Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Reglamento de Inteligencia Artificial

Uno no debería empezar la casa por el tejado, pero déjenme que les adelante, a modo de conclusión, que el Reglamento de Inteligencia Artificial aprobado por el Parlamento Europeo, el pasado día 13 de marzo de 2024, no me convence. Dejo enlazado aquí el texto aprobado con sus anexos.

La Ley de Inteligencia Artificial, que es como se quiere dar a conocer la norma, contó con un amplio respaldo entre los eurodiputados (523 votos a favor, 46 en contra y 49 abstenciones).

La norma establece un marco jurídico uniforme en la Unión para el desarrollo, la comercialización y la utilización de la inteligencia artificial a través de un enfoque basado en el riesgo que pueda suponer para los derechos fundamentales de los interesados.

Resumir en un artículo una norma tan compleja y detallada como es el Reglamento de Inteligencia Artificial es imposible. De modo que, intentaré trazar las líneas generales para facilitarles la lectura de la norma, destacando aquellos aspectos que, en la práctica, puedan resultar más relevantes.

Ámbito de aplicación

El Reglamento plantea en el título I un ámbito de aplicación subjetivo amplio, que comprende a todos los actores de la cadena de valor de la inteligencia artificial (importadores, distribuidores, usuarios y terceros), alcanzando tanto a aquellos sistemas ubicados en la Unión Europea como en un tercer país, siempre que desplieguen sus efectos en la Unión.

El Reglamento no es aplicable a las autoridades públicas de terceros países ni a las organizaciones internacionales cuando actúen en el marco de acuerdos internacionales celebrados a escala nacional o europea con fines de cooperación policial y judicial con la Unión o sus Estados miembros. Tampoco se aplica a los sistemas desarrollados o utilizados exclusivamente con fines militares. También quedan excluidos los usos no profesionales. 

El objetivo y la prioridad es lograr sistemas de inteligencia artificial confiables, seguros, transparentes, trazables y no discriminatorios, asegurando un nivel elevado de protección de la salud, la seguridad y los derechos humanos, así como la libre circulación transfronteriza de bienes y servicios basados en la inteligencia artificial.

El título I concluye con una serie de definiciones que resultan muy útiles cuando se está familiarizado con la terminología empleada en torno a la inteligencia artificial. 

Prohibiciones de uso 

El Reglamento establece una regulación basada en diferentes niveles de riesgo, llegando a establecer una serie de prohibiciones en el título II, que afectan a aquellos sistemas que desplieguen «técnicas subliminales» con el objetivo de alterar, de manera sustancial, el comportamiento de una persona, de un modo que provoque o sea probable que provoque perjuicios físicos o psicológicos a esa persona o a otra. Términos como «de manera sustancial» son demasiado ambiguos y pueden causar conflictos, en la práctica.

Se prohíben los sistemas de inteligencia artificial que exploten o aprovechen vulnerabilidades de un grupo específico de personas por su edad o discapacidad física o mental, de forma que distorsionen su comportamiento, siendo probable que se le causen perjuicios físicos o psicológicos a esa persona o a otra.

Igualmente, queda prohibido el uso de sistemas de inteligencia artificial por parte de las autoridades públicas para evaluar o clasificar la fiabilidad de personas físicas durante un período determinado de tiempo, atendiendo a su conducta social, a sus características personales, a su personalidad conocida o predicha, de forma que la clasificación social resultante pueda provocar un trato perjudicial o desfavorable, así como injustificado o desproporcionado con respecto a su comportamiento social o la gravedad de este.

Finalmente, se prohíbe el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público, salvo en los siguientes casos:

  1. Búsqueda de víctimas concretas de un delito, incluidos menores desaparecidos.
  2. Prevención de amenazas específicas, importantes e inminentes para la vida o la seguridad física de las personas.
  3. Prevención de ataques terroristas.
  4. Persecución de alguno de los delitos mencionados en el artículo 2, apartado 2, de la Decisión Marco 2002/584/JAI del Consejo, para el que la normativa en vigor en el Estado miembro implicado imponga una pena o una medida de seguridad privativas de libertad cuya duración máxima sea, al menos, de tres años.

En cualquier caso, dichas excepciones quedan supeditadas a la obtención de una autorización judicial o administrativa previa, salvo urgencias debidamente justificadas, junto con una valoración previa de la probabilidad, gravedad y magnitud del perjuicio que se produciría de no utilizarse el sistema, así como de las consecuencias que tendría para los derechos y las libertades de las personas implicadas en caso de utilizarse, esto es, se obliga a realizar, con carácter previo, una evaluación de riesgos. Además, se respetarán las limitaciones temporales, geográficas y personales.

En definitiva, se prohíbe la captura indiscriminada de imágenes faciales y las grabaciones de cámaras de vigilancia para crear bases de datos de reconocimiento facial, si bien vayan acostumbrándose a ver infinidad de videocámaras dotadas de sistemas de reconocimiento facial por las calles, pues las FCSE las pueden usar en los supuestos excepcionales que hemos visto (búsqueda de víctimas concretas de un delito, prevención de amenazas específicas y persecución de determinados delitos cuando la pena sea de, al menos, tres años de privación de libertad). 

