El desarrollo simultáneo de estándares globales de Inteligencia Artificial (IA) y marcos responsables, darán forma al futuro, dice el estudio «Privacidad en el nuevo mundo de la IA» publicado por KPMG. El material destaca las implicaciones para la privacidad ante la adopción generalizada de la IA. También busca comprender lo que esto significa para las empresas y describe los pasos clave que las organizaciones pueden tomar para usar la inteligencia artificial de manera segura. Se trata de medidas que tienen como objetivo mitigar los riesgos para que las instituciones aprovechen la tecnología de una manera que pueda proteger la privacidad de las personas.
«Hay algunas precauciones que deben observarse al implementar proyectos de IA en las empresas, con el fin de reducir las posibilidades de fuga de información sensible y proteger los datos de los consumidores, garantizando así la preservación de la privacidad de los involucrados», dice Leandro Augusto, socio líder de Ciberseguridad y Privacidad de KPMG en Brasil y América del Sur.
Y según Walter Risi, Socio de Consulting en KPMG de Argentina y Líder Global de Ciberseguridad en IIOT en KPMG Global, «la Inteligencia Artificial presenta una serie de riesgos tanto de seguridad como de privacidad que son en su mayoría nuevos para las organizaciones. Dado que es un camino que requiere experimentación y aprendizaje, es importante involucrar tempranamente al CISO y al DPO en los proyectos de IA, a fin de balancear el potencial con los riesgos».
De acuerdo al estudio hay 5 medidas clave que ayudan a esta protección de la privacidad en un proyecto de IA:
1. Comprender el entorno regulatorio y adoptar una estrategia de privacidad
Es importante identificar qué estándares regulatorios pertenecen a la industria de la empresa. Con este conocimiento, será más factible definir las políticas de privacidad de IA a implementar en la organización. Esta base de referencia para el uso de la IA debe hacerse con el fin de satisfacer los diferentes regímenes, incluso pensando en simplificar el desarrollo de las actividades relacionadas con ella.
2. Incorporar evaluaciones de privacidad por diseño en los proyectos.
En el momento de la decisión de implementar IA es importante analizar el impacto que tendrá en los problemas de privacidad y en su cumplimiento. Esto se puede hacer utilizando la Evaluación Sistemática de Impacto sobre la Privacidad (PIA) o con la Evaluación de Impacto de la Protección de Datos (EIPD). También se aplica para las empresas que creen que solo utilizan datos no personales o anónimos. Para una evaluación más completa, se recomienda incluir en esta parte del proyecto la modelización de las amenazas a la seguridad y la privacidad y, si es necesario, la consulta a las partes interesadas. Todas estas cuestiones deben observarse y mantenerse durante todo el tiempo de uso de la IA en el proyecto.
3. Evaluar los riesgos de privacidad
Es el momento de asegurarse de que el proyecto está contemplando las principales normas, prácticas y sobre todo los códigos de conducta que hacen operativos los requisitos. Esto es cierto tanto para el desarrollador como para el cliente que solicita un proyecto de IA en su institución. Para los clientes, es muy importante pedir al proveedor la documentación de soporte de PIA o EIPD. Ya hay países donde la legislación exige estas evaluaciones.
4. Realizar un análisis independiente
Una empresa externa validará que el trabajo de creación e implementación del proyecto se basó en todas las medidas y protocolos de seguridad vigentes para la IA. Se recomienda a los desarrolladores de sistemas de IA para que sus clientes estén seguros de los organismos reguladores y las mejores prácticas existentes.
5. Respetar los derechos y las opciones a través de la transparencia en relación con las entradas y salidas de datos
Es necesario que las empresas que utilizan la IA en proyectos de toma de decisiones sean capaces de responder cuáles son los moldes que guían la inteligencia en esta práctica. La explicación debe proporcionar claridad en cuanto a los métodos utilizados para que la IA haya tomado una decisión, recomendación o predicción. Una buena manera de hacerlo es a través de flujos de trabajo que se documenten, identifiquen y expliquen las formas en que se utilizaron los datos en relación con el usuario final y las posibilidades de impugnar esa decisión.