Obligacions de DPIA de l'AEPD per a IA
L'AEPD ha publicat orientacions clares que requereixen Avaluacions d'Impacte sobre la Protecció de Dades (DPIA) per a tots els sistemes de IA que:
- Processen dades sensibles (Article 9 GDPR)
- Utilitzen algoritmes per a decisions automàtiques sobre persones
- Processen dades a gran escala
- Utilitzen noves tecnologies, inclosa la IA
Requisits de DPIA:
- Descripció del tractament: Documentació completa de com l'IA processa dades
- Avaluació de legalitat: Demostrar base legal sota Articles 6 i 9 GDPR
- Anàlisi de risc: Identificar riscos per als drets de les persones
- Mesures de mitigació: Descriure controls tècnics i organitzacionals
- Registre de decisió: Mantenir constància de l'acceptabilitat del tractament
L'AEPD espera que les organitzacions mantinguin registres permanents de DPIA per a auditoria.
Casos d'Ús: Conformitat de Ferramentes de IA Empresarials
Les organitzacions que utilitzen IA per a:
Anàlisi de RH: DPIA obligatori si es prenen decisions automàtiques sobre contractació Servei al Client: DPIA obligatori si s'utilitza IA per processar dades de clients Anàlisi de Frau: DPIA obligatori per a sistemes que prenen decisions automàtiques
Les autoritats han imposat multes de fins a 10M€ per manca de DPIA en sistemes d'IA.