La Unión Europea, decidida a regular la Inteligencia Artificial
"¿Cómo se debe regular la inteligencia artificial?”
Durante años, tras cada nuevo avance en Inteligencia Artificial (IA) que asombraba al mundo o después de que una noticia nos pusiera sobre alerta de los riesgos que un mal uso de esta tecnología puede tener, surgía una pregunta: “¿cómo se debe regular la inteligencia artificial?”
Hasta ahora la respuesta más común a esta pregunta por parte de los organismos internacionales y las autoridades nacionales había sido la publicación de decálogos no vinculantes cuya observancia promete garantizar resultados adecuados, confiables o éticos.
Sin embargo, el pasado 21 de abril, la Comisión Europea decidió apartarse de esta dinámica y proponer lo que se publicita como “la primera legislación de Inteligencia Artificial (IA) del mundo”. La Comisión busca convertirse así en referente mundial en la regulación de esta tecnología como ha sucedido con la protección de la privacidad desde la publicación del Reglamento General de Protección de Datos (RGPD) en 2015.
No obstante, antes de lograr este hito, esta propuesta de Reglamento debe ser negociada por el resto de autoridades europeas y superar el complejo proceso legislativo de la Unión Europea que puede dilatar su aprobación definitiva meses e incluso años y retrasar algunos años más su completa aplicación, que no se espera que se produzca antes de 2024.
¿En qué consiste esta propuesta de Reglamento?
El Reglamento propuesto se enfoca en los usos de inteligencia artificial que es muy probable que perjudiquen física o psicológicamente a las personas físicas y otros dos tipos de uso que no son excluyentes entre sí: los que se consideran de alto riesgo y los que implican interacción con ciudadanos.
El primero de ellos, el desarrollo y uso de sistemas de IA que tienen una alta probabilidad de perjudicar física o psicológica a los ciudadanos, queda terminantemente prohibido dentro de la UE. En concreto, si esta propuesta de Reglamento se aprobase con la redacción actual, en la UE no sería legal desarrollar ni usar IA para manipular subliminalmente a personas físicas, clasificar socialmente a los ciudadanos o vigilarlos indiscriminadamente de forma remota.
Dentro de los sistemas de alto riesgo se incluyen aquellos que forman parte de productos de consumo sometidos a normativa de control específica de la UE (vehículos, dispositivos médicos, juguetes, …) y un listado específico de sistemas identificado en un anexo del Reglamento. Entre estos últimos se incluyen los sistemas utilizados para decidir el acceso a centros de educación y formación profesional; evaluar a estudiantes; contratar, despedir o promocionar a empleados; evaluar la solvencia o determinar la calificación crediticia de los ciudadanos.
La propuesta de Reglamento exige que se informe a los ciudadanos cuando estén interactuando con un agente automatizado
Estos sistemas pueden ser desarrollados y usados en la UE, pero deben cumplir con requisitos adicionales como haber superado un análisis de riesgos, contar con supervisión humana o demostrar un nivel de exactitud y seguridad suficiente. Además, antes de lanzarse al mercado, estos sistemas deberán superar un análisis de conformidad específico y ser registrados en una base de datos pública.
En cuanto a los sistemas que interactúan con personas físicas, la propuesta de Reglamento exige que se informe a los ciudadanos cuando estén interactuando con un agente automatizado (un chatbot, por ejemplo), sobre el funcionamiento de los sistemas de reconocimiento de emociones o de categorización biométrica que afecte a las personas físicas o sobre la manipulación de contenido audiovisual al que tengan acceso.
Al resto de sistemas que incorporen IA pero no formen parte de ninguna de las 3 categorías anteriores no se les impone ningún requisito adicional.
¿Es razonable la propuesta de la Comisión Europea?
Aunque el Reglamento propuesto busca objetivos loables como impedir la discriminación, la manipulación o la vigilancia indiscriminada; la Historia ya ha demostrado que estas actividades también son posibles sin necesidad de recurrir a esta tecnología.
Por tanto, cabría preguntarse si el enfoque de esta propuesta es adecuado o si, por el contrario, tendría más sentido actualizar las normas que ya regulan estos comportamientos no deseados para asegurar que siguen siendo efectivas en el mundo actual. Aunque una actualización del marco normativo actual parece a priori más razonable, tras varios años de análisis la Comisión ha optado por una intervención específica, por lo que la futura publicación de un Reglamento Europeo de IA parece inevitable.
Asumiendo esta realidad, el Reglamento propuesto sigue en general una aproximación razonable a esta materia, en especial su enfoque basado en riesgos, que restringe su ámbito de aplicación a unos pocos casos de uso.
No obstante, existe el riesgo de que finalmente los sistemas sujetos a esta regulación sean más de los que sería deseable, pues la definición de IA y de los casos de uso afectados que se hace en el texto es bastante amplia e incluye técnicas como los sistemas expertos, las estrategias estadísticas o la estimación bayesiana que son ampliamente utilizadas desde hace años y no presentan los mismos riesgos potenciales que otras técnicas más complejas como el aprendizaje no supervisado.
En cuanto a los requisitos adicionales que deben cumplir los sistemas de IA, es fundamental que estos sean realistas, claros y reflejen tanto el estado actual de desarrollo de esta tecnología como otros requisitos regulatorios ya aplicables. Así, por ejemplo, carece de sentido exigir a los sistemas de alto riesgo que usen fuentes de datos completas y sin errores o ignorar principios como el de minimización de datos ya impuesto por el RGPD.
Por otro lado, estos requisitos deberían ser suficientemente flexibles como para permitir a los sujetos obligados implementar las medidas que mejor se ajusten a las peculiaridades de su negocio y organización.
Igualmente, sería conveniente que la versión definitiva del Reglamento definiera algunos términos que son claves para diseñar la estrategia de cumplimiento, como “información de salida” - output -, “sesgo” o “persona física”.
Finalmente, es importante que la supervisión de este Reglamento, que actualmente prevé la designación de varias autoridades competentes en cada uno de los estados miembros cuente con mecanismos de armonización que garanticen una aplicación homogénea de las normas independientemente de la compañía que use o desarrolle el sistema de IA. Por ejemplo, en el caso de los sistemas de evaluación de la solvencia de personas físicas, las entidades no bancarias deberían estar sujetas a la misma supervisión que las bancarias.
A estos efectos, el Reglamento prevé la creación de un órgano asesor, el Consejo Europeo de IA, que procurará la coordinación y la armonización de prácticas supervisoras entre las distintas autoridades competentes, pero cuyas actividades no son vinculantes, por lo que sería deseable reforzar su papel.