Aseguramiento de la seguridad y privacidad de los datos de IA/AA
¿Qué conocimiento e información debe tener para responder eficazmente a las preguntas de la junta sobre cuestiones de seguridad y privacidad relacionadas con los datos utilizados en las soluciones?
Debe saber qué información se incluye en los datos que utiliza la solución.
La junta está preocupada por cumplir con las regulaciones PCI DSS e HIPAA. ¿Cuáles de esas leyes se aplican a los datos utilizados en la solución de IA de vivienda?
PCI DSS es una regulación que rige la seguridad y la privacidad de los datos de las tarjetas de crédito y no hay datos de tarjetas de crédito utilizados en los datos de vivienda, por lo que esa regulación no se aplica. Del mismo modo, HIPAA rige la seguridad y la privacidad de la información relacionada con la atención médica. Los datos de vivienda no contienen información de atención médica, por lo que esta regulación no se aplica. El RGPD y CCPA son regulaciones mucho más amplias que abarcan cualquier tipo de información personal, incluidos nombres y direcciones.
La junta también está preocupada por cumplir con las regulaciones RGPD y CCPA. ¿Cuál de esas leyes se aplica a los datos de vivienda?
El RGPD abarca a las personas que son ciudadanos de la Unión Europea y CCPA abarca a los ciudadanos del estado de California. Los datos de vivienda cubren el área de Seattle, Washington, por lo que a primera vista, parecería que las leyes no se aplican. Sin embargo, dado que las leyes se aplican a cualquier ciudadano de las regiones donde se promulgan las regulaciones, si los datos contenían información de ciudadanos de esas regiones, (si, por ejemplo, alguien de la UE o de California estuviera comprando una casa en Seattle) las leyes se aplicarían.
Un miembro de la junta hizo la siguiente pregunta: Dado que un tercero suministra los datos de la solución de vivienda, ¿necesita preocuparse por la aplicabilidad de las leyes y regulaciones? Explique su respuesta.
La respuesta es sí; no importa de dónde provengan los datos. Si lo utiliza, usted es responsable de cumplir con las leyes y regulaciones aplicables.
¿Qué elementos deben componer un plan de seguridad y privacidad?
Un plan de seguridad y privacidad debe documentar quién es responsable de mantener los datos seguros, cómo se controlará el acceso a los datos y cómo la infraestructura apoyará la seguridad de los datos a medida que se almacenan y transmiten. También debe documentar cualquier riesgo para los datos, incluidos los riesgos generados por la solución de IA. Debe documentar los requisitos legales o reglamentarios que se deben cumplir y si los pasos seguirán siendo viables cuando se usen nuevos datos en la solución.
Si hay información personal en los datos, ¿qué se puede hacer para anonimizarla?
Puede reemplazar la información personal, omitir los datos, generalizar valores específicos con valores menos específicos y usar la perturbación para cambiar aleatoriamente los valores que llevarían a la identificación de individuos.