Usamos cookies en nuestro sitio web para brindarte la experiencia más relevante recordando tus preferencias y visitas repetidas. Haz clic en "Aceptar todas las cookies" para disfrutar de esta web con todas las cookies, configura tus preferencias antes de aceptarlas, o utiliza el botón "Rechazar todas las cookies" para continuar sin aceptar.

Gestión de Cookies
Apuesta por el Desarrollo Competitivo.
 

Actualidad

Una gua global completa para la proteccin de datos de IA en el lugar de trabajo

>> 19 de Mayo

El mismo marco bsico sustenta prcticamente todas las nuevas regulaciones emergentes sobre cmo la IA procesa los datos, lo que significa que, si bien ciertamente existe un mosaico de leyes, los empleadores que utilizan la IA pueden seguir una lista de verificacin relativamente sencilla para asegurarse de que no infringen la proteccin de datos. requisitos. Un grupo de expertos de Littler Mendelson comparte una gua completa sobre cmo los empleadores pueden garantizar la proteccin de datos al implementar la inteligencia artificial.

Zoe Argento, Kwabena Appenteng, Alyssa Daniels, Philip Gordon, Rajko Herrmann, Soowon Hong, Amy Kabaria, Renata Neeser, Naomi Seddon, Christina Stogov y Grace Yang de Littler fueron coautores de este artculo.

A medida que proliferan las herramientas de inteligencia artificial (IA) relacionadas con el empleo , los empleadores multinacionales sienten una presin cada vez mayor para implementar IA en sus oficinas globales. Estas herramientas pueden proporcionar un gran valor y eficiencia a lo largo del ciclo de vida laboral. Por ejemplo, los reclutadores solicitan servicios de deteccin de IA que pueden ahorrarles das al revisar rpidamente miles de solicitudes. Los socios comerciales quieren herramientas de seguimiento del desempeo que puedan ahorrar tiempo de supervisin. Es posible que los empleados quieran utilizar herramientas de IA generativa para ayudarles a crear informes, presentaciones y capacitaciones . El departamento de recursos humanos podra solicitar un chatbot que pueda responder preguntas comunes de la fuerza laboral. La lista sigue y sigue.

Al mismo tiempo, el desafo de cumplimiento que supone implementar herramientas de IA en oficinas globales puede parecer abrumador. Las herramientas de IA implican innumerables preocupaciones legales en el lugar de trabajo, incluidas las laborales, la discriminacin, la propiedad intelectual y la proteccin de datos. 

No slo cada pas tiene sus propias leyes en estas reas, sino que las legislaturas estn desarrollando rpidamente leyes especficas para la IA. La buena noticia para los empleadores multinacionales es que las leyes con las restricciones ms completas sobre la IA (las leyes de proteccin de datos) siguen un marco similar en todo el mundo. Como resultado, los empleadores multinacionales pueden seguir una lista de verificacin relativamente sencilla para resolver los principales problemas de proteccin de datos. Esta lista de verificacin puede ayudar a los empleadores a crear un marco global de proteccin de datos para sus programas de IA, que luego pueden variar segn sea necesario segn la jurisdiccin.

Descripcin general del marco legal que regula las herramientas de IA

La mayora de los pases tienen leyes de proteccin de datos que regulan de manera integral el uso de datos personales, y estas leyes se aplican al uso de datos personales por parte de herramientas de inteligencia artificial y al uso de herramientas automatizadas para la toma de decisiones. Una de las leyes ms destacadas es el Reglamento General de Proteccin de Datos de la Unin Europea (GDPR) , pero prcticamente todos los socios comerciales importantes de los Estados Unidos tienen una ley de proteccin de datos.

Estos pases incluyen a nuestros vecinos, Canad y Mxico; potencias mundiales como Brasil, China, India, Japn y el Reino Unido; as como muchas economas ms pequeas. Cada vez ms, las leyes de proteccin de datos incluyen disposiciones que rigen la IA o la toma de decisiones automatizada. Adems, las nuevas leyes especficas para la IA se basan en el marco de las leyes de proteccin de datos existentes.

Si bien Estados Unidos carece de una ley integral de proteccin de datos a nivel federal, un complejo mosaico de leyes de privacidad y seguridad de datos en todo Estados Unidos suman colectivamente protecciones similares a una ley integral de proteccin de datos. Adems, ms de una cuarta parte de todos los estados han adoptado leyes integrales de proteccin de datos que se superponen a las leyes existentes. Al menos por ahora, la Ley de Privacidad del Consumidor de California (CCPA) es la nica ley que se aplica a los datos de solicitantes, empleados, contratistas independientes y otras personas en una relacin de recursos humanos con una empresa. Adems, un creciente cuerpo de legislacin regula especficamente la IA.

