Protección de Datos lanza una guía para auditorías de tratamientos de datos que incluyen Inteligencia Artificial

Protección de Datos lanza una guía para auditorías de tratamientos de datos que incluyen Inteligencia Artificial

20 / 01 / 2021 06:47

La Agencia Española de Protección de Datos (AEPD) ha publicado una guía sobre Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial, un documento que ofrece orientaciones y un listado de posibles objetivos de control y controles específicos que podrían incorporarse en estas auditorías desde una perspectiva de protección de datos.

La realización de tratamientos de datos personales en los que se utiliza Inteligencia Artificial (IA) para realizar análisis e inferencias, según afirma la AEPD en un comunicado, «exige que se aplique un modelo de desarrollo maduro que proporcione garantías de calidad y privacidad».

El impacto que podrían tener los tratamientos basados en IA en los derechos y libertades de los ciudadanos «pone de manifiesto la necesidad de establecer medidas de control efectivo, corrección, responsabilidad, rendición de cuentas, gestión del riesgo y transparencia relativas a los sistemas y a los tratamientos de los datos en los que se utilice».

Así, según recuerda la AEPD, el Reglamento General de Protección de Datos (RGPD) establece en su artículo 24 la obligación por parte de aquellos que tratan datos de aplicar «medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento».

Estas medidas han de ser seleccionadas «teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas» y una de esas herramientas para «garantizar y poder demostrar» el cumplimiento del RGPD es la realización de auditorías.

Ello requiere disponer de criterios objetivos diseñados para ejecutar la auditoría de componentes de IA desde una perspectiva de protección de datos.

El documento recoge objetivos como inventariar el algoritmo auditado, identificar las responsabilidades y cumplir con el principio de transparencia; identificar las finalidades, analizar la proporcionalidad y necesidad del tratamiento y los límites en la conservación de los datos; asegurar la calidad de los datos y controlar posibles sesgos y verificar y validar las acciones realizadas y los resultados obtenidos dando cumplimiento al principio de responsabilidad activa del RGPD, entre otros.

¿A quién está dirigida la guía?

El texto está dirigido, principalmente, a responsables y encargados que han de auditar tratamientos que incluyan componentes basados en IA, de cara a garantizar y poder demostrar el cumplimiento de obligaciones y principios en materia de protección de datos a los que están sujetos.

Del mismo modo, a los desarrolladores que quieran ofrecer garantías sobre sus productos y soluciones, a los Delegados de Protección de Datos encargados tanto de supervisar los tratamientos como de asesorar a los responsables y, por último, a los equipos de auditores encargados de evaluar dichos tratamientos.

Este documento complementa a la Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial de la Agencia, que aborda el cumplimiento efectivo de los principios de protección de datos personales en tratamientos que incluyan soluciones de inteligencia artificial. En ella se dedicaba un capítulo a la auditoría, planteándola como una de las posibles herramientas de evaluación y un instrumento dirigido a conseguir productos explicables, predecibles y controlables.

«La selección de los controles a auditar, la extensión de su análisis y la formalidad requerida en su implementación dependerá, como en toda auditoría, del objetivo y alcance definido para esta, así como del análisis de riesgos realizado. El auditor ha de seleccionar los controles que se adecúen a la auditoría concreta y añadir aquellos que estime oportunos».

Esta nueva guía de la AEPD ha sido desarrollada basándose en un estudio realizado por Éticas Research and Consulting bajo el encargo y la supervisión de la Agencia Española de Protección de Datos.

Las revisiones realizadas por expertos del Artificial Intelligence Hub del Consejo Superior de Investigaciones Científicas (CSIC AI HUB), del Observatorio del impacto social y ético de la inteligencia artificial (OdiseIA), de la Asociación Profesional de Cuerpos Superiores de Sistemas y Tecnologías de la Información de las Administraciones Públicas (ASTIC), Grupo de Innovación Docente en Ciberseguridad (CiberGID)-ETSI Informática – UNED y del Centro para el Desarrollo Tecnológico e Industrial (CDTI).

Noticias relacionadas:

Europa avala que se publique el nombre de los deportistas «cazados» dando positivo en dopaje

Los pacientes no pueden conocer la identidad de los médicos que acceden a su historial clínico, según el TS

Opinión | AI Ómnibus: menos burocracia no es igual a más competitividad

Opinión | Frente al fraude tecnológico con IA, Europa está obligada a reaccionar

La presidenta Perelló advierte: «Las críticas debilitan la utilidad de las instituciones»

Ricardo De Lorenzo, abogado de Derecho Sanitario: «La IA puede diagnosticar mejor que un humano, pero debe estar supervisada por un médico»

Lo último en Mundo Judicial

asocaiciones judiciales

Las asociaciones judiciales acatan el fallo del TJUE sobre la amnistía, pero discrepan sobre su alcance

El magistrado del Supremo, Ignacio Sancho Gargallo, sobre cuya opinión parece que se ha inspirado el tribunal de la Sección 15 de la Audiencia Provincial de Barcelona.

El magistrado Ignacio Sancho Gargallo, elegido por unanimidad nuevo presidente de la Comisión de Ética Judicial

WhatsApp Image 2026-07-09 at 11.41.35

Conde-Pumpido preside el izado solemne de la bandera con el que el Constitucional celebra su 46º aniversario

Isabel Perelló

La presidenta Perelló advierte: «Las críticas debilitan la utilidad de las instituciones»

CGPJ mágico

El CGPJ planta cara a Justicia: exige una reunión urgente tras el veto a los refuerzos que dejará sin resolver 12.470 asuntos sobre cláusulas abusivas