Ir al contenido principal

Diagrama de temas

    • 9.1. Seguridad y privacidad en proyectos de IA/AA

      • Leyes y regulaciones

        Al igual que otras tecnologías transformadoras anteriores, la IA tiene el potencial de provocar grandes cambios en el mundo. Desafortunadamente, no se garantiza que estos cambios sean positivos. En algunos casos, pueden dañar en realidad a las personas. Los gobiernos de todo el mundo están empezando a tomar nota del daño potencial que la IA puede causar y han propuesto una legislación que restringirá su uso. Sin embargo, en este punto, el desarrollo de la IA está superando con creces las leyes que la rigen. Todavía no hay leyes integrales de IA, pero es muy probable que lleguen en un futuro cercano.

        Aunque las leyes específicas de la IA aún no existen, las leyes que rigen el uso de datos han existido durante bastante tiempo. Los datos son de vital importancia para la IA, por lo que es fundamental que los profesionales estén al tanto de cualquier ley de este tipo que se aplique a su trabajo. Si bien algunas leyes de privacidad y seguridad de datos tienen un ámbito limitado o se aplican solo a jurisdicciones pequeñas, muchas de ellas se aplican a un gran número de personas y organizaciones en todo el mundo. En la siguiente tabla se enumeran algunas leyes, reglamentos y estándares de datos destacados a los que los profesionales de IA pueden estar sujetos.

        Ley, regulación o norma Descripción
        RGPD El Reglamento General de Protección de Datos (RGPD), que entró plenamente en vigor en la Unión Europea en 2018, tiene por objeto proteger la privacidad individual haciendo que las entidades de recopilación y procesamiento de datos rindan cuentas de la información de los ciudadanos de la UE. El reglamento se aplica a todas las entidades que recopilan o procesan los datos personales de los ciudadanos de la UE, incluso si la entidad no tiene su sede en la UE, e incluye disposiciones relativas a la exportación de datos personales fuera de la UE. En última instancia, el RGPD defiende los derechos de privacidad de las personas (por ejemplo, el derecho a corregir datos personales inexactos), hace cumplir las restricciones y las obligaciones de seguridad para las organizaciones (por ejemplo, informar de las violaciones de datos en un plazo de 72 horas) y emite sanciones por incumplimiento (por ejemplo, multas de hasta 20 millones de euros).
        HIPAA La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) fue promulgada en 1996 para establecer varias reglas y regulaciones con respecto a la atención médica en los Estados Unidos. Con el aumento de los registros médicos electrónicos, se han implementado estándares de la HIPAA para proteger la privacidad de la información médica del paciente a través del acceso restringido a dichos registros médicos y las regulaciones para compartirlos.
        CCPA La Ley de Privacidad del Consumidor de California (CCPA) mejora la privacidad de los datos y los derechos de protección de los residentes de California, en especial el derecho de una persona a saber qué datos sobre ellos se recopilan y cómo, si es que se venden o divulgan, a otras entidades. La CCPA también otorga a las personas el derecho a acceder a sus datos personales y deniega a otras entidades la capacidad de vender sus datos. Las organizaciones que hacen negocios en California y cumplen con uno o más de los umbrales definidos en la ley son responsables de cumplir con la CCPA. Si estas organizaciones sufren una filtración en la que se divulgan datos personales, pueden estar en violación de la ley y, por lo tanto, sujetas a multas y otras acciones legales.
        PCI DSS

        El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un estándar propietario creado por la industria de tarjetas de crédito que especifica cómo las organizaciones deben manejar la seguridad de la información para las principales marcas de tarjetas, incluidas Visa, MasterCard, American Express, Discover y JCB (una compañía de crédito japonesa), todas las cuales proporcionan un mandato para el estándar. El estándar tiene como objetivo aumentar los controles sobre los datos de los titulares de tarjetas para reducir el uso fraudulento de las cuentas. Las organizaciones o comerciantes que aceptan, transmiten o almacenan datos de titulares de tarjetas (independientemente del tamaño o el número de transacciones) deben cumplir con este estándar.



        Información adicional

        Para obtener más información sobre la legislación de privacidad de datos en todo el mundo, consulte este sitio.

      • PII

        PII

        Los proyectos de IA/AA se basan en gran medida en datos, y a menudo esos datos implican información de identificación personal (PII), que debe protegerse para garantizar la privacidad de las personas descritas por esos datos. La PII se asocia con una persona individual, como un empleado, cliente o paciente. La PII se puede usar para identificar, contactar o localizar a una persona de manera única. Los ejemplos incluyen el nombre de una persona, la dirección de correo electrónico, la dirección de su casa, el número de Seguro Social (incluso si son solo los últimos cuatro dígitos), etc.

