La inteligencia artificial, a raya en la UE

Por Maitane Valdecantos. Abogada. Socia en Audens

@maivaldeflores

La Inteligencia Artificial (en adelante IA) es una tecnología que, mediante la mejora de la predicción o la optimización de recursos, puede traer grandes beneficios, tanto económicos como sociales, en sectores de lo más diversos: finanzas, transporte, sector público o medio ambiente. Pero también puede plantear riesgos y consecuencias negativas para las personas y para la sociedad.

Por ello, la Unión Europea pretende preservar el liderazgo tecnológico, asegurando los beneficios de las nuevas tecnologías desarrolladas pero siempre bajo los valores, principios y derechos fundamentales de la Unión.

Así, el pasado 21 de abril, la Comisión planteó la propuesta de marco normativo sobre IA con una serie de objetivos específicos: garantizar que los sistemas de IA comercializados y utilizados en el mercado de la UE sean seguros y respeten los derechos fundamentales y valores de la Unión; garantizar la seguridad jurídica para facilitar la inversión y la innovación en IA; mejorar la gobernanza y la aplicación efectiva de la legislación vigente sobre derechos y requisitos de seguridad aplicables a los sistemas de IA; facilitar el desarrollo de un mercado único para aplicaciones de IA legales, seguras y confiables y prevenir la fragmentación del mercado, motivo por el cual se ha elegido el reglamento como instrumento legal.

En cuanto al contenido de la propuesta, se establecen normas armonizadas para el desarrollo, comercialización y uso de sistemas de IA en la Unión siguiendo un enfoque proporcionado basado en el riesgo. Estas normas se aplicarán a través de un sistema de gobernanza a nivel de los estados miembros, sustentado en estructuras ya existentes, y de un mecanismo de cooperación a nivel de la Unión con el establecimiento de una Junta Europea de IA.

Además, se vincula la promoción de la innovación impulsada por la IA a la Ley de Gobernanza de Datos, la Directiva de Datos Abiertos y otras iniciativas bajo la estrategia de la UE para los datos, que establecerán mecanismos y servicios confiables para la reutilización, intercambio y puesta en común, esenciales para el desarrollo de modelos de IA basados en datos de alta calidad.

La propuesta comienza con una serie de aclaraciones interpretativas de conceptos entre las que se encuentra la relativa a qué podemos entender por “sistema de IA”, que lo define como un software que se desarrollado con una o varias técnicas (que especifica en su anexo I) y que “puede, para un conjunto dado de objetivos definidos por humanos, generar resultados como contenido, predicciones, recomendaciones o decisiones que influyen en los entornos con los que interactúan”.

El texto prohíbe una serie de prácticas como la comercialización, puesta en servicio o uso de un sistema IA que despliegue técnicas subliminales capaces de distorsionar el comportamiento de una persona que le cause o pueda causarle o a un tercero un daño físico o psicológico; o de un sistema IA que explote cualquiera de las vulnerabilidades de un grupo de personas debido a su edad o  discapacidad, con el fin de distorsionar el comportamiento de una persona perteneciente a ese grupo de una manera que cause o pueda causar, a esa persona u otra, daño físico o psicológico; o de sistemas de IA por parte de las autoridades públicas, o en su nombre, para la evaluación o clasificación de la confiabilidad de las personas físicas en función de su comportamiento social o personal y que, como consecuencia, derive en un trato perjudicial o desfavorable en contextos sociales que no guarden relación con los contextos en los que los datos se generaron o recopilaron originalmente o que dicho trato sea injustificado o desproporcionado con respecto a su comportamiento social o su gravedad.

También se prohíbe el uso de sistemas de identificación biométrica remota “en tiempo real” en espacios de acceso público con el propósito de hacer cumplir la ley, con algunas excepciones como la búsqueda selectiva de posibles víctimas específicas de delitos, incluidos los niños desaparecidos, o la prevención de un ataque terrorista.

Por otro lado, se especifica qué se considerarán sistemas de alto riesgo y se establece para ellos la obligación de implementar, documentar y mantener un método de gestión de riesgos. Este consistirá en un proceso continuo que identificará y analizará los riesgos conocidos y previsibles, estimará y evaluará los riesgos que puedan surgir y adoptará  medidas adecuadas de gestión de dichos riesgos.

La propuesta tampoco se olvida de la necesidad de garantizar la transparencia para permitir a los usuarios interpretar los resultados del sistema y usarlo de manera adecuada y exige que, durante el periodo de uso de los sistemas de IA de alto riesgo, estos puedan ser supervisados por personas físicas, con el objetivo de prevenir o minimizar los riesgos para la salud, la seguridad o los derechos fundamentales.

Asimismo, establece obligaciones para los proveedores de sistemas de AI de alto riesgo. Entre otras, la de llevar a cabo una evaluación de conformidad, para posteriormente colocar el marcado CE, o la de asegurarse de que los sistemas de IA destinados a interactuar con personas físicas estén diseñados y desarrollados de tal manera que éstas estén informadas de que están interactuando con un sistema de IA, a menos que esto sea obvio por las circunstancias y el contexto de uso. Esta obligación no se aplicará a los sistemas de IA autorizados por la ley para detectar, prevenir, investigar y perseguir delitos, a menos que esos sistemas estén disponibles para que el público pueda denunciar un delito.

En cuanto a los usuarios, deberán usar el sistema en concordancia a las instrucciones de uso, asegurarse de que los datos de entrada sean relevantes en vista del propósito previsto del sistema de IA de alto riesgo y cumplir con su obligación de realizar una evaluación de impacto de la protección de datos, entre otras.

Por otro lado, la Propuesta de Reglamento obliga a los estados miembros a designar una autoridad de notificación, que será la responsable de establecer y llevar a cabo los procedimientos necesarios para la evaluación, designación y notificación de los organismos de evaluación de la conformidad y de su seguimiento.

Los organismos notificados serán quienes verifiquen la conformidad del sistema de IA de alto riesgo, siendo independientes del proveedor, de cualquier otro operador que tenga un interés económico, así como de cualquier competidor del proveedor.

Por último, para el posible incumplimiento del Reglamento, los estados miembros establecerán un régimen de sanciones, que deberán ser eficaces, proporcionadas y disuasorias y se prevén multas administrativas de hasta treinta millones de euros o, si el infractor es una empresa, de hasta el 6 % de su volumen de negocios anual total a nivel mundial correspondiente al ejercicio financiero anterior, si éste es superior.

Aunque otros Estados han optado por una regulación más permisiva, la Unión Europea siempre se ha caracterizado por poner el foco en las personas y en el respeto a los Derechos Fundamentales. El marco jurídico siempre ha sido el escudo que impide que todo lo técnicamente viable tenga encaje sin una reflexión ética y con todas sus consecuencias en el mercado, impactando directamente en nuestras sociedades y en nuestra forma de vivir. Es por ello, que la propuesta busca encontrar un equilibrio entre la innovación y el respeto a los valores de la Unión.