El proceso de EIPD en 4 pasos
Basado en los requisitos del RGPD del Reino Unido y adaptado para casos de uso de IA en M&E. Cada paso se apoya en el anterior. No pases directamente a la mitigación sin haber completado la evaluación.
Describe el procesamiento
Documenta exactamente qué herramienta de IA estás utilizando, qué datos procesará, dónde van los datos (incluidas las transferencias transfronterizas a servidores en la nube), cuál es la finalidad y quién tiene acceso a los resultados. Para M&E: «Utilizaremos [herramienta] para [tarea] usando [tipo de datos] de [fuente]. Los datos se procesarán en [servidores en país/región]».
Evalúa la necesidad y la proporcionalidad
¿Es la IA la forma menos invasiva de lograr este objetivo de M&E? ¿Podrías obtener el mismo resultado con menos datos, una herramienta local (sin transferencia a la nube) o un enfoque sin IA? Si estás subiendo datos identificables de participantes a una herramienta de IA comercial para ahorrar 3 horas de codificación manual, el cálculo riesgo-beneficio podría no favorecer a la IA.
Identifica y evalúa los riesgos
Mapea los riesgos para las personas interesadas (reidentificación, fuga de datos, sesgos en los resultados de la IA que afectan las decisiones del programa), para la integridad de la evaluación (hallazgos alucinados, análisis no reproducibles) y para las comunidades (daños a nivel de grupo derivados de patrones generados por IA). Califica cada riesgo según su probabilidad y gravedad.
Mitiga y documenta
Para cada riesgo identificado, define medidas técnicas (anonimización, cifrado, procesamiento local, acuerdos de eliminación de datos) y medidas organizativas (controles de acceso, flujos de trabajo de validación, capacitación, respuesta ante incidentes). Documenta los riesgos residuales y las decisiones de aceptación. Revisa la EIPD en cada fase del proyecto.
Cuándo las EIPD previenen problemas reales
Estos escenarios muestran lo que ocurre con y sin una EIPD para casos de uso comunes de IA en M&E.
Análisis de encuestas asistido por IA
«Subimos nuestro conjunto de datos de encuestas de hogares a ChatGPT para su análisis». El conjunto de datos contiene coordenadas GPS, identificadores de hogares e información de ingresos. Los términos de servicio de la herramienta de IA permiten usar las entradas para el entrenamiento del modelo. No cuentas con un acuerdo de procesamiento de datos. Si el donante audita tu manejo de datos, no podrás demostrar cumplimiento.
Análisis de encuestas asistido por IA
«Antes de subir los datos, nuestra EIPD identificó: el conjunto de datos contiene datos indirectamente identificables (GPS + tamaño del hogar podrían reidentificar). Eliminamos las coordenadas GPS, reemplazamos los identificadores de hogares con códigos aleatorios y usamos una herramienta de IA empresarial con un acuerdo de procesamiento de datos que prohíbe el entrenamiento con nuestros datos. EIPD documentada y archivada».
Transferencia transfronteriza de datos
«Nuestro equipo de campo en [país] recopiló transcripciones de entrevistas. Usamos una herramienta de IA con sede en EE. UU. para codificarlas». Las transcripciones contienen información sensible sobre poblaciones afectadas por conflictos. Los datos salieron del país de recopilación, transitaron por servidores sin una evaluación de adecuación, y la política de retención de datos del proveedor de IA no está clara.
Transferencia transfronteriza de datos
«Nuestra EIPD identificó la transferencia transfronteriza como el riesgo principal. Evaluamos: la herramienta de IA procesa datos en la UE (jurisdicción adecuada). Tenemos un acuerdo de procesamiento de datos con cláusulas contractuales tipo. Las transcripciones se seudonimizaron antes de la carga. Elegimos esta herramienta específicamente por sus opciones de residencia de datos».
Datos de poblaciones sensibles
«Usamos IA para analizar los comentarios de sobrevivientes de VBG para nuestra evaluación de protección». Datos profundamente sensibles entraron en un sistema de IA comercial. No se obtuvo consentimiento para el procesamiento por IA (solo para la recopilación). No se evaluó si el procesamiento por IA crea riesgo de reidentificación.