        La PII que se ha anonimizado (manejada de una manera que elimina cualquier asociación con una persona específica) no se considera confidencial. En más de 80 países, las leyes y regulaciones gubernamentales requieren que las organizaciones protejan cualquier PII que no sea información disponible públicamente e informen a la persona de los tipos de datos que se recopilan, su motivo de recopilación y los usos planificados de los datos. Esto incluye la información almacenada o transmitida en varias formas.

        Los trabajadores dentro de una organización están obligados a proteger la PII para cumplir con las directivas de la compañía, así como con numerosas leyes, regulaciones y mandatos a los que la compañía está sujeta. Deben controlar el acceso a la PII para que puedan cumplir con estas obligaciones.

        Cuanto más PII accedan las personas y los sistemas, mayor será la oportunidad de que la confidencialidad se vea comprometida. Las organizaciones deben considerar qué niveles de acceso a la PII les permitirán mantener sus obligaciones legales, y pueden optar por establecer restricciones más rigurosas de lo que exige la ley. Por ejemplo, si se accede a la PII o se almacena en dispositivos fuera del control directo de la organización, podrían optar por ser más restrictivos con respecto a quién puede acceder a los datos, con el fin de reducir el mayor riesgo asociado con la forma en que se accede a la información.

        Información adicional

        Para obtener más información sobre PII, consulte este sitio.

      • Consideraciones sobre la recopilación de datos y el acceso a esos

        Los datos de la mayoría de las organizaciones tienen un control de acceso, de modo que solo los usuarios autorizados pueden ver, modificar o eliminar esos datos. Para mantener las directivas de seguridad de la empresa y cualquier requisito legal, los profesionales de IA están sujetos a ese programa de control de acceso mientras trabajan en un proyecto. Esto es particularmente cierto en las primeras etapas del proyecto, especialmente durante la fase de recopilación de datos, pero también puede aplicarse a cómo los profesionales usan los datos durante el desarrollo y cómo se usan los datos durante la implementación.

        Los profesionales deben trabajar con sus equipos de TI para obtener permisos de acceso a cualquier dato que esté actualmente bajo su protección. Por ejemplo, el proyecto puede requerir que el profesional trabaje con los datos del cliente. Estos datos ya existen en bases de datos mantenidas por el equipo de TI, por lo que el profesional no puede simplemente esperar conectarse a las bases de datos y tener rienda suelta. Es casi seguro que hay una o más barreras de control de acceso que se han puesto en marcha. La naturaleza de estas barreras diferirá de una empresa a una empresa y de una base de datos a una base de datos, pero es común que los administradores asignen credenciales de acceso cuando sea necesario.

        Al trabajar con administradores de bases de datos, el profesional debe proporcionar explicaciones claras de por qué necesitan acceso a los datos, cómo se utilizarán los datos y quién necesitará acceso. Esto ayudará al equipo de TI a determinar cómo aprovisionar el acceso para minimizar el riesgo. Pueden conectar al profesional directamente a la base de datos maestra si necesitan registros actualizados a lo largo del proyecto, o pueden dar acceso a una copia sin conexión de la base de datos maestra para que no haya ningún riesgo de interrupción. Además, para evitar que se filtre cualquier tipo de datos a usuarios no autorizados, es posible que el personal de TI desee limitar el flujo de datos fuera de la red, por lo que los profesionales también deben comunicar los requisitos de acceso remoto para cuando los miembros del equipo del proyecto no están en la oficina.

        En algunos casos, una parte externa, no necesariamente su propia organización, controlará los datos que un profesional está buscando. Si el conjunto de datos se publica bajo una licencia de código abierto, nadie necesita permiso para acceder a él o utilizarlo. Si no es así, el profesional tendrá que ponerse en contacto con cualquier tercero que proporcione los datos y pedir permiso. Al igual que con los datos internos, probablemente necesitarán comunicar el por qué, cómo y quién del acceso a los datos antes de que se les dé permiso. Es una buena idea obtener este permiso por escrito para que haya un camino claro de rendición de cuentas.

