Modelo de APDCAT para evaluación de derechos fundamentales en IA

El pasado 28 de enero, con motivo del Día Internacional de la Protección de Datos, la Autoridad Catalana de Protección de Datos (“APDCAT”) presentó en el Parlament de Catalunya un modelo pionero para realizar una Evaluación de Impacto sobre los Derechos Fundamentales (“EIDF”) en materia de inteligencia artificial.

El objetivo es ofrecer una herramienta práctica a aquellas entidades que utilicen inteligencia artificial (“IA”) en el marco de sus actividades y deban realizar una EIDF en virtud del Reglamento (UE) 2024/1689 de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (“Reglamento de IA”). La APDCAT ha presentado una iniciativa basada en la implementación concreta de una metodología de EIDF aplicada a casos reales y fundamentada en una interacción activa con entidades que aplican soluciones de IA en el marco de sus actividades.

La APDCAT destaca que, conforme al enfoque basado en el riesgo adoptado por el legislador europeo, la evaluación del impacto de la IA en los derechos fundamentales se incluye en todos los procedimientos de gestión de riesgos que prevé el Reglamento de IA: desde la evaluación de la conformidad (artículo 43) hasta la evaluación de impacto específica sobre los derechos fundamentales (artículo 27), incluida una disposición específica para los modelos de IA de uso general con riesgo sistémico (artículo 52.2).

El modelo de la APDCAT propone una metodología basada en tres fases: (i) una fase de planificación y determinación del alcance, centrada en las principales características del sistema de IA y en el contexto en el que se situará; (ii) una fase de recopilación de datos y análisis de riesgos, en la que se identifican los riesgos potenciales y se evalúa su posible impacto en los derechos fundamentales; y (iii) una tercera fase de gestión de riesgos, en la que se adoptan, prueban y supervisan medidas adecuadas para prevenir o mitigar estos riesgos y comprobar su efectividad.

Fase de Planificación y Determinación del Alcance

La primera fase del modelo de EIDF propuesto por la APDCAT se centra en la planificación y determinación del alcance. Esta fase comienza con un análisis detallado de las necesidades y una descripción exhaustiva de las soluciones de IA que se van a desarrollar. En esta fase se examinan las principales características del sistema de IA y el contexto en el que se implementará. Para ello, se utiliza un cuestionario de planificación y alcance que incluye tanto preguntas genéricas como específicas, con el objetivo de identificar preliminarmente los derechos fundamentales que podrían verse afectados y las áreas que requieren protección. Este cuestionario aborda aspectos como la descripción del sistema de IA, el contexto de derechos fundamentales, los controles ya implementados y la intervención de las partes interesadas.

Fase de Recopilación de Datos y Análisis de Riesgos

La segunda fase consiste en la recopilación de datos y el análisis de riesgos. En esta etapa, se identifican los riesgos potenciales y se evalúa su posible impacto en los derechos fundamentales. Para ello, se utilizan variables como la probabilidad de que se produzca un impacto adverso y la gravedad de dicho impacto. Estas variables se combinan para crear un índice de riesgo para cada derecho potencialmente afectado, ya que se considera fundamental estimar el nivel de impacto para cada derecho o libertad de forma individualizada para definir las medidas de prevención y mitigación adecuadas.

Fase de Gestión de Riesgos

La tercera fase se centra en la gestión de riesgos. Una vez identificados y evaluados los riesgos, se adoptan, prueban y supervisan medidas adecuadas para prevenir o mitigar dichos riesgos y comprobar su efectividad. Esta fase consta de tres etapas: (i) la identificación de medidas adecuadas para prevenir o mitigar el riesgo; (ii) la implementación de dichas medidas; y (iii) el seguimiento del funcionamiento del sistema de IA.

El seguimiento es esencial para revisar la evaluación y las medidas adoptadas, especialmente en un entorno cambiante. En este sentido, la APDCAT recomienda que el análisis sea periódico para asegurar que no se agravan los riesgos o aparecen nuevos, pues la gestión de riesgos es un proceso iterativo que se repite a lo largo del ciclo de vida del sistema de IA, lo que garantiza un enfoque continuo y dinámico en la protección de los derechos fundamentales.

Asimismo, la APDCAT muestra ejemplos de aplicación práctica de esta metodología a distintos supuestos reales de uso de sistemas de IA en ámbitos como la educación, la sanidad o los recursos humanos.

Cabe recordar que a partir del 2 de agosto de 2026 será aplicable el artículo 27 del Reglamento de IA, por el que se impone a los responsables del despliegue de ciertos sistemas de IA de alto riesgo la obligación de realizar EIDF antes de utilizar dichos sistemas. Los sujetos obligados son:

1. Los organismos de Derecho Público u operadores privados que presten servicios públicos, que utilicen sistemas de IA considerados como de alto riesgo conforme al artículo 6, apartado 2 del RIA (es decir, aquellos sistemas de IA enumerados en el Anexo III del Reglamento de IA).
2. Los operadores privados que utilicen sistemas de IA considerados de alto riesgo por virtud del Anexo III, punto 5, letras b) y c), esto es, sistemas de IA destinados a realizar evaluaciones de solvencia y clasificación crediticia de personas físicas, o sistemas de IA destinados a evaluar riesgos y establecer políticas de precios en seguros de vida y salud.

Esta evaluación de impacto deberá realizarse antes de utilizar el sistema de inteligencia artificial y deberá notificarse a la autoridad de vigilancia del mercado establecida en el territorio correspondiente.

Para obtener más información sobre el Reglamento de IA, le invitamos a consultar nuestro Legal Flash sobre aspectos clave del Reglamento de IA y nuestra guía práctica para las empresas.

Autores: Ramon Baradat y Mireia Sala, con la colaboración de Manel Pérez