top of page

Mantente al día con información del mundo científico

¡Gracias por suscribirte!

Protegiendo la Privacidad y la Confidencialidad de los Datos en la Investigación con IA (Parte 1)

Imagen generada con Adobe Photoshop AI

La inteligencia artificial (IA) ha revolucionado la investigación científica, impulsando avances considerables en diversos campos. Sin embargo, la integración de la IA también presenta desafíos éticos cruciales, especialmente en lo que respecta a la privacidad y confidencialidad de los datos


En éste y el próximo post tratamos de explorar medidas clave que los investigadores pueden adoptar para proteger estos aspectos fundamentales, acompañadas de ejemplos concretos.


1. Anonimización y Pseudonimización de Datos

El objetivo de la Anonimización es eliminar o modificar toda la Información de Identificación Personal (PII) de un conjunto de datos para que sea imposible identificar a los individuos. Es irreversible, una vez que los datos se han anonimizado, no es posible volver a identificar a los individuos. Por ejemplo, un investigador elimina los nombres, direcciones y fechas de nacimiento de un conjunto de registros médicos antes de compartirlos con otros investigadores. En lugar de un nombre, un participante se identifica como "Participante 1234"


En cambio la pseudonimización reemplaza la PII con seudónimos (identificadores ficticios) para que los datos no sean directamente identificables. La reversibilidad es reversible, es posible volver a identificar a los individuos si se tiene acceso a la clave que vincula los seudónimos con la PII original. Por ejemplo, un hospital asigna códigos únicos, como ejemplo "Paciente A45B67", a los pacientes en lugar de usar sus nombres en sus registros médicos. El personal del hospital puede usar los códigos para identificar a los pacientes, pero la información no se puede compartir con terceros sin la clave de vinculación.


2. Encriptación de Datos

La Encriptación de Datos en Tránsito protege la información mientras se transmite de un punto a otro a través de redes o conexiones. Esto ocurre durante la transmisión de datos, como cuando se envían correos electrónicos, se navega por sitios web o se accede a archivos remotos. Se utilizan protocolos de seguridad como HTTPS, TLS o SSH para cifrar los datos, creando un "túnel" seguro que los protege de miradas indiscretas e intercepciones. Por ejemplo, al realizar una compra en línea, la información de la tarjeta de crédito se encripta utilizando HTTPS para evitar que sea robada por ciberdelincuentes.


La encriptación de datos en reposo tiene como objetivo salvaguardar la información almacenada en dispositivos físicos, bases de datos o sistemas de almacenamiento en la nube. Actúa sobre los datos estáticos, es decir, aquellos que no se encuentran en proceso de transmisión. Se emplean algoritmos de encriptación robustos como AES o RSA para transformar los datos en un formato indescifrable, protegiéndolos incluso si el dispositivo o almacenamiento es robado o accedido de forma no autorizada. Por ejemplo, un disco duro que contiene información confidencial se encripta para que, en caso de pérdida o robo, su contenido no sea accesible para personas no autorizadas.


3. Control de Acceso y Autenticación

El control de acceso regula quién puede acceder a recursos específicos dentro de un sistema o red. Su funcionamiento define permisos y roles para usuarios o grupos, estableciendo qué acciones y datos pueden realizar. Para su implementación, se utiliza software de control de acceso, listas de control de acceso (ACL) o mecanismos biométricos para verificar la identidad y autorizar el acceso. Por ejemplo, en un sistema bancario en línea, el control de acceso permite que solo los clientes autenticados con sus credenciales puedan acceder a sus cuentas y realizar transacciones. Muchas aplicaciones de teléfonos celulares utilizan reconocimiento facial o de huella dactilar para acceder a los datos particulares.


El objetivo de la autenticación multifactor (MFA) es verificar la identidad de un usuario de forma más robusta, exigiendo múltiples capas de pruebas de autenticación. Su funcionamiento, además de un nombre de usuario y contraseña, solicita factores de autenticación adicionales, como códigos enviados por SMS, tokens físicos o biometría. Para su implementación, se utilizan herramientas de MFA como Google Authenticator, Authy o aplicaciones de seguridad bancaria. Por ejemplo, al iniciar sesión en una cuenta de correo electrónico, se solicita una contraseña y un código único enviado al teléfono del usuario, dificultando el acceso no autorizado incluso si se obtiene la contraseña. 


El control de acceso y la MFA deben implementarse de forma conjunta para una seguridad completa.


4. Evaluaciones de Impacto de Privacidad (PIA)

Las Evaluaciones de Impacto de Privacidad (PIA) son un proceso fundamental para proteger la privacidad de los datos desde el inicio de cualquier proyecto o sistema que maneje información personal. Su objetivo es identificar, evaluar y mitigar los riesgos potenciales para la privacidad asociados con el tratamiento de datos. Funcionan mediante un análisis exhaustivo de los aspectos del tratamiento de datos que podrían afectar la privacidad de los individuos.


Para implementar una PIA se deben seguir estos pasos: establecer un equipo de PIA, definir el alcance del análisis, recopilar información sobre el tratamiento de datos, identificar los riesgos potenciales para la privacidad, evaluar la gravedad y probabilidad de cada riesgo, identificar y evaluar medidas de mitigación, documentar el proceso de la PIA, y monitorear y revisar periódicamente sus resultados.


Por ejemplo, en un hospital que implementa un nuevo sistema de registros médicos electrónicos (EMR), se realiza una evaluación detallada de riesgos y se implementan medidas de mitigación para proteger la privacidad de los pacientes desde el inicio del proyecto.


A manera de conclusión de este post


La integración de la inteligencia artificial en la investigación científica ofrece un sinfín de beneficios, pero también presenta desafíos considerables en materia de privacidad y confidencialidad de los datos. La adopción de medidas como las Evaluaciones de Impacto de Privacidad, junto con un enfoque proactivo y ético por parte de los investigadores, permite navegar estos desafíos de manera responsable, garantizando que los datos sean tratados de forma segura y respetuosa con los derechos de los individuos.


Si bien los controles de seguridad pueden parecer engorrosos en ocasiones, son la barrera fundamental que protege nuestros datos de caer en manos inescrupulosas. Recordar su importancia solo cuando nuestros datos han sido vulnerados es demasiado tarde.

 

En el próximo post completaremos este tema de Privacidad y Confidencialidad de datos con: Políticas de Retención y Destrucción de Datos, la Transparencia y el Consentimiento Informado, el Monitoreo y la Auditoría Continua, y el Cumplimiento de Normativas y Estándares. Esperamos que esta información les resulte útil y valiosa.



Imagen generada con Adobe Photoshop AI



Comments


bottom of page