A pesar de esta complejidad, prcticamente todas las leyes de proteccin de datos siguen el mismo marco bsico. Esto proporciona a los empleadores una lista de verificacin de cuestiones a considerar. Aunque existen otros elementos de estas leyes, los elementos clave que los empleadores deben evaluar son los siguientes:

  • Base jurdica para el tratamiento
  • Aviso
  • Evaluaciones de impacto de proporcionalidad y proteccin de datos
  • Restricciones de transferencia de datos transfronteriza
  • Derechos relacionados con los datos
  • Minimizacin y retencin de datos
  • Exactitud
  • Seguridad de datos
  • Contratacin
  • Base jurdica para el tratamiento de datos

Antes de considerar cmo implementar una herramienta de IA en particular, los empleadores deberan considerar primero si existe una base legal para recopilar y procesar la informacin . La mayora de las leyes de proteccin de datos en todo el mundo permiten la recopilacin y el procesamiento de datos personales solo por motivos limitados, como el consentimiento del individuo o segn lo exija la ley. En esos pases, un empleador slo puede procesar datos si existe una base legal para hacerlo. En otras palabras, a diferencia de Estados Unidos, donde un empleador puede usar datos personales para cualquier propsito siempre que no est explcitamente prohibido, en la mayora de los pases un empleador no puede usar datos personales a menos que se aplique una base legal explcitamente permitida. Las bases legales tpicas para el procesamiento de datos personales en el contexto laboral son el consentimiento, la ejecucin de un contrato, el inters legtimo de la empresa y el cumplimiento de un requisito legal.

Muchos pases dependen en gran medida del consentimiento de un individuo como base legal. En un extremo, en Corea del Sur , los empleadores deben obtener consentimientos separados para utilizar datos personales, utilizar ciertas categoras de datos personales sensibles, revelar datos personales a un tercero y transferir datos personales a otro pas. En el otro extremo, un nmero creciente de pases permiten el procesamiento de datos basndose en el concepto ms amplio de los intereses legtimos del empleador. Algunas jurisdicciones, como la UE, desaprueban firmemente la dependencia del consentimiento como base legal para el procesamiento en el contexto laboral.

Datos disponibles pblicamente

La cuestin de la base legal plantea un obstculo particular cuando se extraen de Internet datos personales disponibles pblicamente. Por ejemplo, un subconjunto popular de herramientas de inteligencia artificial recopila informacin sobre personas en Internet (perfiles de LinkedIn, pginas web de biografas profesionales y similares) para identificar candidatos potenciales para que los reclutadores o cazatalentos los contacten para puestos de trabajo difciles de cubrir. En principio, una herramienta como sta podra recopilar informacin sobre miles de personas.

En pases que generalmente dependen del consentimiento como base legal para el procesamiento, recopilar informacin sobre cientos de candidatos a partir de informacin disponible pblicamente en lnea puede resultar poco prctico debido a la dificultad de obtener el consentimiento de cada individuo. Otros pases, como Brasil , el Reino Unido y los miembros del Espacio Econmico Europeo, permiten el procesamiento de datos basado en los "intereses legtimos" de la empresa en la medida en que los derechos y libertades del individuo no superen los intereses legtimos de la empresa. 

El hecho de que una empresa pueda confiar en sus intereses legtimos puede depender bastante del contexto. Para los perfiles pblicos en redes sociales profesionales, el equilibrio de intereses generalmente debera favorecer al empleador, particularmente cuando el perfil demuestra el inters del individuo en encontrar un trabajo. Sin embargo, cuando el individuo claramente no public el perfil para empleadores potenciales, cuando los trminos de uso prohben el scraping y otros factores indican que el individuo no tena la intencin de que el perfil se utilizara para evaluarlo para el empleo, entonces el equilibrio de intereses lo ms probable es que pese en contra del empleador. En consecuencia, antes de implementar herramientas de inteligencia artificial que dependen en gran medida de informacin extrada de Internet, los empleadores globales deben realizar la debida diligencia para evaluar el riesgo de que los datos no se hayan recopilado de conformidad con las leyes de proteccin de datos aplicables.

