• Home /

  • /

  • La ciberseguridad en la Inteligencia Artificial

Opinión

La ciberseguridad en la Inteligencia Artificial

Socio de derecho digital en Ecix Group y mentor de la National Cyberleague GC.

El pasado miércoles 14 de junio de 2023, el Parlamento Europeo aprobó el Reglamento de Inteligencia Artificial, dando así un importante paso adelante para regular una de las tecnologías más disruptivas de los últimos tiempos.

Como ocurre habitualmente en la regulación de las tecnologías, hay personas que no dudan en afirmar que el problema es que “el Derecho siempre va por detrás de la tecnología”. Sin embargo, el hecho de que la regulación aparezca una vez la tecnología se haya implementado en la sociedad y se haya podido identificar cuáles son las amenazas que su uso plantea para los derechos y libertades de las empresas, ciudadanos y, también en estos temas, para el propio Estado, no sólo es lógico, sino que es imprescindible para una correcta y justa regulación de su uso y su eventual impacto.

Ahora bien, no es menos cierto que si una vez alcanzado este punto, la regulación tarda en llegar, la inseguridad jurídica puede suponer un grave freno para el desarrollo y la innovación del país. El reto de lograr este justo equilibrio entre la generalización del uso de una tecnología y su regulación es cada vez mayor, ya que nuestros sistemas legislativos, al igual que ocurre con el proceso normativo europeo, no han sido diseñados para enfrentarse a unos cambios sociales tan profundos y, a la vez, tan rápidos.

En lo que a tecnología se refiere, tan malo es regular demasiado pronto como demasiado tarde.

Para muestra, el caso de ChatGPT. Si echamos la vista atrás tan solo unas semanas, veremos cómo desde el lanzamiento de ChatGPT4 por parte de Open AI, hasta el lanzamiento de Bedrock por parte de Amazon pasan, exactamente, 4 semanas, plazo durante el cual el mundo, tal y como lo conocíamos, cambia por completo.

Sin embargo, Europa ha aprobado la primera ley de la historia que regula la Inteligencia Artificial, con la que pretende proteger los derechos y libertades fundamentales de los ciudadanos europeos ante los riesgos que trae consigo una nueva tecnología, que se ha demostrado altamente intrusiva y que, mal empleada, puede suponer una auténtica amenaza para los derechos humanos.

Si nos centramos en destacar los principales aspectos tratados por el nuevo Reglamento de Inteligencia Artificial, uno de los primeros es la salvaguarda de los derechos fundamentales de las personas, además de otros tales como la categorización de riesgos, el control y transparencia en el uso de la tecnología, y otros aspectos relacionados con su supervisión.

En efecto, el Reglamento de Inteligencia Artificial busca proteger y salvaguardar los derechos fundamentales de los ciudadanos europeos en el contexto de la IA. Y para lograrlo, establece una serie de principios éticos que son los que se consideran que deben guiar el desarrollo y la implementación de este tipo de sistemas, asegurando que se respeten los derechos humanos, la privacidad y la protección de datos. Esto incluye la prohibición de prácticas discriminatorias.

El reglamento introduce una clasificación de sistemas de IA en función de los riesgos que puedan plantear. Los sistemas de IA considerados de alto riesgo estarán sujetos a requisitos más estrictos en términos de evaluación, certificación y supervisión. Esta categorización garantiza un enfoque más riguroso para mitigar los riesgos potenciales asociados con el uso de la IA en contextos sensibles.

Otro de los aspectos clave del reglamento es la promoción de la transparencia y el control humano en el uso de la IA. Se enfatiza la importancia de la explicabilidad de los sistemas de IA, especialmente en aquellos que interactúan con los ciudadanos. Los individuos deben ser informados cuando interactúan con sistemas de IA y tienen derecho a recibir explicaciones claras sobre cómo se toman las decisiones basadas en IA que les afectan.

En este contexto, el Reglamento establece un marco de supervisión y sanción, donde las multas por incumplimiento de las regulaciones también se establecerán para disuadir el uso irresponsable o malicioso de la IA.

Y dentro de este escenario, el legislador europeo no se olvida de las necesidades de seguridad que trae consigo el desarrollo de tecnologías basadas en inteligencia Artificial, motivo por el cual establece la obligación de adecuar las medidas y soluciones técnicas a las circunstancias y los riesgos concretos, tal y como han hecho antes que ella el RGPD o la Directiva NIS, por citar algunas. Entre las soluciones técnicas destinadas a subsanar vulnerabilidades específicas de la IA figurarán, según corresponda, medidas para prevenir y controlar los ataques que traten de manipular el conjunto de datos de entrenamiento (datasets) con el objetivo de contaminar la fuente (inputs) y, por ende, obtener resultados (outputs) no confiables o erróneos.

Se espera que en noviembre de apruebe definitivamente el texto, momento a partir del cual comenzará un plazo de adecuación que puede estar entre 2 y 3 años, plazo durante el cual las empresas deberán comenzar a entender este nuevo ecosistema, a identificar las nuevas obligaciones en función de su rol y actividad, y poder adaptarse al nuevo régimen regulatorio, a la vez que implementan sistemas de cumplimiento y control adecuados y eficaces.