Guía Práctica para la Gobernanza de la IA en Hong Kong

Gobernanza de la IA: Orientaciones Prácticas del Comisionado de Privacidad de Hong Kong para Datos Personales

Introducción

Las herramientas de Inteligencia Artificial (IA) se han adoptado ampliamente en diversas industrias en Hong Kong. La Oficina del Comisionado de Privacidad para Datos Personales (PCPD) realizó varias verificaciones de cumplimiento en mayo de 2025 y descubrió que el 80% de las organizaciones (48 de 60) informaron el uso de IA en sus operaciones diarias.

Dada la amplia adopción de la IA en Hong Kong, la PCPD ha emitido una nueva guía práctica sobre la adopción de IA que alienta a las organizaciones a referirse a la Lista de Verificación de Directrices para el Uso de IA Generativa por parte de los empleados, publicada a principios de este año, para ayudarles a desarrollar políticas internas que aborden los riesgos y desafíos únicos que presenta la IA.

Áreas Clave para el Desarrollo de Políticas Internas de IA

La PCPD recomienda que las organizaciones aborden las siguientes áreas clave al desarrollar políticas internas de IA:

1. Alcance del uso permitido

Las organizaciones deben identificar claramente qué herramientas de IA Generativa (Gen AI) están aprobadas para su uso y definir los casos de uso permitidos (como redactar documentos, preparar resúmenes o crear contenido). La política interna también debe aclarar a quién se aplica, especificando si cubre a todos los empleados o está limitada a ciertos departamentos o roles.

2. Protección de la privacidad de datos personales

La política interna de IA debe proporcionar orientaciones claras sobre tanto las entradas como las salidas de las herramientas de Gen AI. Esto incluye especificar los tipos y cantidades de información que pueden ser ingresadas, delinear los casos de uso permitidos para los resultados generados por la IA y establecer reglas para el almacenamiento y la retención de dicha información para garantizar el cumplimiento de los requisitos de privacidad de datos.

3. Uso legal y ético y prevención de sesgos

La política interna de IA deberá prohibir el uso de IA para actividades ilícitas o perjudiciales. También debe requerir que todos los resultados generados por la IA sean revisados por humanos para verificar su precisión e identificar y abordar cualquier sesgo o discriminación potencial. Además, se deben proporcionar instrucciones sobre la marca de agua o etiquetado de materiales generados por IA.

4. Seguridad de los datos

Las organizaciones deben definir qué categorías de empleados están autorizados a utilizar herramientas de Gen AI y especificar los tipos de dispositivos en los que se pueden acceder estas herramientas. El uso de credenciales de usuario fuertes y configuraciones de seguridad deberá ser obligatorio. Los empleados también deberán informar de inmediato cualquier incidente relacionado con la IA de acuerdo con el plan de respuesta a incidentes de la organización.

5. Violaciones de la política de IA

Las organizaciones deben establecer claramente las consecuencias por el incumplimiento de la política interna de IA. Para una gobernanza más amplia de la IA, las organizaciones pueden referirse al Marco Modelo de Protección de Datos Personales de IA emitido por la PCPD en 2024.

6. Apoyo al uso responsable: Medidas prácticas

La PCPD propone medidas de apoyo prácticas que incluyen la comunicación regular con los empleados sobre políticas internas y actualizaciones, capacitación específica para empleados, un equipo de apoyo designado en la organización y un mecanismo de retroalimentación para impulsar la mejora continua.

Conclusiones

Para cumplir efectivamente con las expectativas del PCPD y mitigar los riesgos relacionados con la IA, las organizaciones deben considerar:

• Realizar una revisión integral de todas las herramientas y casos de uso de IA dentro de la organización, prestando especial atención a si se procesa información personal.
• Especificar claramente qué herramientas de IA están aprobadas, delinear los casos de uso permitidos y grupos de usuarios, y requerir la aprobación previa para la adopción de nuevas herramientas.
• Prohibir la entrada de información sensible o confidencial en herramientas de IA públicas, y asegurar que cualquier entrada de datos personales en sistemas de IA sea cuidadosamente evaluada para cumplir con las leyes de privacidad de datos.
• Asignar revisores designados para casos de uso de alto riesgo, y requerir una verificación exhaustiva de hechos y evaluación de sesgos antes de que cualquier contenido generado por IA se utilice externamente.
• Implementar autenticación fuerte, cifrado y estándares de configuración segura, y restringir el uso de IA a dispositivos permitidos.
• Ofrecer capacitación específica para roles y proporcionar canales de soporte accesibles para los empleados.
• Realizar auditorías regulares del uso de IA, recopilar retroalimentación de los empleados y actualizar políticas internas a medida que evolucionen los casos de uso o el panorama regulatorio.
• Asegurar que las políticas y prácticas internas de IA cumplan con las leyes de privacidad de datos.

A medida que la IA continúa transformando el panorama empresarial en Hong Kong, la PCPD ha llamado a las organizaciones a adoptar un enfoque proactivo y estructurado hacia la gobernanza de la IA y a establecer políticas integrales que promuevan el uso legal, ético y responsable de las tecnologías de IA.

Las directrices y orientaciones sobre la adopción y uso de la IA emitidas por la PCPD hasta ahora señalan el enfoque de estas cuestiones por parte del PCPD en caso de una investigación y la necesidad de que las organizaciones que implementen herramientas de IA tomen medidas ahora para garantizar que la orientación proporcionada por el regulador de privacidad esté integrada en sus prácticas.