Datos disponibles de forma privada

La cuestin del fundamento jurdico tambin plantea desafos a la hora de recopilar datos personales en otros contextos. Por ejemplo, un empleador puede tener un inters legtimo en recopilar datos personales sobre la actividad de los empleados en el sistema informtico de la empresa para que una herramienta de inteligencia artificial pueda analizar su productividad. Sin embargo, como se seal anteriormente, el inters legtimo generalmente debe sopesarse con los derechos de privacidad del individuo. Esto incluye considerar no slo la informacin que se recopilar, sino tambin el mtodo de recopilacin de datos. Por ejemplo, un tribunal alemn sostuvo que el inters legtimo de un empleador en monitorear a los empleados mediante el uso de un software de registro de pulsaciones de teclas era superado por los derechos de privacidad de los empleados. El tribunal determin que el uso de software de registro de teclas, que registra todas las pulsaciones de teclas en una computadora de trabajo para monitorear y controlar de manera encubierta a los empleados, requiere una sospecha de un delito penal u otro incumplimiento grave del deber basado en hechos concretos.

En principio, el consentimiento del empleado podra ser una alternativa al inters legtimo como base legal para recopilar datos de vigilancia sobre los empleados. La mayora de las leyes de proteccin de datos permiten el procesamiento de datos personales basndose en el consentimiento. Sin embargo, al menos en el EEE, Brasil y el Reino Unido, el consentimiento generalmente no ser una alternativa viable en el contexto laboral. En esos pases, las autoridades adoptan la posicin de que los empleados, y en algunos casos incluso los solicitantes, generalmente no pueden dar libremente su consentimiento para el procesamiento de datos debido al desequilibrio de poder entre empleados y empleadores.

Restricciones de recopilacin de datos en EE. UU. y otros lugares

Como se seal anteriormente, la ley de proteccin de datos de EE. UU. en general no ha adoptado el concepto de base legal para el procesamiento de datos personales. En cambio, el derecho consuetudinario de muchos estados protege la informacin personal en la que los individuos tienen una expectativa razonable de privacidad. Recopilar informacin que invada esta expectativa razonable, como grabaciones de video subrepticias en oficinas privadas, puede constituir un agravio segn el derecho consuetudinario. 

Adems, varias leyes estadounidenses exigen el consentimiento para recopilar informacin confidencial, como grabaciones de audio, datos biomtricos y datos de ubicacin. Otras leyes estadounidenses prohben la recopilacin de cierta informacin sobre solicitantes y empleados, excepto en situaciones limitadas, por ejemplo, datos genticos y de salud.

De manera similar, otros pases tienen leyes separadas de sus leyes nacionales de proteccin de datos que limitan la recopilacin de informacin. Por ejemplo, muchos estados de Australia tienen leyes de vigilancia especficas del lugar de trabajo que limitan los tipos de informacin que se pueden recopilar.

Factores clave a considerar en la recopilacin de datos

La cuestin de si un empleador tiene una base legal para recopilar datos personales y procesarlos con IA depender generalmente de cuatro factores:

  • El tipo de datos personales y los intereses de privacidad del empleado en esos datos.
  • Dnde se recopila y procesa la informacin, incluido si los datos estn disponibles pblicamente
  • El contexto de recopilacin y procesamiento, incluido el carcter invasivo de la tecnologa.
  • Los fines de uso.

Considerar si el empleador tiene una base legal para la recopilacin y el uso de datos personales debera ser el primer paso para evaluar cmo utilizar una herramienta de IA porque el anlisis puede mostrar que el empleador simplemente no puede recopilar y/o procesar los datos personales necesarios en algunas jurisdicciones. .

Aviso

Una vez que una empresa ha determinado que puede recopilar y utilizar informacin personal legalmente, debe considerar cmo notificar a las personas sobre estas prcticas. Prcticamente todas las leyes de proteccin de datos exigen que una empresa proporcione un aviso sobre cmo procesa los datos personales. La mayora de los estatutos exigen que los avisos incluyan qu datos se procesan, los propsitos de uso de los datos personales, las partes a las que se divulgan los datos e informacin sobre cmo ejercer los derechos sobre los datos. Otras divulgaciones requeridas pueden incluir la base legal para el uso de datos personales, detalles sobre transferencias de datos a otros pases e informacin de contacto del responsable de proteccin de datos de la empresa.

Aviso en las leyes de proteccin de datos existentes

Cada vez ms, las leyes de proteccin de datos exigen divulgaciones adicionales en determinadas circunstancias sobre cmo la inteligencia artificial procesar los datos personales. Desde que entr en vigor a mediados de 2018, el RGPD exige notificacin si el responsable del tratamiento toma decisiones basadas nicamente en un tratamiento automatizado que produzca efectos jurdicos o afecte de manera similar y significativa al individuo. Es probable que esto incluya la mayora de las decisiones laborales basadas nicamente en el procesamiento automatizado. En ese caso, la notificacin debe describir la lgica involucrada, as como el significado y las consecuencias previstas de dicho procesamiento para el individuo.

