El mes d’agost de 2024 va entrar en vigor el Reglament (UE) 2024/1689 del Parlament Europeu i del Consell, de 13 de juny de 2024, pel qual s’estableixen normes harmonitzades en matèria d’intel·ligència artificial (RIA). Aquest marc regulador s’aprova amb la pretensió de millorar el funcionament del mercat interior, a partir de l’establiment de normes harmonitzades sobre la implementació i utilització de sistemes d’intel·ligència artificial (IA) respectuosament amb els drets fonamentals.
Les obligacions que disposa l’articulat del RIA s'exigiran de manera esglaonada, per tal de permetre a tots els subjectes obligats que, un cop arribada la data, s’hagin adaptat a les obligacions i deures establerts.
En aquest context, és evident la interacció entre el RIA i el Reglament (UE) 2016/679 del Parlament i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades (RGPD).
D’entrada, escau assenyalar que l’entrada en vigor del RIA no desplaça l’aplicació de la normativa de protecció de dades personals, sinó que ambdues normes convergiran quan els sistemes d’IA comportin el tractament de dades personals. Per això cal complir les obligacions que, en cada cas, exigeixin ambdues regulacions.
El primer exemple d’interacció entre el RGPD i el RIA és l’obligació de fer avaluacions d’impacte en els drets fonamentals (AIDF).
L’article 35, apartats 1 i 7, del RGPD exigeix que els responsables del tractament facin una avaluació d’impacte en protecció de dades (AIPD) quan sigui probable que un tractament comporti un alt risc per als drets i les llibertats de les persones físiques. Aquesta avaluació s’ha de fer prèviament al tractament i es requereix especialment quan s’avaluïn sistemàticament i exhaustivament aspectes personals de persones físiques basant-se en un tractament automatitzat; quan ens trobem davant un tractament a gran escala de categories especials de dades personals o es tractin dades personals relatives a condemnes i infraccions penals, o bé quan el tractament impliqui una observació sistemàtica a gran escala d’una zona d’accés públic (art. 35 del RGPD).
Al seu torn, l’article 27 del RIA estableix l’obligació d'efectuar una AIDF abans de desplegar sistemes d’IA d’alt risc. Una obligació que en cap cas s’ha d'entendre que s'ha acomplert pel fet d’haver fet amb anterioritat una AIPD, en els termes que exigeix l’article 35 del RGPD. De fet, sobre aquesta qüestió, l’apartat quart de l’article 27 del RIA especifica el següent: “La evaluación de impacto relativa a los derechos fundamentales a que se refiere el apartado 1 del presente artículo complementará dicha evaluación de impacto relativa a la protección de datos.”
Per tant, davant de sistemes d’IA d’alt risc, classificats com a tal d’acord amb l’article 6.3 del RIA, cal dur a terme l'AIDF corresponent i, en cas que l’ús d’aquests sistemes pugui afectar el dret fonamental a la protecció de dades personals, cal complir també el que disposa l’article 35 del RGPD.
L’obligació de fer una AIDF, l’han de complir els responsables del desplegament que siguin entitats de dret públic, o entitats de dret privat que presten serveis públics; els responsables de desplegament de sistemes d’IA destinats a ser utilitzats per avaluar la solvència de persones físiques o bé per establir-ne la qualificació creditícia, i els responsables de desplegament de sistemes d’IA emprats per a l’avaluació de riscos i la fixació de preus en relació amb les persones físiques, en el cas d’assegurances de vida i de salut.
Una altra evidència de la interacció entre ambdós reglaments (RIA i RGPD) és la referent al compliment del principi de transparència. En aquest sentit, l’article 26.9 del RIA remet expressament a l’article 35 del RGPD quan disposa que, en relació amb els sistemes d’IA d’alt risc, els responsables del desplegament han d'emprar la informació facilitada per donar compliment a l’obligació de fer una AIPD. En aquest context, l’eventual incompliment de les obligacions que estableix el RGPD, en relació amb la implementació i utilització de sistemes d’IA que comportin el tractament de dades personals, és una qüestió inclosa dins l’àmbit competencial de les autoritats de control en matèria de protecció de dades personals. Precisament en aquest escenari l’Autoritat Catalana de Protecció de Dades (APDCAT) va presentar, el 28 de gener de 2025, els resultats d’un projecte que neix d’un grup de treball de la Xarxa de Delegats i Delegades de Protecció de Dades, per tal d’establir una metodologia per efectuar AIDF, quan s’utilitzen sistemes d’IA. La guia que recull el model per efectuar una AIDF (model FRIA català) es pot consultar en aquest enllaç.
Els resultats presentats per l’APDCAT s’estructuren en dues parts: 1) Metodologia per efectuar l’AIDF i 2) Aplicació de la metodologia a casos concrets. Les evidències que s’extrauen d’aquest projecte demostren que és possible racionalitzar els requisits del RIA i traduir-los eficaçment en un procés d’anàlisi i de gestió de riscos respectuós amb els drets fonamentals, entre els quals, el dret a la protecció de dades.
