Avaluació d’Impacte sobre els Drets Fonamentals en la Intel·ligència Artificial (AIDF)
- Cristina Ureña
La intel·ligència artificial (IA) és cada cop més present en la nostra societat. Entesa en un sentit ampli, la podem veure com una eina de suport a la presa de decisions en qualsevol àmbit. Aquest suport en la presa de decisions afecta, i de manera molt rellevant, les persones, ja que les dades i la tecnologia dibuixen perfils i patrons que serveixen per decidir i influir-hi directament.
Per a l’Autoritat Catalana de Protecció de Dades, l’evolució tecnològica es basa en l’ús massiu i intensiu de dades, i cal trobar les eines adequades per protegir els drets i llibertats de les persones. En aquest context, posa a disposició de la ciutadania un conjunt de treballs i materials que ha elaborat per analitzar tant els riscos com la manera de mitigar-los.
En aquest sentit, ha elaborat un model pioner a Europa per a l'avaluació d'impacte sobre els drets fonamentals en l'ús d'intel·ligència artificial (AIDF), en línia amb el que estableix el nou Reglament d'Intel·ligència Artificial (en vigor des de 02/02/25).
Per què és necessària una Avaluació d'impacte sobre els drets fonamentals en l'ús d'intel·ligència artificial (AIDF)?
La IA aplicada a l’administració local pot afectar drets com la protecció de dades, la no-discriminació i la igualtat d’accés als serveis públics. Alguns riscos concrets inclouen:
Opacitat i manca d’explicabilitat: els sistemes automatitzats poden prendre decisions sense que els ciutadans entenguin el seu funcionament.
Discriminació algorítmica: biaixos en les dades poden portar a tractes desiguals segons gènere, origen, edat o altres característiques.
Seguretat i protecció de dades: la gestió de dades personals per IA ha de complir estrictament la normativa vigent.
Com realitzar una Avaluació d’Impacte
Els ajuntaments han de seguir un procés sistemàtic per valorar l’impacte de la IA:
Identificació del sistema d'IA: definir l'objectiu, funcionalitat i dades emprades.
Anàlisi de riscos: identificar possibles impactes en drets fonamentals.
Mesures de mitigació: establir accions per reduir riscos, com la supervisió humana de decisions automatitzades.
Publicació i transparència: assegurar que la ciutadania tingui accés a informació sobre els algoritmes utilitzats.
Diferències en el procés d’implementació entre l’AIDF i l’AIPD segons l’APDCAT
Tot i que l’Avaluació d’Impacte sobre els Drets Fonamentals (AIDF) i l’Avaluació d’Impacte en Protecció de Dades (AIPD) comparteixen la finalitat d’identificar i mitigar riscos, el seu procés d’implementació presenta diferències significatives. A continuació es detallen les principals divergències segons l’APDCAT:
1. Fases del procés d’implementació
Fase | AIDF (Avaluació d’Impacte sobre els Drets Fonamentals) | AIPD (Avaluació d’Impacte en Protecció de Dades) |
|---|---|---|
| Es defineix el sistema d’IA i el seu impacte potencial en els drets fonamentals (llibertats civils, no-discriminació, privacitat, etc.). | Es defineix el tractament de dades personals i es determina si cal una AIPD segons el risc per a la privacitat. |
| Es determinen quines persones o grups poden veure afectats i quins drets fonamentals estan en risc. | Es determinen els interessats (titulars de dades) i els riscos associats al tractament de dades personals. |
| Es quantifiquen els nivells de risc (probabilitat i gravetat) per a cada dret fonamental afectat, mitjançant matrius d’impacte. | Es valoren els riscos per als drets i llibertats dels interessats i es mesuren segons l’impacte en la privacitat i la seguretat de les dades. |
| Es proposen mesures per reduir o eliminar els riscos en els drets fonamentals. Pot incloure ajustos ètics o normatius en el sistema d’IA. | S’adopten mesures de seguretat i protecció de dades per garantir el compliment del RGPD (anonimització, minimització, xifrat, etc.). |
| Es fa un seguiment iteratiu per adaptar-se a canvis tecnològics, legals o socials. Es pot modificar el sistema d’IA en funció dels resultats. | Es revisa periòdicament el tractament de dades personals per garantir el compliment continu del RGPD i evitar nous riscos. |
2. Diferències clau en la metodologia i les eines utilitzades
Aspecte | AIDF | AIPD |
|---|---|---|
