El Consejo de Transparencia y Protección de Datos de Andalucía ha lanzado una nueva herramienta metodológica destinada a facilitar a las administraciones públicas de la comunidad la implementación de sistemas de inteligencia artificial (IA) de manera responsable y en conformidad con la legislación sobre protección de datos. Esta iniciativa surge como respuesta a la necesidad identificada a través de la experiencia de supervisión de la autoridad de control, según se recoge en el Plan de Control e Inspección en el Sector Público Andaluz 2023-2025.
La adopción de sistemas de IA en las administraciones avanza de forma constante, expandiéndose a diferentes sectores y afectando a un número creciente de ciudadanos. En este contexto, donde la protección de datos se convierte en un asunto de gran complejidad, es esencial integrar elementos normativos, tecnológicos y organizativos para ofrecer un marco que asegure una innovación responsable y con garantías legales.
El Consejo ha detectado varios desafíos en la implementación de soluciones de IA que implican el tratamiento de datos personales. Entre estos se encuentran la necesidad de fortalecer el conocimiento y los recursos disponibles en las administraciones, sobre todo en aquellas más pequeñas; mejorar la metodología de análisis de riesgos y las Evaluaciones de Impacto en la Protección de Datos (EIPD); así como una evaluación más rigurosa sobre la necesidad y proporcionalidad de los tratamientos de datos y la inclusión efectiva del Delegado de Protección de Datos (DPD) desde el inicio de los proyectos.
La nueva metodología actúa como una guía que acompaña a los responsables públicos desde la fase inicial del proyecto hasta su implementación. Esta herramienta se adapta a la naturaleza y complejidad de cada iniciativa, estableciendo distintos niveles de exigencia. Por ejemplo, el control de un sistema sencillo de gestión documental será diferente al de uno que decida sobre la adaptación curricular de estudiantes o que busque identificar a personas mayores en riesgo de soledad.
El proceso comienza con una serie de preguntas que permiten identificar el tipo de proyecto, los datos que procesará y los grupos afectados. Con esta información, la herramienta determina automáticamente los pasos a seguir y el nivel de verificación necesario, que puede variar desde 40 controles para proyectos básicos hasta 161 para sistemas más complejos.
Un aspecto destacado de esta herramienta es su relación con los procesos de licitación pública. La protección de datos debe ser un componente integral desde el inicio del proyecto, y no una carga que se añade al final. Así, la metodología ayuda a definir qué requisitos de protección de datos deben incluirse en los pliegos de contratación, supervisando el cumplimiento de las medidas necesarias a lo largo del desarrollo del proyecto.
Si bien el objetivo principal es facilitar el cumplimiento de la normativa sobre protección de datos, la metodología también promueve un enfoque de innovación responsable. Al exigir una reflexión sistemática sobre riesgos y medidas de protección, se contribuye a la creación de sistemas de IA más sólidos y confiables.
La herramienta se aplica de distintas maneras según el tipo de proyecto. En el caso de iniciativas de baja complejidad, como la implementación de un chatbot para resolver consultas ciudadanas, el proceso puede ser relativamente sencillo, requiriendo verificar solo un conjunto básico de medidas de protección. En contraste, un sistema de IA destinado a evaluar solicitudes de ayudas sociales, que maneje datos sensibles y tome decisiones con un impacto significativo en los ciudadanos, requerirá seguir un proceso más riguroso que incluya la evaluación de sesgos algorítmicos y mecanismos de supervisión humana.
El Consejo de Transparencia ha comenzado a aplicar aspectos de esta herramienta en sus labores de inspección, estableciendo así un referente que guiará la elaboración de futuros planes de control. La metodología está diseñada para asegurar que se cumplen todas las exigencias necesarias en cuanto a las evaluaciones de impacto en protección de datos, simplificando la redacción manual y garantizando la coherencia de toda la documentación.
Con esta iniciativa, se busca que la herramienta se convierta en el estándar para el desarrollo responsable de la IA en el ámbito de la protección de datos en el sector público andaluz, permitiendo que las administraciones aprovechen al máximo el potencial de la inteligencia artificial, mientras garantizan los derechos de los ciudadanos de forma efectiva.