El progrés dels sistemes d’intel·ligència artificial es fonamenta en les dades, ja que constitueixen l’element essencial que en permet l’operativitat i el correcte funcionament. Tanmateix, què passa quan aquestes dades són personals? Està la normativa preparada per protegir-nos davant de sistemes que aprenen, prediuen i infereixen?
En aquest sentit, hem de ser conscients de quines dades i en quin moment del seu desenvolupament la IA les utilitza. Avui dia, qualsevol sistema d’IA necessita grans volums de dades per entrenar-se i operar. L’ús d’aquesta informació de caràcter personal exigeix garantir-ne el tractament conforme als principis del Reglament General de Protecció de Dades (RGPD), entre els quals destaquen la transparència, la minimització, el consentiment informat i la protecció davant de decisions automatitzades.
El problema rau en què el RGPD fou aprovat l’any 2016, en un moment en què la intel·ligència artificial amb prou feines començava a despuntar. Quin és el resultat? El RGPD no va ser dissenyat pensant en la IA. D’altra banda, el nou Reglament d’Intel·ligència Artificial (RIA), que es centra en regular els usos d’alt risc d’aquesta tecnologia, tampoc no cobreix íntegrament el tractament de dades personals.
En aquest context, davant la manca de connexió normativa que impedeix una resposta cohesionada als reptes que planteja l’ús de dades personals en sistemes d’IA, els tribunals hauran d’interpretar ambdues normatives connectant-les entre si i arribant a una interpretació conjunta.
Què passa amb les administracions públiques? Les administracions públiques estan incorporant la IA en els seus processos per «classificar» la ciutadania segons un possible nivell de vulnerabilitat, detectar fraus, gestionar ajudes, o fins i tot predir comportaments tributaris. Això pot aportar una gran eficiència a la gestió administrativa diària, però també planteja una sèrie de riscos molt reals.
A tall d’exemple, en una concessió d’ajudes socials, durant la fase de disseny o entrenament d’un sistema d’IA (que precedeix la fase de desplegament), l’algoritme va aprendre que aquells que no havien sol·licitat ajudes prèviament «no les necessitaven». El resultat: persones en situació de vulnerabilitat, però sense «historial» de peticions, en quedaren excloses. Davant d’aquesta situació es pot plantejar: on és l’error?
La clau es troba en la inferència. I aquí neix el biaix. Quines implicacions tenen les inferències sobre els drets de la ciutadania?
La inferència és el resultat o conclusió a què arriba el sistema d’IA; el biaix, la distorsió que la desvirtua
Inferències vs. Biaixos
Una inferència és una conclusió que genera el sistema: per exemple, «aquesta persona no necessita intervenció urgent».
Un biaix, en canvi, és quan aquesta inferència està afectada injustament per dades incompletes, errònies o discriminatòries. Com quan s’assumeix que una persona jove sense fills no pot estar en risc social, ignorant que potser dorm al carrer. La IA no és neutral: aprèn el que li ensenyem. I moltes vegades, li ensenyem els nostres propis prejudicis.
Dues fases, dos nivells de risc…
En aquest sentit, el tractament de dades personals en sistemes d’IA es pot dividir en dos moments clau:
- Fase de disseny, és a dir, quan el model s’entrena. En aquesta fase es generen patrons, regles… a partir de dades. És on més perillós pot ser el biaix, ja que és quan es «modela» el comportament del sistema.
- Fase d’implementació, on el sistema ja opera amb dades reals. En aquest cas, les inferències afecten directament les persones i, en conseqüència, les conseqüències són immediates: es denega una ajuda, s’intensifica un control, …
En tots dos casos, l’ús de dades personals ha de complir estrictament amb el RGPD, que implica obligacions com el deure d’informar, la necessitat de consentiment, l’avaluació d’impacte, i sobretot, la intervenció humana en decisions importants.
I si no es compleixen aquestes obligacions? Aquí entra en joc l’article 22 del RGPD, que regula el risc d’automatització sense control. Aquest precepte reconeix que qualsevol persona té dret a no ser objecte de decisions basades únicament en el tractament automatitzat de dades, inclosa l’elaboració de perfils, que produeixin efectes jurídics o l’afectin significativament.
Cap a un nou dret digital?
En aquest context que venim analitzant, el marc normatiu ve del legislador europeu (RIA i RGPD) i, malgrat que tots dos textos legislatius operen en plans diferents, l’observança conjunta d’ambdós reglaments resulta essencial en el disseny de qualsevol entorn d’IA i encara més, en el seu desplegament i desenvolupament futur.
En els darrers mesos hem anat observant com el Tribunal de Justícia de la Unió Europea (TJUE) s’ha anat pronunciant en diferents casos, encarregant-se així d’interpretar i connectar la normativa d’IA amb la de protecció de dades.
Es comença a albirar, per tant, un incipient nou dret a entendre com i per què es prenen les decisions automatitzades que afecten la nostra vida. Un dret derivat de l’article 15 del RGPD (dret d’accés), però amb un enfocament més ambiciós: garantir que puguem exercir la resta dels nostres drets perquè entenem com funciona el sistema.
En aquest sentit, el dret d’accés en matèria de protecció de dades (article 15 del RGPD) és una garantia per a les persones, essent exercit amb freqüència tant davant les autoritats de control com davant els tribunals i essent, a més, una obligació dels responsables del tractament de dades personals. Resulta d’especial interès la recent Sentència del Tribunal de Justícia de la Unió Europea de 27 de febrer de 2025 (Rec. c-203/22), on el TJUE interpreta l’esmentat article 15.1.h) en el sentit que, quan una persona sigui objecte d’una decisió automatitzada —com l’elaboració de perfils segons l’article 22.1 del RGPD—, té dret a rebre del responsable del tractament una explicació clara, accessible i comprensible sobre el procediment i els principis aplicats en aquest tractament automatitzat de les seves dades personals.
Aquesta aplicació del dret a l’explicació en matèria de protecció de dades es centra en l’obligació del responsable del tractament de donar informació concisa i intel·ligible a l’interessat, garantint així la possibilitat d’aquest d’exercir altres drets. La seva aplicació als sistemes i tecnologies d’IA ens permet assistir a un reforç de la transparència i a la rendició de comptes en aquests casos d’automatització o ús d’algoritmes.
Aquests algoritmes són la base de la tecnologia d’IA i resulta fonamental enfortir la transparència del seu ús. Tanmateix, a causa de la pròpia naturalesa d’aquesta tecnologia, en moltes ocasions resulta difícil mostrar als usuaris la manera com s’ha arribat a prendre una determinada decisió. Sovint, aquests sistemes operen com a «caixes negres», la lògica interna de les quals és difícil d’interpretar. No obstant això, és important poder identificar el procés que ha portat a una decisió, especialment quan aquesta afecta els drets de les persones.
La transparència és un principi clau; assolir-la davant decisions preses per sistemes d’IA representa un gran repte
Es pot ampliar la informació sobre aquest tema accedint a la Secció d’Administració Electrònica de la Plataforma Corporativa d’esPublico: un espai de contingut especialitzat dedicat a facilitar l’adaptació de les entitats locals a la seva actuació per mitjans electrònics, així com a donar suport al procés de transformació digital.
La Secció ofereix nombrosos recursos explicatius, entre altres, guies didàctiques, infografies interactives, videotutorials, diccionari de terminologia digital, etc.
Es pot accedir a la Secció d’Administració Electrònica d’esPublico, prement aquí.
