“La IA puede ser lo mejor y lo peor que nos ha pasado en la humanidad”

La inteligencia artificial es ya una realidad tecnológica que lo cubre todo. Utilizada para usos que llevarán a la humanidad hacia grandes posibilidades de avance y desarrollo en el campo de la medicina, de la previsión de desastres, de la redistribución del conocimiento o de las materias primas y de consumo, en la comunicación, la industria y, por supuesto, la tecnología, sus increíbles capacidades pueden incidir y afectar perniciosamente a los seres humanos y a sus derechos fundamentales si no se regula su uso convenientemente.

Sobre el presente y el futuro de las regulaciones de la IA, tanto nacionales como de la UE, la Asociación Profesional Española de Privacidad (APEP) organizó una jornada centrada en la divulgación del camino normativo que se está recorriendo respecto a esta disruptiva tecnología. Para ello contó con la experiencia de José Manuel Muñoz Vela, abogado especialista en Derecho Tecnológico y Digital de Adequa, quien evidenció la importancia de la IA al comparar su aparición y el cambio profundo que puede suponer para la humanidad “con el que supuso la aparición de fuego o Internet”.  

En efecto, desde la APEP definen la Inteligencia Artificial (IA) como un conjunto de tecnologías que promete cambiar el mundo que conocemos, con un potencial disruptivo inmenso, que fue definida en el Libro Blanco sobre la IA como “una tecnología estratégica, que ofrece numerosas ventajas a los ciudadanos, las empresas y la sociedad en su conjunto siempre que sea antropocéntrica, ética y sostenible y respete los derechos y valores fundamentales”.

Ante sus beneficios, “están los riesgos y retos asociados a su despliegue, funcionamiento, aplicación y uso, especialmente significativos en el caso de los sistemas inteligentes más avanzados, que deben ser adecuadamente identificados y gestionados para garantizar una IA segura y fiable”, según indica la APEP.

Muñoz Vela planteó varias cuestiones de calado en lo que se refiere a los marcos éticos y regulatorios de la IA. Partió de la pregunta al aire base sobre ¿qué pretendemos regular, la IA de hoy que está en el mercado, o la del futuro?, porque según él, no estamos a tiempo de legislar sobre la novedad real de la IA que ya está en el mercado, si no que debemos pensar en legislar sobre tendencia.

Y es que además, según este experto, no existe un consenso en la definición de lo que es la IA ni a nivel científico, ni filosófico, ni siquiera jurídico todavía, que permita claridad a la hora de enfrentarse a una legislación ajustada y englobadora, porque existen múltiples definiciones, algunas que incluso prevén una tecnología que actúe por sí misma, más allá de las instrucciones dadas por los humanos. Lejos de asustarnos con material propio de guión de serie de Netflix, Muñoz Vela bajó a la arena de la definición de lo que pretendemos y necesitamos realmente regular.

Así, habló de IA débiles, objeto de despliegue máximo actualmente, luego estaría la fuerte, actualmente con autonomías que están en fase de ensayo, luego la super-IA, que superaría al ser humano, y a los guionistas, y que no sabemos sí llegará a desarrollarse, y sí debemos ya regularla de antemano, por si acaso. Según este jurista “¿qué debemos legislar, la lA de hoy, o la posible del futuro?: debemos empezar a legislar sobre tendencias, y no sobre novedades que ya están en el mercado".

Los legisladores se están rompiendo la cabeza pensando en ¿cuáles deberían ser las normas necesarias y exigibles en lo que se refiera a la inteligencia artificial?, porque no hay consenso sobre los principios y normas éticas, ni tampoco sobre la seguridad que debe integrar, ni las técnicas e instrumentos normativos adecuados para su regulación.

El último gran cambio disruptivo de la humanidad

Según la mayor parte de expertos en su incidencia, la IA es el cambio más profundo que se ha producido en la humanidad al mismo nivel disruptivo que han supuesto el fuego, la electricidad o internet. Al igual que el fuego nos ha dado todo, pero puede devastar un territorio entero como California, la IA tiene sus riesgos, retos y sombras oscuras.

