de negocio total anual mundial. Por su parte, infringir las normas del AIA puede dar lugar a multas de hasta 35 millones de euros o el 7% del volumen de negocios anual.
En definitiva, la implementación de los sistemas de inteligencia artificial debe ir de la mano del asesoramiento de abogados expertos que estén al día de las novedades normativas, que puedan guiarte durante el proceso y garantizar que actúas respetando las obligaciones legales y protegiendo la privacidad de los datos de tu empresa.
