Política de privacidad sobre IA y toma de decisiones automatizada

La Política de privacidad sobre IA y toma de decisiones automatizada define requisitos obligatorios de privacidad para actividades de inteligencia artificial, elaboración de perfiles, calificación, recomendación, apoyo a la decisión y toma de decisiones automatizada que implican datos personales. Su alcance incluye sistemas, aplicaciones, modelos, servicios, flujos de trabajo, motores de decisión, modelos analíticos y procesos de toma de decisiones automatizada habilitados por IA que utilizan, infieren, generan, divulgan o tratan de otro modo datos personales dentro del alcance del PIMS. También cubre datos personales utilizados para formación, pruebas, validación, ajuste, supervisión, inferencia en producción, revisión de salidas, medición del desempeño, investigación de incidentes y retirada de modelos. La política se aplica en contextos de responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento y subencargado del tratamiento, incluidos proveedores relacionados con IA, encargados del tratamiento, subencargados del tratamiento, destinatarios de intercambio de datos y rutas de transferencia internacional. El propósito de la política es asegurar que las actividades de IA, elaboración de perfiles y toma de decisiones automatizada que implican datos personales estén identificadas, documentadas, evaluadas en cuanto al riesgo, sean transparentes, impugnables, supervisadas y controladas mediante el PIMS sin crear artefactos duplicados de gobernanza específicos de IA. Establece expresamente que no crea un marco completo de gobernanza de IA, sistema de gestión de IA, inventario de IA, inventario de modelos, registro de riesgos de modelos, registro de equidad, registro de algoritmos, registro de incidentes de IA, comité de IA, rol de propietario del modelo, rol de propietario del sistema de IA, flujo de trabajo de asesoramiento jurídico ni formulario separado de aprobación de IA. En su lugar, exige que las obligaciones de privacidad relacionadas con la IA se evidencien mediante objetos de evidencia canónicos existentes: REG02, REG04, REG06, REG07, REG08, REG09, REG10 y REG12. Operativamente, la política exige que los Propietarios de procesos / Propietarios de la empresa determinen si los sistemas, flujos de trabajo o procesos empresariales nuevos o modificados materialmente utilizan IA, elaboración de perfiles, calificación, recomendación, apoyo a la decisión o toma de decisiones automatizada que impliquen datos personales, y que registren la determinación en REG02. Antes de que comience el tratamiento de datos personales relacionado con la IA, la política exige documentar la finalidad del tratamiento, las categorías de datos personales, las categorías de interesados, las fuentes de datos, las categorías de datos inferidos o derivados, las categorías de salida, las categorías de destinatarios, la base jurídica y la vinculación con el calendario de conservación. Para la elaboración de perfiles, calificación, recomendación, apoyo a la decisión o toma de decisiones automatizada utilizados en producción, el contexto de decisión, el efecto esperado sobre los interesados, la intervención humana y la ruta de derechos deben documentarse en REG02 y REG04. La gobernanza del riesgo es una parte central de la política. Antes de iniciar o cambiar materialmente un tratamiento de datos personales relacionado con la IA, el Responsable de Privacidad / Responsable del PIMS debe completar la evaluación preliminar de riesgos de privacidad y registrar la decisión sobre la EIPD en REG04. Cuando el tratamiento implique la elaboración de perfiles, decisiones automatizadas, evaluación a gran escala, categorías especiales de datos, datos relativos a infracciones penales, interesados vulnerables, evaluación de empleados, menores, monitorización del comportamiento, datos de localización, datos biométricos, calificación de alto impacto o efectos significativos, el Delegado de Protección de Datos / Asesor de Privacidad debe revisar el riesgo de privacidad y registrar el asesoramiento en REG04. Si persiste un alto riesgo residual de privacidad después del tratamiento previsto, la Alta Dirección debe aprobar, rechazar o exigir tratamiento adicional antes del uso en producción, con la decisión registrada en REG04 y REG12. La política también establece controles de transparencia, información significativa, minimización, gestión de derechos, supervisión, proveedores y aplicación. El contenido del aviso de privacidad debe describir la finalidad relacionada con la IA, las categorías de datos, las categorías de salida, las categorías de destinatarios, la ruta de derechos y la vía de contacto, con las versiones del aviso registradas en REG07. Se requieren rutas de revisión humana, oposición y posibilidad de impugnación para decisiones relacionadas con la IA con efectos legales, de elegibilidad, acceso, empleo, financieros, educativos, de servicio, de seguridad o efectos igualmente significativos. Los proveedores y encargados del tratamiento deben regirse mediante REG08, con las transferencias internacionales canalizadas mediante REG09. Los criterios de supervisión deben cubrir cambios en entradas, cambios en salidas, problemas de derechos, resultados adversos para la privacidad, uso no autorizado y tendencias de reclamaciones, con revisión trimestral para tratamientos activos de datos personales relacionados con IA de alto impacto, y no conformidades o acciones correctivas registradas en REG12.