El paso inicial para analizar los riesgos de la IA en una empresa es conocer los casos de uso asociados a cada departamento. Es la fase de identificación de casos de uso, también llamada de discovery, levantamiento, inventario o registro.
El objetivo es crear un registro de casos de uso con el fin de tener una base sólida y real para el posterior análisis de riesgos.
Si la metodología de búsqueda se basa en aplicaciones o sistemas de IA, en el registro aparecerán nombres como ChatGPT, Copilot, Gemini, Claude, Midjourney y similares, pero no conoceremos el detalle de los casos de uso reales, que es donde reside el riesgo. Incluso entrando en los sistemas de IA para auditar su uso, habrá que tener en cuenta que en muchas empresas hay usos individuales, descentralizados y desconectados de la estructura de control y del modelo de cumplimiento.
La metodología basada en preguntar al negocio tiene el riesgo de que no se utilicen las preguntas adecuadas. Es el típico caso en el que una pregunta abierta y una pregunta cerrada, basada en una lista, darán resultados completamente distintos.
En este documento analizamos varias experiencias previas que ayudarán a determinar cuáles son las preguntas que debemos formular para conseguir resultados más cercanos a la realidad.
Archivo por meses: junio 2025
Tus competidores utilizan la IA de forma similar
Estamos elaborando una lista de los casos de uso de inteligencia artificial recurrentes en cada sector de actividad con el fin de identificar los que necesitan un análisis de riesgos y, en su caso, una evaluación de impacto, tanto en materia de protección de datos como en relación con el Reglamento de IA.
Si quieres recibir la lista de casos de uso relativa a tu sector puedes enviar un mensaje a xavier.ribas@ribastic.com
Casos de uso de IA – Sector de ejemplo
Tabla de casos de uso de IA de un sector de ejemplo correspondiente al informe de análisis de riesgos y evaluación de impacto sectorial.
Más información sobre este proyecto:
https://lnkd.in/dTR2XEaw
Infografía – Suplantación de identidad
Infografía con los 10 principales pasos (de un total de 16) que hay que seguir para realizar una suplantación basada en datos biométricos robados. La complejidad e incluso la imposibilidad de este proceso demuestra lo absurdo que es demonizar los datos biométricos frente a la posibilidad de suplantar la identidad con técnicas que no exigen robar estos datos, sino explotar imágenes y voces que los propios interesados ha hecho manifiestamente públicos.
Suplantación de identidad sin datos biométricos robados
Uno de los grandes argumentos utilizados desde la ignorancia o desde la ideología para demonizar los datos biométricos ha sido que, en caso de robo de los datos, se podría suplantar la identidad del interesado.
En este documento analizamos los pasos necesarios para realizar una suplantación basada en datos biométricos robados, y la serie de delitos que hay que cometer, que demuestran lo absurdo que es este argumento
Sanciones por falta de formación en materia de IA
En este documento analizamos las sanciones que pueden ser impuestas por incumplir el artículo 4 del Reglamento de IA en materia de formación (alfabetización).
El artículo 99 del RIA no incluye el artículo 4 en la lista de obligaciones sujetas a sanción en caso de incumplimiento.
Sin embargo, existen otros artículos en el RIA que de forma directa o indirecta establecen obligaciones en materia de formación cuyo incumplimiento es sancionable.
Las analizamos en este PDF descargable.
Proyecto EIPD IA Sectorial
En este documento descargable os presentamos el proyecto EIPD IA Sectorial, que consiste en un archivo documental creado por nuestro despacho en 2021 y actualizado año tras año, con el fin de suministrar a las empresas los documentos necesarios para el análisis de riesgos y la evaluación de impacto en materia de protección de datos de los casos de uso de inteligencia artificial recurrentes en cada sector.
Si deseas obtener los resultados de tu sector de actividad, puedes enviar un mensaje a xavier.ribas@ribastic.com indicando el sector al que pertenece tu empresa.
Datos biométricos no dirigidos a la identificación
En este documento se muestran múltiples ejemplos de tratamientos de datos biométricos que no van dirigidos a identificar de manera unívoca a una persona física, y que, por lo tanto, no cumplirían el requisito de la finalidad establecido en el artículo 9.1 del RGPD.
Es la continuación de este otro documento:
https://lnkd.in/dRuxXm93
Dilema resuelto. Voy a renovar.
Ha llegado el momento del año en el que toca renovar la contribución a Wikipedia. Desde hace años este proceso era prácticamente automático, pero esta semana, por primera vez me he preguntado si era necesario, porque ya no la utilizo. Ahora mis consultas, como las de otros muchos usuarios, se dirigen a los sistemas de IA, que a su vez se alimentan de los contenidos de Wikipedia.
El dilema lo he resuelto de forma inmediata, y no sólo por el agradecimiento a todos los años en los que ha sido una compañera inseparable, sino también porque está claro que si Wikipedia deja de existir desaparecerá una fuente de conocimiento que dejará de nutrir y actualizar los contenidos de los sistemas de IA y esto va a pasar también con otras fuentes.
Supongo que este dilema se va dar en la renovación de otras subscripciones en los próximos meses, pero ya me he acostumbrado a pagar por la música que oigo en streaming, que antes pagué en soporte CD y antes en soporte vinilo. O por las películas que pago por ver con un clic, que antes pagué en soporte DVD y antes en soporte VHS.
Sin embargo, ahora es diferente. Y esta diferencia es la que tendremos que aprender a gestionar.
¿Vosotros qué vais a hacer?
¿Todos los datos biométricos son categorías especiales?
En una reciente resolución de la AEPD se afirma que todos los datos biométricos de carácter personal que encajen en la definición del artículo 4.14 del RGPD serán considerados como datos personales de categoría especial. ¿Es correcta esta afirmación? En este documento lo valoramos.
ACTUALIZACIÓN:
En este otro documento se muestran múltiples ejemplos de tratamientos de datos biométricos que no van dirigidos a identificar de manera unívoca a una persona física, y que, por lo tanto, no cumplirían el requisito de la finalidad establecido en el artículo 9.1 del RGPD:
https://lnkd.in/d3s2g6WT