“La IA puede ser lo mejor y lo peor que nos ha pasado en la humanidad —dice este experto  jurista, utilizando una frase de Stephen Hawking más actual y oportuna que nunca— pero debemos legislar para conseguir que, ante todo, su aplicación, mplantación y uso cumpla el respeto de los derechos y deberes fundamentales; la intimidad y privacidad, y la seguridad” y esto es así porque nunca el problema es la tecnología (recordemos la pólvora, la nuclear, la de hidrógeno… y sus desmanes históricos), sino el uso que se haga de ella. Esta máxima es de parvulitos de humanidad metepatas.

Según explica el experto jurista, el derecho debe focalizarse en esos riesgos que deriven de las capacidades y del uso que se haga de esta tecnología, que es un medio, siempre, y no un fin. “Y es un error en empresas y organismos que el implantar IA o blockchain sea un fin, por moda, y no un medio; luego hay fracasos. Las tecnologías son medios para conseguir necesidades y alcanzar objetivos o mejorar la calidad de vida, no el fin”.

En el libro blanco sobre IA de la UE, que es una auténtica ruta legislativa a seguir, también se hablaba de los riesgos, clasificados en tres categorías; los relativos a los derechos fundamentales, los riesgos para la seguridad y los que atañen al funcionamiento eficaz del régimen de responsabilidad civil.  

Los riesgos para la privacidad, que se refieren también a los sesgos, están enmarcados en esos riesgos de seguridad que implica la personal, la física, psicológica, integridad moral, y la que se puede vulnerar en lugares e instalaciones, o en infraestructuras críticas. Cuando un sistema falla, puede provocar cualquier tipo de afectación física grave (como la del coche autónomo, por un fallo de gobierno del vehículo, por ejemplo).

Según Muñoz Vela, los riesgos hay que enfocarlos desde el prisma de la ética y desde el derecho, fijándonos, desde en las tres leyes de la robótica de Isaac Asimov (cuyo origen es la ciencia ficción), pasando por los marcos éticos de la IA según la UE, trabajados desde 2017, hasta la publicación del Libro Blanco sobre IA en 2020, que pretenden consensuar y establecer directrices a nivel mundial.

A nivel internacional contamos ya con múltiples marcos legales basados en la ética que abarcan desde los Principios de Asilomar de 2017, la recomendación sobre la ética de la IA de la Unesco publicada en 2021, hasta recomendación específica de la OCDE, a los que se unen marcos sectoriales, como los de organismos que aúnan al sector bancario, el de seguros, o de empresas concretas.

Los principios básicos para hacerlo bien

De todos los marcos que proponen una regulación, se desprenden unos principios básicos comunes que se pretende sean legislativamente vinculantes, y se resumen así:

• Control y supervisión humana
• Confianza, seguridad, robustez, fiabilidad
• Privacidad y gobernanza de datos
• Transparencia y explicabilidad
• Respeto de la dignidad, la libertad, la autonomía y el resto de DDHH
• Solidaridad, justicia, igualdad, equidad y no discriminación
• Beneficencia, bienestar social y ambiental. Sostenibilidad
• Responsabilidad proactiva y rendición de cuentas
• Y otros como la precaución, reversibilidad, accesibilidad y ¡democracia!

Lo que actualmente dice el derecho es que debemos partir de estas coordenadas porque no existe una regulación internacional de la IA. Es la Unión Europea la que lidera a nivel internacional los intentos de consenso para unificar estos conceptos y normas, con algo de ayuda de la OCDE y la UNESCO, aunque no es Europa la que lidera la carrera tecnológica del desarrollo y la implantación de la Inteligencia Artificial, precisamente. Lo que sí pretende es ser la precursora de su armonización y regulación. “Ya ha sido la UE ejemplo de regulación a nivel mundial y referente para otros países en materia de privacidad con el GDPR. Pero la tecnología cambia y por ello necesitamos nuevos instrumentos”, según afirma  Muñoz Vela.