Datos de poblaciones sensibles
«Nuestra EIPD determinó que estos datos son demasiado sensibles para el procesamiento de IA basado en la nube. Usamos un modelo de IA local (ningún dato sale de nuestra infraestructura). Evaluamos los riesgos a nivel comunitario de los patrones generados por IA. Obtuvimos consentimiento específico para el análisis asistido por IA. La sección de metodología divulga el enfoque y las salvaguardas».
5 reglas de EIPD para equipos de M&E
Realiza la EIPD temprano, no después del despliegue
El Manual de IA del Reino Unido (UK AI Playbook) enfatiza la privacidad desde el diseño a lo largo de todo el ciclo de vida de la IA: diseño, entrenamiento y pruebas, despliegue y monitoreo. Inicia tu EIPD cuando estés evaluando si usar IA para una tarea, no después de haber cargado los datos.
Evalúa siempre los riesgos de transferencia transfronteriza
La mayoría de las herramientas de IA comerciales procesan datos en servidores fuera del país de recopilación. El RGPD del Reino Unido y los marcos de la UE exigen que evalúes si la jurisdicción de destino proporciona una protección de datos adecuada. Para los equipos de M&E que recopilan datos en países de ingresos bajos y medios y utilizan herramientas de IA con sede en EE. UU. o la UE, esto es casi siempre relevante.
Incluye riesgos a nivel comunitario, no solo individuales
Las EIPD estándar se centran en las personas interesadas a nivel individual. Las EIPD de M&E también deberían considerar: ¿podrían los patrones generados por IA a partir de datos agregados estigmatizar a una comunidad? ¿Podrían las recomendaciones de focalización asistidas por IA crear daños a nivel de grupo? El principio de No Hacer Daño se extiende al análisis asistido por IA.
Revisa en cada etapa del ciclo de vida
Una EIPD no es un documento único. Revísala cuando cambies de herramienta de IA, modifiques el tipo de datos procesados, escales de un piloto a una implementación completa, o cuando el proveedor de la herramienta de IA cambie sus términos de servicio. El marco de política modelo de la ONU exige una gobernanza del ciclo de vida que incluya la reevaluación.
Mantenla proporcionada
Una EIPD para «usar IA para dar formato a una plantilla de informe sin datos personales» debería ser una nota de una página. Una EIPD para «usar IA para analizar 500 transcripciones de entrevistas de poblaciones afectadas por conflictos» debería ser exhaustiva. Adapta la profundidad al riesgo real, no a una plantilla genérica.
Prompt de inicio para una EIPD
Utiliza este prompt para generar un borrador de EIPD para un caso de uso de IA específico. Después, revísalo y refínalo con tu delegada o delegado de protección de datos o figura equivalente.
Plantilla de Evaluación de Impacto relativa a la Protección de Datos (EIPD) de IA para M&E
Ayúdame a redactar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) para un caso de uso de IA en nuestro trabajo de M&E.
Caso de uso: [DESCRIBE: p. ej., «Uso de Claude para ayudar con la codificación temática de 80 transcripciones de entrevistas a informantes clave de una evaluación de seguridad alimentaria en Sudán del Sur»]
Detalles de los datos:
- Tipo de datos: [transcripciones de entrevistas / respuestas de encuestas / registros de beneficiarios / datos de monitoreo / otros]
- Contiene datos personales: [sí, identificables / sí, seudonimizados / no]
- Categorías sensibles: [salud / conflicto / VBG / niñez / identidad étnica / ninguna]
- Personas interesadas: [participantes del programa / beneficiarios / personal / miembros de la comunidad]
- País de recopilación: [país]
Detalles de la herramienta de IA:
- Herramienta: [ChatGPT / Claude / Gemini / modelo local / otra]
- Ubicación de procesamiento: [EE. UU. / UE / local / desconocido]
- Acuerdo de procesamiento de datos: [sí / no / desconocido]
- Política de retención de datos: [no se usa para entrenamiento / se usa para entrenamiento / desconocido]
Por favor, genera una EIPD estructurada con estas secciones:
1. Descripción del procesamiento (qué, por qué, quién, dónde)
2. Evaluación de necesidad y proporcionalidad
3. Registro de riesgos (riesgo | probabilidad | gravedad | nivel de riesgo) para al menos 6 riesgos
4. Medidas de mitigación (técnicas y organizativas)
5. Evaluación del riesgo residual
6. Calendario de revisión
Señala cualquier área donde el nivel de riesgo sugiera que debería reconsiderar el uso de la IA para esta tarea.