Requisitos de notificacin adicionales en las nuevas leyes de IA

La Ley de IA de la UE complementa el requisito de notificacin del RGPD para las herramientas de IA que funcionan como sistemas de categorizacin biomtrica y sistemas de reconocimiento emocional. Aunque el significado de este ltimo trmino an no est del todo claro, potencialmente podra abarcar algunas de las nuevas herramientas de inteligencia artificial que intentan medir el estado emocional de los empleados, por ejemplo, el estado emocional de un empleado de un centro de llamadas basndose en el anlisis de su comportamiento durante llamadas.

Las agencias reguladoras estadounidenses y las nuevas leyes estadounidenses han avanzado en una lnea similar. Por ejemplo, la Comisin para la Igualdad de Oportunidades en el Empleo ha recomendado que los empleadores que utilizan herramientas de inteligencia artificial informen al menos sobre qu rasgos o caractersticas est diseada para medir la herramienta, los mtodos mediante los cuales esos rasgos o caractersticas deben medirse y las discapacidades, si las hubiera, que potencialmente podran reducir los resultados de la evaluacin o hacer que el individuo sea excluido.

La innovadora ley de la ciudad de Nueva York sobre el uso de inteligencia artificial para evaluar a empleados y candidatos requiere que las empresas sujetas a la ley proporcionen avisos que expliquen que la empresa utilizar herramientas automatizadas de decisin laboral en relacin con la evaluacin de dicho empleado o candidato y las calificaciones laborales y caractersticas utilizadas en la evaluacin.

La UE y Estados Unidos estn a la vanguardia en la aprobacin de leyes especficas para la IA. Sin embargo, muchos pases han propuesto dicha legislacin. Por ejemplo, segn la LGPD de Brasil, la notificacin a las personas debe incluir el derecho del interesado a solicitar la revisin de decisiones totalmente automatizadas. La ley de IA propuesta por Brasil va ms all y exige que la notificacin a las personas incluya una declaracin de que se utilizar la IA y una explicacin de los derechos de las personas. Estos derechos incluiran el derecho a una explicacin de la decisin de la IA, el derecho a impugnar la decisin, el derecho a informacin sobre la participacin de un ser humano en la decisin y el derecho a solicitar la correccin de sesgos discriminatorios.

Dadas estas tendencias, esperamos que muchas jurisdicciones aprueben leyes que exijan notificar a las personas que indiquen al menos que el empleador utiliza una herramienta de inteligencia artificial y, muy probablemente, los propsitos de uso, las caractersticas evaluadas por la herramienta y alguna explicacin de los mtodos utilizados. por la herramienta. Por lo tanto, los empleadores globales debern verificar si hay nuevos requisitos de notificacin especficos de IA que complementen los requisitos generales de las leyes de proteccin de datos aplicables antes de implementar herramientas de IA para fines de administracin de recursos humanos.

Evaluaciones de impacto de proporcionalidad y proteccin de datos

Las leyes de proteccin de datos generalmente exigen que los controladores de datos procesen datos personales de manera proporcionada, equilibrando los intereses del controlador con los riesgos para el individuo. Para reducir estos riesgos, la mayora de las leyes de proteccin de datos exigen una evaluacin de impacto de la proteccin de datos (DPIA) formalizada para las formas de procesamiento de datos de alto riesgo.

Debido al posible impacto en el sustento de un individuo, el uso de IA para evaluar a los solicitantes o empleados probablemente requiera una EIPD segn las leyes de proteccin de datos. Sin embargo, las leyes de proteccin de datos existentes pueden ser ambiguas en cuanto a si requieren una EIPD porque los criterios para determinar si una EIPD es legalmente requerida depende de una lista de factores. En aparente respuesta a esta ambigedad, un nmero creciente de leyes y proyectos de ley sobre IA exigiran explcitamente EIPD para la IA utilizada en el contexto de recursos humanos.