Con la tecnología el hoy es el ayer, y el derecho es estático por definición. Hay litigios tecnológicos que se están resolviendo con el Derecho Romano o del Código civil del S.XIX. “Tiene que llegar un derecho dinámico, flexible y adaptativo; es decir, responsive”, dice el jurista, aunque señala que tenemos legislación que podemos aplicar ya, aunque no sea específica sobre IA (la normativa sobre protección de datos, el mismo GRPD, etc) aunque insiste en la necesidad de un derecho propio sustantivo y reactivo.

Por el momento los ciudadanos del mundo contamos con la vía contractual, basada en la autonomía de la voluntad, que se aplica a diario cuando adquirimos un sistema o cuando vendemos servicios basados en IA, y la autoregulación por sectores o empresas que definen códigos de conducta, como es el caso del sector del videjuegos, por ejemplo. "Las autoregulaciones funcionan pero es insuficiente cuando se tocan aspectos como la seguridad y la privacidad. Es un complemento”, afirma Muñoz Vela.

En definitiva, la cuestión legal de la IA cuenta con propuestas regulatorias, como las resoluciones del Parlamento Europeo (20 de octubre de 2020 sobre principios éticos  en materia de la IA, la robótica y las tecnologías conexas), y un régimen de responsabilidad civil de la IA, y la más reciente propuesta de Reglamento del Parlamento Europeo y de Consejo para establecer normas armonizadas sobre IA, del 21 de abril de 2021 (Ley de Inteligencia Artificial o AI Act), en proceso de tramitación. Existen otras regulaciones en camino en EEUU, Corea, Japón e incluso en China.

El reglamento de IA de la UE

Es un reglamento técnico enfocado al riesgo, pero no pretende regular toda la IA, sino solo algunos sistemas según el sector al que pertenecen. Diferencia los sistemas de IA entre los de riesgo inadmisible o prohibidos, de alto riesgo, riesgo limitado, mínimo o de riesgo inexistente. Pero la norma se focaliza solo en los dos primeros. En primer lugar los “prohibidos” “a los que pueden manipular el comportamiento, aprovechamiento de vulnerabilidades de grupos específicos, el scoring social por parte de administraciones públicas (y no privadas, lo que es sorprendente) y la identificación biométrica remota en tiempo real y en espacios públicos”, explica el experto de Adequa.

En segundo lugar la Ley regulará los sistemas de “alto riesgo” para la salud y la seguridad o los Derechos Fundamentales, y serían estos predefinidos:

• Identificación biométrica y categorización de personas físicas
• Gestión y operación de infraestructuras críticas
• Educación y formación profesional
• Empleo, gestión de trabajadores y acceso al autoempleo
• Acceso y disfrute de servicios privados esenciales y servicios y beneficios públicos
• Cumplimineto de la Ley
• Gestión de migración, asilo y control de fronteras
• Administración de Justicia y procesos democráticos
• Otros como el sector del juguete, etc, también susceptibles de ser regulados.

La Ley adjunta una serie de requisitos y obligaciones para estos sistemas de alto riesgo que son “un auténtico abc de la seguridad, porque abarcan desde la gestión de riesgos, a la trazabilidad, la ciberseguridad, las certificaciones, la conformidad…”. Pero la regulación se queda coja en opinión de Muñoz Vela, “porque no habla de los otros sistemas que son de riesgo más bajo, como los relativos a reconocimiento de emociones, deepfakes, asistentes virtuales o chatbots, o los de riesgo mínimo, como los filtros de spam, los videojuegos interactivos, que o van a tener obligaciones de información y transparencia los primeros, y una autoregulación voluntaria los últimos”.

El futuro reglamento ha recibido 309 enmiendas en siete áreas clave de la propuesta legal que revisará si se circunscribe al ámbito del ML (machine learning), da una vuelta al concepto de alto riesgo, la evaluación de los mismos y una nueva relación de sectores críticos, y sugieren considerar los procesos de entrenamiento, validación y prueba de los sistemas de IA como un “Interés legítimo” y un “propósito compatible” según está redactado también en el GDPR.

