La Autoridad Catalana de Protección de Datos (APDCAT) ha elaborado un modelo pionero en Europa para la evaluación de impacto sobre los derechos fundamentales en el uso de inteligencia artificial (EIDF). El modelo está en línea con lo que establece el nuevo Reglamento de IA. El documento se ha trabajado en el marco del grupo de trabajo de 'DPD en red' liderado por el experto Alessandro Mantelero, y nace con la voluntad de ser un referente para otras organizaciones que necesiten llevar a cabo una EIDF. A estos efectos, la herramienta está disponible en catalán, español e inglés.

Los obligados a realizar evaluación de impacto

El artículo 27 del Reglamento IA obliga a los responsables del despliegue (usuarios, sean empresas o administraciones públicas) de sistemas de alto riesgo que sean organismos de Derecho público, o entidades privadas que prestan servicios públicos, a llevar a cabo una evaluación del impacto que la utilización de dichos sistemas pueda tener en los derechos fundamentales. También están obligados determinados responsables del despliegue, entre los que se encuentran las entidades financieras y bancarias y las de seguros.

El Reglamento IA establece en qué ha de constar en tal evaluación:

a) una descripción de los procesos del responsable del despliegue en los que se utilizará el sistema de IA de alto riesgo en consonancia con su finalidad prevista;

b) (…) el período de tiempo durante el cual se prevé utilizar cada sistema de IA de alto riesgo y la frecuencia con la que está previsto utilizarlo;

c) las categorías de personas físicas y grupos que puedan verse afectados por su utilización;

d) los riesgos de perjuicio específicos que puedan afectar a las categorías de personas físicas y grupos determinadas (…);

e) una descripción de la aplicación de medidas de supervisión humana, de acuerdo con las instrucciones de uso;

f) las medidas que deben adoptarse en caso de que dichos riesgos se materialicen, en particular los acuerdos de gobernanza interna y los mecanismos de reclamación.

También establece este precepto, largo y detallado, que “en casos similares, el responsable del despliegue podrá basarse en evaluaciones de impacto relativas a los derechos fundamentales realizadas previamente o a evaluaciones de impacto existentes realizadas por los proveedores. Si, durante el uso del sistema de IA de alto riesgo, el responsable del despliegue considera que alguno de los elementos ha cambiado o ha dejado de estar actualizado, adoptará las medidas necesarias para actualizar la información”. Por tanto, se prescribe como un proceso iterativo, en evolución constante.

El mismo artículo establece que la Oficina de IA elaborará un modelo de cuestionario, también mediante una herramienta automatizada, a fin de facilitar que los responsables del despliegue cumplan sus obligaciones. Sin embargo, este modelo aún no se ha publicado y la APDCAT se le ha adelantado.

El modelo EIDF de la APDCAT

La APDCAT establece que “El modelo EIDF es coherente con la teoría y la práctica jurídicas de los derechos fundamentales”. En términos de estructura, de conformidad con el artículo 27 del RIA y las metodologías de evaluación de riesgos, la EIDF es una evaluación contextual centrada en la solución de IA específica que se está implementando.

La EIDF también se caracteriza por un enfoque ex ante, lo que la convierte en una herramienta para un diseño de IA orientado a los derechos fundamentales, adoptando el enfoque desde el diseño ya conocido en la protección de datos. La EIDF tiene una estructura iterativa circular y, como todas las evaluaciones de riesgos de situaciones que pueden evolucionar con el tiempo, no es una evaluación previa puntual.

Estructura del modelo EIDF

Los tres bloques principales del modelo EIDF son:

  • Una fase de planificación y determinación del alcance, centrada en las principales características del producto/servicio y en el contexto en el que se situará. Ver checklist más adelante.
  • Una fase de recopilación de datos y análisis de riesgos, en la que se identificarán los riesgos potenciales y se evaluará su posible impacto en los derechos fundamentales.
  • Una fase de gestión de riesgos, en la cual se adoptan, prueban y supervisan medidas adecuadas para prevenir o mitigar estos riesgos y comprobar su efectividad.  Esta etapa de gestión de riesgos tiene a su vez 3 etapas.

La gestión de riesgos

Tras el análisis de riesgos, que ha definido el nivel de impacto de la solución de IA sobre los derechos potencialmente afectados, es necesario gestionar los riesgos identificados adoptando las medidas adecuadas.

Por lo tanto, la tercera fase de la EIDF se articula en tres etapas, de la siguiente manera:

  • La identificación de medidas adecuadas para prevenir o mitigar el riesgo, teniendo en cuenta su impacto en el nivel de riesgo de acuerdo con un análisis de escenarios específicos del contexto.
  • La implementación de dichas medidas.
  • El seguimiento del funcionamiento del sistema de IA con el fin de revisar la evaluación y las medidas adoptadas en caso de que los cambios tecnológicos, sociales y contextuales afecten al nivel de riesgo o a la eficacia de las medidas aplicadas.

Los check lists

A modo de ejemplo, la fase de planificación y alcance recoge un cuestionario de preguntas tipo para facilitar el análisis de esta fase. Algunas de las preguntas son:  

Descripción y análisis del sistema de IA, incluidos los flujos de datos relacionados:

  • ¿Cuáles son los principales objetivos del sistema de IA?
  • ¿Cuáles son las principales características del sistema?
  • ¿En qué países se ofrecerá?
  • ¿Qué tipos de datos se tratan (personales, no personales, categorías especiales)?
  • Identificación de los posibles titulares de derechos: ¿quiénes son los individuos o grupos que pueden verse afectados por los sistemas de IA? ¿Se incluyen entre ellos individuos o grupos vulnerables?
  • Identificación de los responsables: ¿qué personas/entidades están implicadas en el diseño, desarrollo y despliegue de los sistemas de IA? ¿Cuál es su papel?

Intervención de las partes interesadas y diligencia debida   

  • ¿Cuáles son los principales grupos o comunidades potencialmente afectados por el sistema de IA, incluido su desarrollo?
  • ¿Qué partes interesadas, además de los individuos o grupos que puedan verse afectados por los sistemas de IA, deben participar (por ejemplo, la sociedad civil y las organizaciones internacionales, expertos, asociaciones industriales, periodistas)?
  • ¿Hay otros titulares de obligaciones que deban participar, aparte del proveedor y el responsable del despliegue de IA (por ejemplo, autoridades nacionales, organismos gubernamentales)?
  • ¿Han participado en el proceso de evaluación los socios comerciales, incluidos los proveedores de servicios (por ejemplo, subcontratistas en sistemas de IA y conjuntos de datos)?

Valoración del EIDF

Valoramos muy positivamente la iniciativa de la APDCAT, que facilitará la tarea a los responsables de despliegue que resultan obligados a realizar un EIDF y celebramos el carácter pionero de la misma, en unos momentos en que las principales instituciones, asociaciones y verticales están también trabajando y, en algunos casos, publicando modelos. Recientemente analizamos también en esta sección la Metodología HUDERIA del Consejo de Europa. El usuario puede elegir él mismo cuál de éstas le resulta más práctica para ayudarle a cumplir esta obligación del RIA.