      • Plan de seguridad


        Hay muchas técnicas de seguridad que las organizaciones emplean para mantener los datos seguros, lo suficiente como para completar cursos completos. No es necesario conocer todos ellos, pero es una buena idea ser consciente de los enfoques generales que las organizaciones a menudo toman.
        Las organizaciones que se toman en serio la seguridad y la privacidad incorporan una gran cantidad de documentación en el proceso. Uno de esos documentos es un plan de seguridad. Un plan de seguridad puede adoptar muchas formas, pero en su mayor parte, está destinado a guiar cómo todo el personal relevante de la organización (no solo los miembros del equipo de seguridad) contribuyen a la seguridad de uno o más sistemas. No es necesariamente una lista de comprobación para implementar las prácticas recomendadas de seguridad, sino más bien una estrategia integral sobre cómo la organización pretende mantener los datos seguros. Algunas áreas clave de un plan de seguridad a menudo incluyen:


        ¿Quién es el "propietario" de los datos? En otras palabras, ¿quién es el responsable último de mantener esos datos seguros?
        - ¿Cómo se apr ovisionará y controlará el acceso a los datos? ¿Quién tiene permiso para acceder a los datos y en qué medida?
        - ¿Cómo se protegerá la infraestructura que soporta los datos? Por ejemplo, los datos deben almacenarse en bases de datos y transmitirse a través de una red. Ambos sistemas deben ser seguros además de los datos en sí, o de lo contrario no se puede garantizar la seguridad.
        - ¿Qué riesgos hay en el uso de los datos en el proyecto de IA? No solo en términos de almacenamiento y transmisión de los datos durante el desarrollo de un modelo, sino también de cómo se incorporarán esos datos en un modelo de AA o una aplicación que use modelos.
        - ¿A qué requisitos legales o reglamentarios debe cumplir el proyecto? Por ejemplo, el modelo puede ser seguro por los estándares de la organización, pero puede no estar en conformidad con las regulaciones más estrictas.
        ¿Cómo se admitirán y mantendrán los datos y los modelos después de que se hayan implementado en un público más amplio? ¿Qué nuevos problemas de seguridad pueden surgir durante esta implementación?
        - ¿Qué documentación adicional es necesaria que el plan de seguridad no está destinado a cubrir?


        Administración de cumplimiento

        Cuando se trata de abordar las preocupaciones sobre el cumplimiento legal o reglamentario, hay varios elementos más allá del plan de seguridad que pueden ayudar. Todos los elementos enumerados a continuación actúan como registros de las acciones que la organización ha tomado para mantenerse en conformidad.

        Un registro de riesgos es un documento que describe diferentes riesgos y su naturaleza. Los registros de riesgo a menudo califican la probabilidad de un riesgo y su impacto, así como enumeran cualquier táctica que podría usarse para mitigar ese riesgo y quién puede llevarlas a cabo.

        Un registro de incidentes es un registro de todos los supuestos o conocidos incidentes de seguridad de los que la organización ha sido objeto. Por lo general, incluye información sobre qué factores sugieren un incidente, qué efecto ha tenido ese incidente y cómo la organización respondió al incidente.


        Un acuerdo de datos compartidos describe la relación que tienen las organizaciones en cuanto al uso compartido de datos en uno o más proyectos de IA. El acuerdo generalmente especifica qué datos comparte cada organización, cómo se permite y no se permite a las organizaciones usar los datos, y el propósito general detrás del acuerdo.

        Información adicional

        Para obtener más información sobre el desarrollo de planes de seguridad para proyectos de IA, consulte este sitio.

      • Anonimización de datos



        Para mantener la privacidad, es posible que la información de identificación personal (PII) deba anonimizarse antes de que se pueda procesar y analizar. Esto significa que la identidad asociada a los datos personales se ha enmascarado de alguna forma para que puedan procesarse y analizarse sin revelar quién es la persona asociada a esos datos. La anonimización es, por lo tanto, un método popular para mantener los datos de los usuarios privados, al tiempo que garantiza que los datos sigan siendo usables por los algoritmos de aprendizaje automático.

        La anonimización puede llevarse a cabo usando varias técnicas, incluidas:

        - Reemplazo: sustituya cualquier valor que se pueda usar para identificar al usuario con valores diferentes.

        - Supresión: omita (todo o en parte) cualquier valor que se pueda usar para identificar al usuario.

        - Generalización: sustituya valores específicos que podrían usarse para identificar al usuario con algo menos específico. Por ejemplo, generalice la fecha de nacimiento al año o década en el que nació el usuario.

        - Perturbación: realice cambios aleatorios en los datos a los valores dañados que podrían usarse para identificar al usuario.


        Información adicional

        Para obtener más información sobre la anonimización de datos, consulte este sitio.

      • Aseguramiento de la seguridad y privacidad de los datos de IA/AA