El Consejo Asesor de Protección de Datos se pronuncia sobre los retos de la APDCAT en materia de inteligencia artificial

El Consejo Asesor de Protección de Datos, el órgano de asesoramiento y participación de la Autoridad Catalana de Protección de Datos (APDCAT), se ha pronunciado sobre el papel de la Autoridad frente a los retos de la inteligencia artificial (IA). En concreto, ha emitido un informe a petición de la directora, Meritxell Borràs, sobre el papel que debe asumir la APDCAT a raíz de la aprobación del Reglamento de Inteligencia Artificial (RIA), en cuanto a nuevas competencias. Éstas se sumarían a las competencias asumidas adicionalmente por la Autoridad por el hecho de haber sido designada por parte del Estado español como autoridad de protección de derechos fundamentales, en el marco del RIA.

En este sentido, el informe determina que el RIA, que es una norma europea de aplicación directa, añade nuevos poderes a la APDCAT, aparte de los ya previstos en la normativa de protección de datos, y que la Autoridad debe ejercer sus competencias con plenitud de atribuciones e independencia. Por ello, el informe recoge la necesidad de disponer del presupuesto adecuado para dotar a la Autoridad de los medios personales y materiales adecuados para garantizar que el uso de los sistemas de IA no afecte a la vida privada ni a la confidencialidad de las comunicaciones. Esto supone personal suficiente, con experiencia y conocimientos adecuados y actualizados respecto a las tecnologías de IA, datos y computación de datos, la ciberseguridad y los riesgos para los derechos fundamentales, la salud y la seguridad. Y recoge que esto implicaría cambios organizativos, adecuación de nuevos perfiles, formación del personal y dotarse igualmente de las capacitaciones tecnológicas necesarias para desplegar sus nuevas funciones.

En cuanto al modelo de control de la inteligencia artificial, el informe destaca que aunque la propuesta del RIA del Parlamento Europeo preveía la creación de autoridades de supervisión encargadas de “hacer cumplir la aplicación e implementación” del RIA, el modelo finalmente acordado por las instituciones de la Unión Europea prevé que cada Estado debe concretarlo y pueden convivir varias autoridades, en función. Así, la redacción definitiva y vigente del RIA encarga a los Estados miembros que designen al menos una autoridad de vigilancia de mercado, que en las instituciones europeas es el Supervisor Europeo de Protección de Datos.

El informe también recoge el pronunciamiento sobre el Comité Europeo de Protección de Datos sobre este aspecto, que recomienda que los Estados miembros designen a las autoridades de protección de datos como autoridades de vigilancia del mercado para los sistemas de IA de alto riesgo mencionados en el artículo 74.8 del RIA, así como que lo consideren para el resto de sistemas de IA de alto de IA de alto riesgo se encuentran en sectores que puedan afectar a los derechos y libertades de las personas físicas en cuanto al tratamiento de datos personales. Y, además, el Comité constata la necesidad de que los Estados miembros proporcionen los recursos humanos y financieros adicionales que ello conlleva.

El Consejo Asesor también recuerda que esta designación no sería contradictoria con la regulación hecha en el Estado de la Agencia Española de Supervisión de la Inteligencia Artificial, anterior al RIA, ya que es posible la coexistencia de varias autoridades de vigilancia de mercado.

Nuevas competencias asumidas por la APDCAT

El informe recoge las cinco nuevas tareas para las autoridades de control de protección de datos recogidas en el RIA, que son:

Recepción de notificaciones sobre el uso de sistemas de identificación biométrica remota "en tiempo real".
Presentación de informes anuales a la Comisión en relación con las notificaciones sobre el uso de sistemas de identificación "en tiempo real"
Acceso a documentación sobre el uso de sistemas de identificación biométrica a distancia en diferido documentada en el expediente policial pertinente.
Recepción de informes anuales sobre el uso de sistemas de identificación biométrica a distancia en diferido
Participación en espacios controlados de pruebas para la IA

Sin embargo, la designación de la APDCAT por parte del Estado español como autoridad de protección de derechos fundamentales en materia de IA, otorga los siguientes poderes adicionales a la Autoridad:

Acceder a documentación creada o conservada conforme al RIA, necesaria para cumplir su mandato respecto al uso de sistemas de IA de alto riesgo mencionados en el Anexo III del RIA.
Informar a la autoridad de vigilancia del mercado sobre solicitudes de documentación creada o conservada conforme al Reglamento, necesaria para cumplir su mandato respecto al uso de sistemas de IA de alto riesgo mencionados en el anexo III del RIA.
Solicitar pruebas de los sistemas de IA de alto riesgo y colaborar en la organización de las pruebas, cuando la documentación no sea suficiente.
Recibir notificaciones de la autoridad de vigilancia de mercado sobre incidentes graves.
Ser informada por las autoridades de vigilancia de mercado de los riesgos para los derechos fundamentales de un sistema de IA y, en estos casos, cooperar con ella y con los operadores pertinentes.

Formación y sensibilización

Por otra parte, el informe determina la necesidad de que la APDCAT impulse con carácter inmediato actuaciones para sensibilizar, divulgar y alfabetizar en el correcto uso de los sistemas de IA, porque tiene la responsabilidad de promover la privacidad y concienciar a la ciudadanía sobre sus derechos respecto a la protección de datos, y en relación con las nuevas competencias asumidas. Esto implica trabajar en la alfabetización en IA de las administraciones, de sus encargados del tratamiento y de la ciudadanía, para garantizar, en los términos del Estatut, "que estas tecnologías se pongan al servicio de las personas y no afecten negativamente a sus derechos."