Aún quedan meses para su tramitación, pero está claro que la regulación europea busca ese “punto de equilibrio entre innovación, competitividad, ética, seguridad y sobre todo con el respeto de los Derechos Fundamentales, siempre que no sea más caro cumplir la norma que innovar. Las infinitas cargas de obligaciones no va a estar al alcance de todos, por ejemplo de las pymes”.

La seguridad y la privacidad, los conceptos de partida

La norma debe recoger los conceptos de seguridad y de privacidad, basándose en las estrategias y leyes ya existentes europeas, españolas (Estrategia de I+D+I en IA, la Nacional de Ciberseguridad, la Estrategia Nacional de IA —ENIA— y otras autonómicas), y las de otros países del mundo, así como la Declaración Europea sobre los  Derechos y Principios Digitales para la Década Digital de enero de 2021, regulación que exige esa seguridad y esa privacidad, o la Carta de Derechos digitales española de 2021, que reconoce el derecho a la ciberseguridad, a la privacidad, regula los neuroderechos (que evitarán la manipulación de nuestro cerebro y ya se está incluyendo en regulaciones como la Constitución chilena) y derechos ante la IA, “aunque faltaría el derecho a acceder a la IA para mejorar nuestros servicios y nuestra vida, que no está recogida”, dice Muñoz Vela.

Este experto jurista cree que también que los reguladores europeos deben fijarse en los marcos legales de seguridad generales  ya existentes, como la directiva NIS, la futura NIS-II, el código de Derecho de la ciberseguridad, las auto-regulaciones de las empresas y hasta muchos de los preceptos aplicables del GDPR. Precisamente el Comité Europeo de Protección de Datos (CEPD) ha dictaminado que la futura norma sobre IA debe incluir el cumplimiento de este reglamento para conseguir regular la privacidad de una tecnología cuya materia prima son los datos, aunque muchos de sus usos podrían ser claramente útiles a la hora de resolver desafíos de la humanidad como la pobreza o el cambio climático, otro podría ser perniciosos.

La futura legislación debe estar enfocada a perseguir la transparencia, la anonimización y la seudonimización, regular prácticas adecuadas de gestión y gobernanza de datos en el entrenamiento, la validación y las pruebas, y autorizar los procesos de datos que garanticen el seguimiento, la detección y la corrección de sesgos.

Así, el CEPD y el Supervisor Europeo de Protección de Datos proponen que la futura regulación prohíba el scoring o puntuación social, la identificación biométrica remota de personas en espacios públicos que permita el reconocimiento automático de rasgos humanos, y cualquier uso de la IA para interferir en emociones humanas.

En definitiva, en materia de IA habría que trabajar por aplicar la “ética, seguridad, privacidad y compliance desde el diseño” según el lema de Muñoz Vela, porque así ya se incluiría la seguridad de las máquinas y los sistemas inteligentes, la seguridad física y moral de las personas (evitar, por ejemplo, un fallo de cualquier sistema en IA relacionada con la salud o lo cuidados), la seguridad de la información, personal y corporativa, de las infraestructuras críticas, contra los usos maliciosos de la IA, o que pudiera ser fácilmente objeto de actos ilícitos, y siempre garantizándolo durante todo el ciclo de vida de la tecnología en cuestión.

Tanto en materia de seguridad como en las de privacidad, quedan muchas cuestiones para reflexionar; infinitos detalles que debe contener la norma que ya son unos retos, y otros que pueden surgir tras la evolución de estas tecnologías y sus relaciones con la legalidad. “Por ejemplo; debería establecerse el derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de datos. Ya ocurrió con un sistema de IA en Holanda, que creaba perfiles de riesgo en la base de datos de solicitantes de ayudas y subsidios para el cuidado de hijos y detectar posible fraudes, y tras un proceso judicial llegó a provocar dimisiones políticas por el escándalo”, nos recuerda Muñoz Vela.