Niveles de riesgos

Al margen de las prohibiciones de uso, el Reglamento establece diferentes niveles de riesgo: a) riesgo inaceptable, que se corresponden con las prohibiciones de uso; b) riesgo alto y c) riesgo distinto al nivel alto.

El título III se refiere a los sistemas de alto riesgo, distinguiendo dos categorías:

  1. Sistemas de inteligencia artificial diseñados para utilizarse como componentes de seguridad en los productos contemplados en la legislación de armonización de la Unión que se indican en el Anexo II del Reglamento. Estos sistemas deben someterse a una evaluación previa por parte del organismo independiente para su introducción en el mercado o puesta en servicio.
  2. Sistemas con implicaciones relacionadas, principalmente, con los derechos fundamentales, la salud o la seguridad, enumerados en el Anexo III. Entre estos se encuentran: infraestructuras críticas (suministros de agua, gas, calefacción y electricidad y tráfico rodado); educación y formación profesional; gestión del empleo y acceso al autoempleo; servicios públicos y privados esenciales (sanidad o banca); gestión de la migración, asilo y control fronterizo; administración de justicia y procesos democráticos.

Los proveedores de sistemas de alto riesgo deberán evaluar y reducir los riesgos a los que están expuestos, manteniendo registros de uso. Serán transparentes y precisos y permitirán la supervisión humana durante su uso para minimizar los riesgos.

Los sistemas de riesgo distinto al nivel alto no están sometidos a las exigencias documentales de dicho nivel. Tampoco a la supervisión antes de su puesta en uso. Veamos algunos ejemplos:

  • Algoritmos de recomendación, como los que se utilizan en las plataformas de streaming para sugerir contenidos en base a las preferencias anteriores del usuario.
  • Sistemas automatizados de atención al cliente (chatbots) para responder a preguntas frecuentes o guiar al usuario en sus reclamaciones.
  • Filtros antispam que ayudan a filtrar los correos electrónicos no deseados en la bandeja de entrada.
  • Videojuegos que utilizan la inteligencia artificial para ajustar la dificultad del juego al dominio del usuario. 
  • Aplicaciones de fitness que proporcionan recomendaciones personalizadas en base a los datos de salud del usuario.
  • Sistemas de navegación GPS que utilizan la inteligencia artificial para optimizar rutas y predecir tiempos de llegada.
  • Asistentes virtuales, como Alexa (Amazon), Siri (Apple), Google Assistant (Google) y Bixby (Samsung).

En el capítulo 2 se establecen los requisitos que deben cumplir los sistemas de alto riesgo, en lo que respecta a los datos y su gobernanza, la documentación técnica, los registros, la transparencia y comunicación de información a los usuarios, la vigilancia humana y la precisión, solidez y ciberseguridad.

Obligaciones a los participantes en la cadena de valor de la IA

En el capítulo 3 se establecen las obligaciones impuestas a los proveedores de sistemas de inteligencia artificial de alto riesgo (sistema de gestión de la calidad, obligación de elaborar documentación técnica, evaluación de la conformidad, archivos de registro generados automáticamente, medidas correctoras, obligación de información, cooperación con las autoridades competentes, obligaciones de los fabricantes de productos y representantes autorizados). También se establecen obligaciones para otros participantes de la cadena de valor de la inteligencia artificial (importadores, distribuidores, usuarios y terceros).

En el capítulo 4 se establece el marco para que las autoridades notificantes y organismos notificados participen en los procedimientos de evaluación de la conformidad como terceros independientes.

El capítulo 5 se dedica a las normas, evaluación de la conformidad, certificados y registro de los sistemas de alto riesgo en la base de datos comunitaria. 

Transparencia y medidas de apoyo a la innovación

En el título IV se establecen las obligaciones de transparencia para determinados sistemas de inteligencia artificial, como los sistemas de reconocimiento facial o categorización biométrica. No se aplican dichas obligaciones cuando los sistemas estén autorizados por ley para fines de detección, prevención, investigación o enjuiciamiento de infracciones penales, salvo que estos sistemas estén a disposición del público para denunciar una infracción penal.

Los sistemas de reconocimiento de emociones o de categorización biométrica están permitidos. Ahora bien, las personas expuestas deberán estar informadas de su funcionamiento, salvo la categorización biométrica por las FCSE para fines de detección, prevención e investigación de infracciones penales.

Los usuarios de sistemas que generen o manipulen la imagen, sonido o vídeo y que puedan inducir erróneamente a una persona a pensar que son auténticos o verídicos harán público que el contenido ha sido generado de forma artificial o manipulada. Los llamados «deepfake» están causando muchos trastornos, pues resulta muy difícil, cuando no imposible, distinguirlos de la realidad. Pensar que el autor va a etiquetar a sus creaciones como «deepfake» cuando las crea para perjudicar a una persona es de ingenuos. Sobre los «deepfake» les hablé, con detalle, en el artículo que dejo enlazado aquí.

