09 Nov La ética y las PIAs (Protection Impact Assessment)
El reciente informe sobre ética en las organizaciones «AI and the ethical conundrum: How organizations can build ethically robusto AI systems and gain trust«, deja entrever, entre otros resultados, que las organizaciones que tienen en cuenta la ética, tienen más puntos de ventaja en índice más utilizado para medir la fidelidad de los clientes. Esta relación directa entre ética e incremento de venta, hace evidente que los clientes tenemos mucha más influencia en las organizaciones y es algo de lo que nos podemos beneficiar colectivamente.
Es por ello que cada vez hay más organizaciones que buscan la evaluación ética adecuada para el uso de los datos.
Esto significa que muchas organizaciones tienen en cuenta la justificación ética de cómo se tratan los datos personales y, por tanto, se pone en duda la conveniencia de utilizar los datos.
Una evaluación de impacto, conocida por su término anglosajón PIA (Protection Impact Assessment), es un instrumento excelente para implementar esta evaluación, dado que permite a las organizaciones equilibrar los diversos intereses entre sí, y si es necesario o posible, tomar medidas atenuantes.
Este equilibrio se realiza dentro de los marcos legales, pero al llevar a cabo una PIA, este equilibrio planteará en muchos casos cuestiones éticas (p.ej. la cuestión de si una infracción es proporcional, se aborda desde el marco legal, pero es en sí misma una cuestión ética -¿qué es proporcional? ¿Cómo se mide la proporcionalidad? -). En consecuencia, la elección de realizar una PIA ya incluye una consideración ética.
Por lo tanto, efectuar un PIA no es un ejercicio meramente legal, sino que puede ser un excelente medio para reflexionar sobre los intereses éticos implicados. Es por ello que hay que animar a los responsables de las organizaciones a ser conscientes de los riesgos que conlleva el proyecto de datos para los derechos y las libertades de las personas físicas y asumir la responsabilidad de un tratamiento cuidadoso. De esta manera, las organizaciones se pueden centrar en el ciudadano y «sujeto de los datos» aumentando la conciencia de privacidad en su organización.
- Como las PIAs no tienen un formato fijo, las organizaciones pueden optar por configurar una PIA de manera que esté en consonancia con la ética de la organización. A modo de ejemplos, se pueden adoptar las siguientes adaptaciones:
- Formular preguntas de «comprobación» que se ajusten a los valores básicos de la organización (p.e. Hasta qué punto los riesgos asociados al procesamiento afectan a los valores básicos de la organización), ¿Qué se puede hacer para actuar sobre la base de los valores básicos de la organización?).
- Crear un comité de ética de la organización que pueda participar en las evaluaciones éticas.
- Asegurarse de que el proceso de las PIAs incluyen pedir consejo al comité de ética en determinados casos (por ejemplo incluir que la ética siempre evaluará los criterios de selección en caso de perfiles).
- Asegurar la exactitud en distinguir y formular la necesidad, los medios (el procesamiento propuesto) y el objetivo que se quiere conseguir con él, con el fin de identificar mejor los intereses y en consecuencia, a equilibrar la proporcionalidad.
- Mantener un diálogo regular con los implicados en las PIAs sobre cualquier cuestión ética relacionada con el procesamiento de datos. Cualquier riesgo derivado de este diálogo se puede incluir en la PIA para que la persona responsable los tenga en cuenta en la evaluación final.
- Consultar los sujetos de datos, por ejemplo, mediante encuestas a los clientes o consultando grupos de interés (posibilidad recogida también en el artículo 35.9 del RGPD), por lo que los riesgos no sólo se aborden desde el punto de vista técnico, sino que el riesgo percibido o el sentido de seguridad también estén bien representados.
- Reconsiderar regularmente las PIAs llevadas a cabo. La sociedad, el contexto, la tecnología y, por tanto, los riesgos, están constantemente cambiando.
Las PIAs pues, son un marco para la ética de los datos aunque no será el único para llegar a un tratamiento responsable de los datos.
*Glosario:
AI (Artificial Intelligence): Inteligencia Artificial.
PIA (Protection Impact Assessment): Avaluación de impacto.