Conformement a l’article 27.1 del RIA, per efectuar una AIDF cal que les entitats i organitzacions tinguin en compte els factors següents:
- a) El context d’ús i les categories d’actors exposats al risc (art. 27.a, b i c).
- b) El possible perjudici per als drets fonamentals (art. 27.1.d).
- c) Les mesures de prevenció/mitigació que s’han d’adoptar (art. 27.e i f).
Aquesta divisió es reflecteix en les tres fases de la metodologia ADIF que va adoptar l’estudi presentat per l’APDCAT:
- a) Planificació, definició de l’abast i identificació dels riscos.
- b) Anàlisi de riscos.
- c) Mitigació i gestió de riscos.
La primera fase (planificació, definició de l’abast i identificació dels riscos) inclou la descripció del sistema d’IA que s’analitza, així com el seu context d’ús, atesos els riscos intrínsecs, relacionats amb el sistema mateix, i els riscos extrínsecs, fruit de la interacció entre el sistema i l’entorn en què s’implementa. En aquest moment, també es podria detectar que el sistema no comportarà riscos per a les persones.
La segona fase, referida a l’anàlisi de riscos, es duu a terme quan, del resultat de la primera fase, se’n desprengui l’existència de potencials riscos per als drets de les persones, associats a la implementació, el desplegament i l'ús del sistema d’IA. En aquest moment, s’han d'identificar àrees concretes d’impacte i estimar el nivell d’afectació per a cada dret o llibertat eventualment compromès.
A l'últim, la tercera fase es basa en la definició de les mesures de prevenció i mitigació de riscos, que permetrà identificar mesures per reduir o eliminar els impactes detectats. Només definint el nivell de riscos prèviament és possible identificar mesures de prevenció i mitigació adequades. De la mateixa manera, el risc es pot abordar de manera eficaç si es disposen de les eines idònies en cada cas i per a cada sistema d’IA considerat individualment.
La plantilla del model AIDF inclou els elements següents:
- Un qüestionari, que abasta les quatre àrees principals de la fase de planificació i determinació de l’abast.
- Un conjunt de matrius i criteris de quantificació de variables associades, que s’utilitzen per avaluar la probabilitat i la gravetat dels possibles perjudicis a cada dret i llibertat.
- Dues taules, que s’adjunten tot seguit, per obtenir el nivell d’impacte sobre cada dret i llibertat, les mesures de prevenció i mitigació per abordar el risc i l’estimació de l’impacte residual.
| Drets/llibertats afectats | Probabilitat | Gravetat | Impacte global | Mesures per prevenir/mitigar els impactes |
|---|---|---|---|---|
| | ||||
| |
| Drets/llibertats afectats | Probabilitat (residual) | Gravetat (residual) | Impacte residual |
|---|---|---|---|
| | |||
| |
La segona part de la Guia exemplifica l’aplicació de l’AIPD en quatre casos concrets. Aquest enfocament empíric demostra l’eficàcia del model proposat en la consecució dels objectius polítics i de disseny de l’AIDF.
Els casos d’ús que es presenten es van confeccionar a partir de quatre interaccions diferents:
- a) Una primera anàlisi interna del cas per part dels experts (normalment delegats de protecció de dades) de l’entitat que duia a terme l’AIDF.
- b) Una discussió amb un expert en AIDF, per revisar l’avaluació inicial.
- c) Un debat grupal, configurat pels diferents experts de les entitats que participaven en aquest projecte.
- d) Una revisió final per part dels professionals de l’entitat que efectuava l’AIDF.
Els casos d’ús escollits es refereixen a quatre dels àmbits clau de l’annex III del RIA: l’educació, la gestió de personal en l’àmbit laboral, l’accés a l’assistència sanitària i, en darrer terme, els serveis socials.
Del procés que recull l’AIDF, se n'extreuen dues conclusions cabdals: d’una banda, la importància d’involucrar persones expertes de l’entitat en l'execució de l’avaluació i, de l’altra, la necessitat que l’avaluació l’efectuïn equips configurats per diferents perfils i rols (IA, drets fonamentals, gestió de riscos), de manera que els coneixements adquirits per part dels integrants permeti millorar els nivells d’anàlisi i compartir perspectives i necessitats diferents.
En darrer terme, interessa destacar la importància de fer partícips les persones delegades de protecció de dades personals, des d’un inici, i en totes les fases del projecte d’implementació dels sistemes d’IA que impliquin el tractament de dades personals. En aquest sentit, si la concepció d’un sistema d’IA s’efectua conformement als principis de l’article 5 del RGPD, en una fase posterior serà més senzill analitzar i mitigar els riscos als quals s’exposen els titulars de la informació en relació amb els usos d’aquesta tecnologia.