El título V se dedica a las medidas de apoyo a la innovación a través de entornos controlados de pruebas (sandbox) que serán diseñados para desarrollar, entrenar, probar y validar sistemas de inteligencia artificial con el soporte y supervisión de los organismos de gobernanza nacionales.

En España, el Real Decreto 817/2023, de 8 de noviembre, tiene como objeto la creación del primer entorno controlado de pruebas. Encontrarán más información haciendo clic aquí.

Gobernanza de la IA

En el título VI se establecen los sistemas de gobernanza nacionales y supranacional.

Como autoridad supranacional se crea el Comité Europeo de Inteligencia Artificial, que estará integrado por las autoridades nacionales de supervisión y el Supervisor Europeo de Protección de Datos. Estará presidido por la Comisión Europea, sin derecho a voto.

En el plano nacional, los Estados miembros tendrán que designar a una autoridad nacional de supervisión. En el caso de España se ha creado la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), de la que les hablé, con detalle, aquí.

El título VII establece la creación de una base de datos para toda la Unión donde figuren los sistemas de alto riesgo independientes con implicaciones, principalmente, para los derechos fundamentales. Dicha base de datos, que gestionará la Comisión, contendrá los datos que faciliten los proveedores de sistemas, los cuales estarán obligados a registrar sus sistemas antes de introducirlos en el mercado o ponerlos en servicio. Dicha base de datos será accesible para el público.

En el título VIII se definen las obligaciones de seguimiento posterior a la comercialización, intercambio de información y vigilancia del mercado por parte de los proveedores de sistemas de inteligencia artificial. 

El título IX regula los «códigos de conducta», cuyo objetivo es fomentar que los proveedores de sistemas que no son de alto riesgo cumplan de manera voluntaria los requisitos que son obligatorios para los sistemas de alto riesgo. Los proveedores de sistemas que no son de alto riesgo podrán crear y aplicar sus propios códigos de conducta. Estos códigos también podrían incluir compromisos voluntarios relativos, por ejemplo, a la sostenibilidad medioambiental, la accesibilidad para las personas con discapacidad, la participación de las partes interesadas en el diseño y el desarrollo de sistemas y la diversidad de los equipos de desarrollo.

El título X hace hincapié en la obligación de las autoridades nacionales competentes y los organismos notificados involucrados de respetar la confidencialidad de la información y los datos obtenidos en el ejercicio de sus funciones. Asimismo, contiene medidas para garantizar la aplicación efectiva del Reglamento mediante la ejecución de sanciones efectivas, proporcionadas y disuasorias en caso de que se incumplan sus disposiciones.

En el título XI se establecen las normas para el ejercicio de las competencias de delegación y de ejecución. El Reglamento faculta a la Comisión para adoptar, cuando corresponda, actos de ejecución que garanticen la aplicación uniforme del Reglamento o actos delegados destinados a actualizar o complementar las listas que figuran en los Anexos I a VII.

Por último, el título XII establece una serie de disposiciones finales, que afectan a la modificación de diversas normas, así como la obligación de la Comisión de evaluar, una vez al año, la necesidad de actualizar el Anexo III. Concluye dicho título con el régimen de entrada en vigor y aplicación del Reglamento.

El texto analizado está pendiente de una última comprobación jurídico-lingüística y su aprobación definitiva se espera antes del final de la legislatura, además la ley también debe ser adoptada formalmente por el Consejo.

La previsión es que sea aprobado en segundo trimestre de 2024, si bien su plena aplicación no se producirá hasta dentro de dos años (2026).

Conclusión

Decía, al inicio, que esta norma no me convence y es que, en unos casos, peca de ser extremadamente rígida, por ejemplo, en el aspecto documental y, en otros, de demasiada flexibilidad, por ejemplo, en lo que a los sistemas de inteligencia artificial que no son de alto riesgo se refiere, que no están exentos de controversias por sesgos inadvertidos o discriminaciones, como los chatbots conversacionales que no reconocen determinados dialectos o acentos menos comunes o los algoritmos de recomendación que pueden favorecer determinado contenido por sesgos en los datos de entrenamiento. 

Asimismo, el sistema de autocontrol previsto, a través de los códigos de conducta, para los sistemas distintos a los de alto riesgo, tampoco me convence, pues la adhesión es voluntaria. El marco ético de los códigos de conducta, a falta de otros controles más efectivos, debería ser obligatorio y vinculante.

Estados Unidos y China nos llevan años de adelanto, en lo que a la inversión en la inteligencia artificial se refiere. Europa está muy lejos de ambos países. Esperemos que el Reglamento no desincentive a los inversores privados, porque nos jugamos mucho.

 

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).