L'Autoritat Catalana de Protecció de Dades (APDCAT) ha elaborat un model pioner a Europa per a l'avaluació d'impacte sobre els drets fonamentals en l'ús d'intel·ligència artificial (EIDF). El model està en línia, amb la qual cosa estableix el nou Reglament d'IA. El document s'ha treballat en el marc del grup de treball de 'DPD en xarxa' liderat per l'expert Alessandro Mantelero, i neix amb la voluntat de ser un referent per a altres organitzacions que necessitin dur a terme una EIDF. A aquests efectes, l'eina està disponible en català, espanyol i anglès.

Els obligats a dur a terme avaluació d'impacte

L'article 27 del Reglament IA obliga als responsables del desplegament (usuaris, siguin empreses o administracions públiques) de sistemes d'alt risc que siguin organismes de Dret públic, o entitats privades que presten serveis públics, a dur a terme una avaluació de l'impacte que la utilització dels esmentats sistemes pugui tenir en els drets fonamentals. També estan obligats determinats responsables del desplegament, entre qui es troben les entitats financeres i bancàries i les d'assegurances.

El Reglament IA estableix en què ha de constar en tal avaluació:

a) una descripció dels processos del responsable del desplegament en els quals s'utilitzarà el sistema d'IA d'alt risc d'acord amb la seva finalitat prevista;

b) (…) el període de temps durant el qual es preveu utilitzar cada sistema d'IA d'alt risc i la freqüència amb què està previst utilitzar-lo;

c) les categories de persones físiques i grups que puguin veure's afectats per la seva utilització;

d) els riscos de perjudici específics que puguin afectar les categories de persones físiques i grups determinades (...);

e) una descripció de l'aplicació de mesures de supervisió humana, d'acord amb les instruccions d'ús;

f) les mesures que s'han d'adoptar en cas que els esmentats riscos es materialitzin, en particular els acords de governança interna i els mecanismes de reclamació.

També estableix aquest precepte, llarg i detallat, que "en casos similars, el responsable del desplegament podrà basar-se en avaluacions d'impacte relatives als drets fonamentals realitzades prèviament o a avaluacions d'impacte existents realitzades pels proveïdors. Si, durant l'ús del sistema d'IA d'alt risc, el responsable del desplegament considera que algun dels elements ha canviat o ha deixat d'estar actualitzat, adoptarà les mesures necessàries per actualitzar la informació". Per tant, es prescriu com un procés iteratiu, en evolució constant.

El mateix article estableix que l'Oficina d'IA elaborarà un model de qüestionari, també mitjançant una eina automatitzada, a fi de facilitar que els responsables del desplegament compleixin les seves obligacions. Tanmateix, aquest model encara no s'ha publicat i l'APDCAT se li ha avançat.

El model EIDF de l'APDCAT

L'APDCAT estableix que "El model EIDF és coherent amb la teoria i la pràctica jurídiques dels drets fonamentals". En termes d'estructura, de conformitat amb l'article 27 de la RIA i les metodologies d'avaluació de riscos, l'EIDF és una avaluació contextual centrada en la solució d'IA específica que s'està implementant.

L'EIDF també es caracteritza per un enfocament ex davant de, el que la converteix en una eina per a un disseny d'IA orientat als drets fonamentals, adoptant l'enfocament des del disseny ja conegut en la protecció de dades. L'EIDF té una estructura iterativa circular i, com totes les avaluacions de riscos de situacions que poden evolucionar amb el temps, no és una avaluació prèvia puntual.

Estructura del model EIDF

Els tres blocs principals del model EIDF són:

  • Una fase de planificació i determinació de l'abast, centrada en les principals característiques del producte/servei i en el context en el qual se situarà. Veure llista de control més endavant.
  • Una fase de recopilació de dades i anàlisi de riscos, en la qual s'identificaran els riscos potencials i s'avaluarà el seu possible impacte en els drets fonamentals.
  • Una fase de gestió de riscos, en la qual s'adopten, proven i supervisen mesures adequades per prevenir o mitigar aquests riscos i comprovar la seva efectivitat. Aquesta etapa de gestió de riscos té al seu torn 3 etapes.

La gestió de riscos

Després de l'anàlisi de riscos, que ha definit el nivell d'impacte de la solució d'IA sobre els drets potencialment afectats, és necessari gestionar els riscos identificats adoptant les mesures adequades.

Per tant, la tercera fase de l'EIDF s'articula en tres etapes, de la següent manera:

  • La identificació de mesures adequades per prevenir o mitigar el risc, tenint en compte el seu impacte en el nivell de risc d'acord amb una anàlisi d'escenaris específics del context.
  • La implementació de les esmentades mesures.
  • El seguiment del funcionament del sistema d'IA a fi de revisar l'avaluació i les mesures adoptades en cas que els canvis tecnològics, socials i contextuals afectin el nivell de risc o l'eficàcia de les mesures aplicades.

Els check lists

A tall d'exemple, la fase de planificació i abast recull un qüestionari de preguntes tipus per facilitar l'anàlisi d'aquesta fase. Algunes de les preguntes són:

Descripció i anàlisi del sistema d'IA, inclosos els fluxos de dades relacionats:

  • Quins són els principals objectius del sistema d'IA?
  • Quines són les principals característiques del sistema?
  • A quins països s'oferirà?
  • Quins tipus de dades es tracten (personals, no personals, categories especials)?
  • Identificació dels possibles titulars de drets: qui són els individus o grups que poden veure's afectats pels sistemes d'IA? S'inclouen entre ells individus o grups vulnerables?
  • Identificació dels responsables: quines persones/entitats estan implicades en el disseny, desenvolupament i desplegament dels sistemes d'IA? Quin és el seu paper?

Intervenció de les parts interessades i diligència deguda

  • Quins són els principals grups o comunitats potencialment afectats pel sistema d'IA, inclòs el seu desenvolupament?
  • Quines parts interessades, a més dels individus o grups que puguin veure's afectats pels sistemes d'IA, han de participar (per exemple, la societat civil i les organitzacions internacionals, experts, associacions industrials, periodistes)?
  • Hi ha altres titulars d'obligacions que hagin de participar, a part del proveïdor i el responsable del desplegament d'IA (per exemple, autoritats nacionals, organismes governamentals)?
  • Han participat en el procés d'avaluació els socis comercials, inclosos els proveïdors de serveis (per exemple, subcontractistes en sistemes d'IA i conjunts de dades)?

Valoració de l'EIDF

Valorem molt positivament la iniciativa de l'APDCAT, que facilitarà la tasca als responsables de desplegament que resulten obligats a realitzar un EIDF i celebrem el caràcter pioner d'aquesta, en uns moments en què les principals institucions, associacions i verticals són també treballant i, en alguns casos, publicant models. Recentment, analitzem també en aquesta secció la Metodologia HUDERIA del Consell d'Europa. L'usuari pot elegir ell mateix quina d'aquestes li resulta més pràctica per ajudar-lo a complir aquesta obligació de la RIA.