APDCAT: Avaluació d'impacte sobre els drets fonamentals en l'ús d'intel·ligència artificial


Manuel Castilleja Toscano     04/03/2025


Guia per a l'avaluació d'impacte sobre els drets fonamentals a l'ús d'intel·ligència artificial (EIDF)

Enllaç a la notícia a la pàgina de l'APDCAT: https://apdcat.gencat.cat/ca/documentacio/intelligencia_artificial/

La intel·ligència artificial (IA) cada cop més present a la nostra societat, entesa en un sentit ampli, podem veure-la com una eina de suport a la presa de decisions en qualsevol àmbit. Aquest suport en la presa de decisions afecta, i de manera molt rellevant, les persones, ja que les dades i la tecnologia dibuixen perfils i patrons que serveixen per decidir i influir-hi directament.

En aquest sentit, l'Autoritat Catalana de Protecció de Dades (APDCAT) n'ha elaborat una Guia amb un model (pioner a Europa) i casos d'ús per a l'avaluació d'impacte sobre els drets fonamentals a l'ús d'intel·ligència artificial (EIDF), en línia amb allò que estableix el Reglament d'Intel·ligència Artificial (RIA). El document s'ha treballat en el marc del grup de treball de DDP en xarxa, i neix amb la voluntat de ser un referent per a altres organitzacions que necessitin dur a terme una EIDF.

A la Guia, l'APDCAT aborda la interacció de les EIDF amb el RGPD, proposa un model d'EIDF i quatre casos d'ús.

Interacció amb el RGPD.

  • Art. 35.1 i 7 RGPD: inclou una avaluació dels riscos per als drets dels interessats i el RIA fa èmfasi en l'avaluació de l'impacte en els drets individuals, independentment de l'ús de dades personals en el desenvolupament i la implementació de la IA, encara que hi ha una manca d'orientació en la implementació de l'EIDF.
  • Art 27.4 RIA: estableix que si ja es compleix qualsevol de les obligacions establertes al present article mitjançant l'EIPD realitzada conforme a l'art 35 RGPD, l'EIDF complementarà aquesta EIPD.
  • Art 26. 9 RIA: els responsables de desplegament d'IA han d'utilitzar la informació facilitada en virtut del art. 13 RIA (transparència i comunicació d'informació a responsables de desplegament) per complir la seva obligació de dur a terme una EIPD conforme a l'art. 35 RGPD.

Si els responsables del desplegament de la IA no compleixen les obligacions de l'EIDF en virtut del RIA, o si les autoritats competents no apliquen adequadament aquestes obligacions, en el futur les autoritats de protecció de dades poden tenir un paper actiu a l'aplicació de l'EIDF dels sistemes d'IA a través de les disposicions de l'art. 35 RGPD, en la mesura que el RGPD sigui aplicable (aquest és el cas en moltes situacions en què la IA afecti persones i grups, atesa l'àmplia definició de dades personals i tractament de dades al RGPD i el paper de les dades en el desenvolupament, la implementació i l'ús de la IA).

Tenint en compte tots aquests diferents aspectes de la interacció entre l'EIDF al RIA i l'art.35 RGPD, i atesa també l'experiència de les autoritats de protecció de dades en el tractament de qüestions de drets fonamentals, és adequat i necessari que aquestes autoritats exerceixin un paper actiu a l'hora de proporcionar orientació sobre l'EIDF en el context dels sistemes d'IA basats.

Model:

A la primera part s'aborda el paper de l'EIDF al Reglament d'Intel·ligència Artificial (RIA) i les fases que conformen el model adoptat per l'APDCAT:

  1. Planificació i determinació de l'abast.
  2. Recull de dades i anàlisi de riscos:
    • Variables clau per a lavaluació dimpacte.
    • Variables i construcció de líndex dimpacte.
  3. Gestió de riscos.

El model utilitzat en els casos dús es basa aquestes tres fases i consta de diversos elements:

  • Qüestionari de planificació i abast
  • Matrius de risc

Casos d'ús:

A la segona part s'aborden els casos d'ús, en aquest cas:

  1. Plataforma d'analítica avançada de l'aprenentatge.
  2. Una eina per a la gestió dels recursos humans.
  3. Una eina d'imatges mèdiques impulsada per IA per detectar el càncer.
  4. ATENEA, IA al servei de la gent gran.