¿Qué ha ocurrido?
¿Qué riesgos hay sobre la privacidad?
¿Sólo es un problema de privacidad?
¿Esto significa que ha sido prohibido su uso?
¿Qué implica esto para mi organización?
Recomendaciones
- Tener un control de qué aplicaciones de IA se están empleando a nivel corporativo. Una buena práctica puede ser, por ejemplo, a través de un cuestionario a los trabajadores.
- Si se identifican tecnologías de IA en procesos que involucren el tratamiento de datos personales, suspender su uso hasta que se realice una evaluación de impacto en la que se analicen los riesgos sobre los datos personales. En caso de que se considere aceptable su uso, actualizar el registro de operaciones de tratamiento y el plan de tratamiento de riesgos con las medidas que sean necesarias.
- Elaborar una política de uso de IA en la organización, o actualizar las políticas existentes contemplando medidas especiales para el uso de IA. Estas políticas deben incluir medidas como:
-
- La notificación al Área TI de la decisión de utilizar estas tecnologías, con el fin de contar con un registro y control de las mismas en coordinación con el área de cumplimiento normativo.
- La prohibición del uso que implique suministrar o tratar datos personales (salvo que de la EIPD se concluya que sí puede utilizarse) y/o información de carácter confidencial al sistema de Inteligencia Artificial.
- La regulación de su uso en áreas donde se estén empleando con mayor intensidad, como las áreas de desarrollo, marketing y ventas, o de gestión.
- Reforzar el canal de comunicación con el área de cumplimiento para notificar cualquier incidencia o brecha de seguridad que pueda generarse relacionada con estas tecnologías.
- Estar atentos a los próximos pronunciamientos de la AEPD y actuar en consecuencia.