Enfocament | General i basat en drets fonamentals (impacte ètic, social i legal). | Específic per a la protecció de dades personals. |
Metodologia d’anàlisi | Matrius de risc centrades en probabilitat i gravetat de l’impacte en drets. | Identificació i classificació de riscos de privacitat segons el RGPD. |
Actors implicats | Especialistes en IA, ètica i drets fonamentals, així com autoritats reguladores i representants d’usuaris afectats. | Delegats de Protecció de Dades (DPD), responsables del tractament i equips de seguretat informàtica. |
Tipus de mesures correctores | Canvis en l’arquitectura del sistema d’IA per reduir riscos socials i legals. | Mesures tècniques i organitzatives per protegir la privacitat i evitar violacions de dades. |
Supervisió i auditories | Monitoratge constant per garantir que la IA no derivi en riscos nous o no previstos. | Auditories periòdiques per verificar el compliment del RGPD i avaluar noves amenaces. |
3. Aplicabilitat i obligatorietat segons la normativa
Aspecte | AIDF | AIPD |
|---|---|---|
Obligatorietat | Obligatòria per als sistemes d’IA d’alt risc segons el Reglament Europeu d’Intel·ligència Artificial (RIA). | Obligatòria quan el tractament de dades personals suposa un alt risc per als drets i llibertats dels interessats (article 35 RGPD). |
Quan s’ha d’aplicar? | Abans del desplegament de sistemes d’IA que puguin tenir un impacte significatiu en els drets fonamentals. | Quan un tractament de dades personals pot comportar riscos per als interessats (per exemple, ús de dades sensibles, decisions automatitzades, monitoratge massiu, etc.). |
Entitats responsables | Proveïdors i desenvolupadors d’IA, administracions públiques i empreses que utilitzin IA en serveis essencials. | Responsables i encarregats del tractament de dades en qualsevol organització pública o privada. |
4. Casos pràctics en l’àmbit municipal
Exemple d’AIDF en un ajuntament
Un ajuntament vol implantar un sistema d’IA per gestionar l’assignació d’ajudes socials.
Amb l’AIDF es revisa si l’algoritme pot tenir biaixos discriminatoris o impactar negativament en drets com la no-discriminació o l’accés equitatiu als serveis públics.
S’ajusta el model per garantir que no exclogui col·lectius vulnerables i es reforcen mecanismes de transparència.
Exemple d’AIPD en un ajuntament
L’ajuntament decideix implementar un sistema de videovigilància intel·ligent amb reconeixement facial.
Amb l’AIPD es verifica si el tractament de dades biomètriques compleix el principi de minimització i proporcionalitat del RGPD.
Es decideix anonimitzar les imatges i limitar l’ús de la IA a situacions de seguretat pública justificades.
Qui ha de fer l’AIPD?
L’article 35 del RGPD estableix que el responsable del tractament és qui ha de realitzar l’AIPD. Això significa que:
L’AIPD l’ha de fer l’entitat responsable del tractament (per exemple, un ajuntament, una empresa, una universitat, etc.).
Normalment, la realitzen els equips tècnics i jurídics de l’organització, amb el suport del DPD.
El DPD ha d’assessorar però no és responsable de l’execució de l’AIPD.
Funcions del DPD en relació amb l’AIPD
Segons l’article 39 del Reglament General de Protecció de Dades (RGPD), les funcions principals del DPD respecte a l’AIPD són:
Assessorar sobre la necessitat de realitzar una AIPD
El DPD ha d’ajudar el responsable del tractament a determinar si el projecte requereix una AIPD.
Segons l’article 35 del RGPD, una AIPD és obligatòria si el tractament de dades personals pot comportar un alt risc per als drets i llibertats dels ciutadans (per exemple, ús de dades sensibles, vigilància massiva, decisions automatitzades, etc.).
Supervisar la correcta execució de l’AIPD
Tot i que el DPD no ha de fer l’AIPD directament, ha de garantir que la metodologia sigui adequada i que es considerin els riscos rellevants.
Recomanar mesures per mitigar els riscos detectats
Un cop feta l’AIPD, el DPD pot proposar canvis o mesures correctores per reduir els riscos.
Per exemple, pot suggerir l’ús de tècniques com l’anonimització o l’encriptació de les dades.
Actuar com a punt de contacte amb l’autoritat de control
Si l’AIPD conclou que el risc segueix sent alt malgrat les mesures adoptades, cal consultar l’APDCAT abans d’iniciar el tractament (article 36 del RGPD).
El DPD pot gestionar aquesta consulta i coordinar la resposta de l’organització.