El Consell Assessor de Protecció de Dades es pronuncia sobre els reptes de l’APDCAT en matèria d’intel·ligència artificial

El Consell Assessor de Protecció de Dades, l'òrgan d'assessorament i participació de l'Autoritat Catalana de Protecció de Dades (APDCAT), s’ha pronunciat sobre el paper de l’Autoritat davant els reptes de la intel·ligència artificial (IA). En concret, aquest òrgan ha emès un informe a petició de la directora, Meritxell Borràs, sobre el paper que ha d’assumir l’APDCAT arran de l’aprovació del Reglament d’Intel·ligència Artificial (RIA), quant a noves competències. Aquestes se sumarien a les competències assumides addicionalment per l'Autoritat pel fet d’haver estat designada per part de l’Estat espanyol com autoritat de de protecció de drets fonamentals, en el marc del RIA.

En aquest sentit, l’informe determina que el RIA, que és una norma europea d’aplicació directa, afegeix nous poders a l’APDCAT, a banda dels ja previstos a la normativa de protecció de dades, i que l’Autoritat ha d’exercir les seves competències amb plenitud d’atribucions i independència. Per això, l’informe recull la necessitat de disposar del pressupost adequat per dotar l’Autoritat dels mitjans personals i materials adients per garantir que l’ús dels sistemes d’IA no afecti la vida privada ni la confidencialitat de les comunicacions. Això suposa personal suficient, amb experiència i coneixements adients i actualitzats respecte de les tecnologies d’IA, dades i computació de dades, la ciberseguretat i els riscos per als drets fonamentals, la salut i la seguretat. I recull que això implicaria canvis organitzatius, adequació de nous perfils, formació del personal i dotar-se igualment de les capacitacions tecnològiques necessàries per desplegar-ne les noves funcions.

Pel que fa al model de control de la intel·ligència artificial, l’informe destaca que encara que la proposta del RIA del Parlament Europeu preveia la creació d’autoritats de supervisió encarregades de “fer complir l’aplicació i implementació” del RIA, el model finalment acordat per les institucions de la Unió Europea preveu que cada Estat l’ha de concretar i poden conviure diverses autoritats, en funció de quin sigui el mercat en qüestió. Així, la redacció definitiva i vigent del RIA encarrega als estats membres que designin almenys una autoritat de vigilància de mercat, que a les institucions europees és el Supervisor Europeu de Protecció de Dades.

L’informe també recull el pronunciament sobre el Comitè Europeu de Protecció de Dades sobre aquest aspecte, que recomana que els estats membres designin les autoritats de protecció de dades com a autoritats de vigilància del mercat per als sistemes d'IA d'alt risc esmentats a l’article 74.8 del RIA, i també que ho considerin per a la resta de sistemes d'IA d'alt risc que s'enumeren a l'annex III, especialment quan aquests sistemes d'IA d'alt risc es troben en sectors que puguin afectar els drets i llibertats de les persones físiques pel que fa al tractament de dades personals. I a més, el Comitè constata la necessitat que els estats membres proporcionin els recursos humans i financers addicionals que això comporta.

El Consell Assessor també recorda que aquesta designació no seria contradictòria amb la regulació feta a l’Estat de l’Agència Espanyola de Supervisió de la Intel·ligència Artificial, anterior al RIA, ja que és possible la coexistència de diverses autoritats de vigilància de mercat.

Noves competències assumides per l’APDCAT

L’informe recull les cinc noves tasques per a les autoritats de control de protecció de dades recollides al RIA, que són:

• Recepció de notificacions sobre l'ús de sistemes d'identificació biomètrica remota “en temps real”.
• Presentació d'informes anuals a la Comissió en relació amb les notificacions sobre l’ús de sistemes d'identificació “en temps real”
• Accés a documentació sobre l'ús de sistemes d'identificació biomètrica a distància en diferit documentada a l’expedient policial pertinent.
• Recepció d'informes anuals sobre l'ús de sistemes d'identificació biomètrica a distància en diferit
• Participació en espais controlats de proves per a la IA

Tanmateix, la designació de l’APDCAT per part de l’Estat espanyol com autoritat de protecció de drets fonamentals en matèria d’IA, atorga els següents poders addicionals a l’Autoritat:

• Accedir a documentació creada o conservada conforme al RIA, necessària per complir el seu mandat respecte l’ús de sistemes d’IA d’alt risc esmentats a l’annex III del RIA.
• Informar l'autoritat de vigilància del mercat sobre sol·licituds de documentació creada o conservada conforme al Reglament, necessària per complir el seu mandat respecte l’ús de sistemes d’IA d’alt risc esmentats a l’annex III del RIA.
• Sol·licitar proves dels sistemes d'IA d'alt risc i col·laborar en l’organització de les proves, quan la documentació no sigui suficient.
• Rebre notificacions de l’autoritat de vigilància de mercat sobre incidents greus.
• Ser informada per les autoritats de vigilància de mercat dels riscos per als drets fonamentals d’un sistema d’IA i, en aquests casos, cooperar amb ella i amb els operadors pertinents.

Formació i sensibilització

D’altra banda, l’informe determina la necessitat que l’APDCAT impulsi amb caràcter immediat actuacions per sensibilitzar, divulgar i alfabetitzar en l’ús correcte dels sistemes d’IA, perquè té la responsabilitat de promoure la privadesa i conscienciar la ciutadania sobre els seus drets respecte de la protecció de dades, i en relació amb les noves competències assumides. Això implica treballar en l’alfabetització en IA de les administracions, dels seus encarregats del tractament i de la ciutadania, per garantir, en els termes de l’Estatut, “que aquestes tecnologies es posin al servei de les persones i no afectin negativament llurs drets.”