En particular, la prxima ley de IA de la UE se basa en el RGPD al exigir que un empleador lleve a cabo la EIPD del RGPD cuando utilice un sistema de IA para procesar datos personales para reclutar o seleccionar empleados, tomar decisiones sobre contratacin, despido y asignacin de tareas, o para monitorear y evaluar a los trabajadores. La ley de IA propuesta por Brasil adoptara un enfoque similar. Al igual que el GDPR, la ley general de proteccin de datos de Brasil, la LGPD, exige DPIA en ciertos escenarios de alto riesgo. La ley de IA propuesta en Brasil clasifica el uso de IA para la seleccin de candidatos y el empleo como de alto riesgo. En consecuencia, el proyecto de ley requiere un tipo de EIPD, as como documentacin detallada sobre el funcionamiento del sistema y las decisiones involucradas en su construccin, implementacin y uso. En Estados Unidos, un primer borrador de reglamento para la Ley de Privacidad del Consumidor de California requerira una evaluacin de riesgos que cubra casi 50 factores si el empleador utiliza tecnologa de toma de decisiones automatizada para tomar decisiones sobre solicitantes, empleados o contratistas independientes.

China ha adoptado una actitud particularmente protectora. La Ley de Proteccin de Informacin Personal de China (PIPL) exige que un manejador de informacin personal realice una evaluacin del impacto de la proteccin de la informacin personal antes de usarla para tomar decisiones automatizadas y registrar las actividades de manejo. La PIPL define la toma de decisiones automatizada como la actividad de utilizar programas informticos para analizar o evaluar automticamente comportamientos, hbitos, intereses o pasatiempos personales, o estados financieros, de salud, crediticios u otros y tomar decisiones al respecto. 

El requisito de dicha evaluacin tambin se aplica en otras circunstancias mencionadas en la PIPL, como el manejo de informacin personal confidencial o la transferencia de informacin personal al extranjero. La evaluacin debe abordar elementos que incluyen: si los propsitos y mtodos del manejo son legales, legtimos y necesarios; el impacto sobre los derechos e intereses de los interesados, los riesgos de seguridad; y si las medidas de proteccin adoptadas son legales, efectivas y apropiadas en funcin del grado de riesgo.

En consecuencia, antes de implementar una nueva herramienta de IA en el lugar de trabajo, los empleadores multinacionales deberan considerar si deben realizar una EIPD. Cada vez ms, la respuesta ser s, y el empleador debera asegurarse de que la EIPD considere los factores prescritos en todas las jurisdicciones pertinentes. Incluso cuando una EIPD no es un requisito legal, los empleadores globales deberan considerar algn tipo de evaluacin de los riesgos de implementar la herramienta de IA en el contexto de recursos humanos. Identificar los riesgos antes de la implementacin permitir a la empresa tambin considerar cmo mitigarlos y si las medidas de mitigacin los reducen a un nivel que sea tolerable para el empleador en particular.

Fuente: corporatecomplianceinsight.com

Ms Actualidad

17/05/2024
Una gua global completa para la proteccin de datos de IA en el lugar de trabajo

El mismo marco bsico sustenta prcticamente todas las nuevas regulaciones emergentes sobre cmo la IA procesa los datos, lo que significa que, si bien ciertamente existe un mosaico de leyes, los empleadores ...

19/05/2024
En marcha, la revisin de las Normas ISO 9001 e ISO 14001

Ya han arrancado los trabajos de revisin de las Normas ISO 9001 e ISO 14001. Se trata de las normas de sistemas de gestin de la calidad y ambiental ms implantadas por organizaciones de todo el mundo ...

18/05/2024
Da mundial del Reciclaje , 17 de mayo 2024

La generacin masiva de residuos es uno de los temas ms preocupantes para nuestra sociedad en la actualidad. Su gestin inadecuada provoca contaminacin en el agua, en el suelo o en el aire, afectando ...

17/05/2024
Impacto del cambio climtico en la seguridad y la salud en el trabajo

Los efectos del cambio climtico repercuten en la salud de las personas y el planeta. Tienen graves efectos sobre la seguridad y la salud de los trabajadores, que con frecuencia son los primeros en ...

16/05/2024
CSDDD: aprobada la Directiva sobre diligencia debida de las empresas

Europa vuelve a marcar un hito en el camino hacia la sostenibilidad con la aprobacin de la Directiva sobre diligencia debida de las empresas en materia de sostenibilidad (CSDDD, por sus siglas en ingls). ...

15/05/2024

Reconocimientos y participación

INCIBECursos Universitarios de Especializacin UEMCStaregisterUNE Normalizacin EspaolaOganizacin Asociada a la WORLD COMPLIANCE ASSOCIATIONStandards Boost BusinessMiembros de ANSI (American National Standards Institute)Miembros de la Green Industry PlatformMiembros de la Asociacin Espaola de la CalidadAdheridos al Pacto de LuxemburgoMiembros de la European Association for International Education