Blog

¿Por qué es relevante llevar a cabo evaluaciones Evaluación de Impacto a la Privacidad (PIA por su siglas en inglés) en Sistemas de IA Generativa o Conversacional?

Por VIDERE

enero 23, 2025

La implementación de sistemas de inteligencia artificial generativa o conversacional plantea desafíos únicos en términos de privacidad. Estos sistemas, al interactuar con los usuarios y procesar grandes cantidades de datos, pueden recopilar información personal sensible y generar riesgos para la privacidad. Por ello, realizar previamente una Evaluación de Impacto a la Privacidad (PIA) es fundamental para identificar posibles riesgos asociados al tratamiento de datos personales y garantizar así el cumplimiento normativo y la protección de los derechos de los individuos.

Una PIA fortalece la confianza de los usuarios porque refleja que el sistema de IA generativa adopta un enfoque para cumplir con sus obligaciones legales, lo que adquiere mayor relevancia por la gran cantidad de datos que se procesan y la posibilidad de que haya un impacto en la privacidad.

Aspectos a considerar en una PIA para sistemas de IA generativa o conversacional:

  1. Recopilación y uso de datos:
    • Datos personales: Identificar los datos de entrada, es decir, qué datos personales se recopilan (nombre, dirección, historial de búsqueda, etc.) y cómo se utilizan y los datos que se generarán.
    • Datos sensibles: Evaluar si se recopilan datos sensibles (datos biométricos, opiniones políticas, salud, etc.) y justificar su necesidad.
    • Consentimiento: Verificar si se obtiene el consentimiento informado de los usuarios para el tratamiento de sus datos.
    • Finalidad: Asegurarse de que la finalidad del tratamiento de datos sea legítima y esté claramente comunicada a los usuarios.
    • Proporcionalidad. Evaluar si la recopilación y tratamiento de datos realmente es necesario para cumplir la finalidad.
    • Minimización. Utilizar los datos estrictamente indispensables para el logro de los objetivos.
    • Garantías adecuadas. Analizar si es posible anoniminizar o pseudonimizar los datos para proteger derechos y libertades fundamentales.
  2. Algoritmos y modelos:
    • Transparencia: Conocer y evaluar la estructura de los algoritmos de modo que se conozca cómo se construyen y funcionan,  para identificar posibles sesgos y la forma de mitigarlos.  
    • Explicabilidad: Determinar la capacidad de un sistema para explicar de manera clara y comprensible cómo se llega a un resultado.
    • Equidad: Asegurar que los algoritmos no discriminen a determinados grupos de personas.
  3. Almacenamiento y seguridad:
    • Medidas de seguridad: Evaluar las medidas técnicas y organizativas implementadas para proteger los datos personales de accesos no autorizados, pérdidas, alteraciones o destrucciones.
    • Retención de datos: Establecer políticas claras sobre los plazos de retención de los datos y los procedimientos de eliminación segura.
  4. Transferencia de datos:
    • Transferencias internacionales: Si se transfieren datos a terceros países, asegurarse de que se cumplan los requisitos legales y se garanticen los derechos de los individuos.
  5. Derechos de los interesados:
    • Acceso: Garantizar el derecho de los usuarios a acceder a sus datos personales y a obtener una copia de los mismos.
    • Rectificación: Permitir a los usuarios solicitar la rectificación de datos inexactos o incompletos.
    • Supresión: Facilitar el derecho de los usuarios a solicitar la eliminación de sus datos.
    • Oposición: Respetar el derecho de los usuarios a oponerse al tratamiento de sus datos.
    • Portabilidad: Garantizar a los titulares de los datos a obtener y reutilizar sus datos personales. Esto les permite mover, copiar o transferir sus datos de un entorno a otro de forma segura.
  6. Colaboración con terceros:
    • Contratos de procesamiento de datos: Establecer contratos claros con los proveedores de servicios que procesen datos personales en nombre de la organización.
    • Subcontratación: Asegurarse de que los subcontratistas cumplan con las mismas normas de protección de datos.

Etapas de una PIA:

  1. Planificación: Definir el alcance de la evaluación y asignar responsabilidades.
  2. Recopilación de información: Recopilar información sobre el sistema de IA, los datos utilizados y los procesos involucrados.
  3. Identificación de riesgos: Identificar los riesgos para la privacidad asociados con el sistema.
  4. Evaluación de riesgos: Evaluar la probabilidad y el impacto de cada riesgo.
  5. Medidas de mitigación: Diseñar e implementar medidas para mitigar los riesgos identificados.
  6. Documentación: Documentar los resultados de la evaluación y las medidas adoptadas.
  7. Monitoreo y revisión: Realizar un seguimiento continuo de la efectividad de las medidas de seguridad y actualizar la PIA según sea necesario.

Herramientas útiles:
Existen diversas herramientas y metodologías para realizar una PIA, como guías y plantillas proporcionadas por reguladores, así como software especializado. Al seleccionar una herramienta, es importante considerar el tamaño y la complejidad de la organización, así como el tipo de sistema de IA que se está evaluando.

En resumen, una PIA es una herramienta esencial para garantizar que los sistemas de IA generativa y conversacional se desarrollen y utilicen de manera responsable y ética, protegiendo los derechos de los individuos.

*Esta publicación fue elaborada considerando el horizonte normativo mexicano.

Artículo anterior Cumplimiento/Compliance en materia de protección de datos personales
Artículo siguiente ¿Qué es una Evaluación de Impacto a la Privacidad?