Si hay un término que está dando que hablar en los últimos meses y que seguirá siendo tendencia en los próximos años es, sin duda, la Inteligencia Artificial (IA). Desde hace un tiempo, prácticamente todos los días recibimos informaciones relacionadas con sus más diversas aplicaciones, desde mejoras en herramientas de diagnósticos clínicos hasta ChatGPT y otras aplicaciones orientadas al lenguaje natural.
Pero es muy destacable que las últimas noticias que vamos conociendo afectan ya de pleno a los aspectos éticos y regulatorios de la IA. Daremos sólo dos ejemplos. El primero es que la autoridad italiana de protección de datos ha prohibido recientemente el uso de ChatGPT hasta que no se demuestre que su funcionamiento es compatible con los principios de protección de datos que rigen en la Unión Europea. Y el segundo es la noticia de que Geoffrey Hinton, un prominente científico, abandona los proyectos de desarrollo de IA en uno de los grandes gigantes tecnológicos, debido a los graves desafíos éticos que empiezan ya a percibirse en las aplicaciones de IA, paso que evoca irremediablemente la encrucijada de un nuevo “Proyecto Manhattan”, como el que sirvió para crear la primera bomba atómica en la década de los años 40 del pasado siglo.
Parece que la IA avanza de forma imparable y que está evolucionando de forma muy acelerada, incluso más de lo que se preveía hace unos años. Así que los peligros potenciales de esta tecnología están ya prácticamente aquí. ¿Podrán atajarse estos riesgos a través de una regulación?
Lo cierto es que las instituciones europeas llevan un tiempo tratando de crear un marco regulatorio para que ciudadanos y empresas puedan aprovechar todo el potencial de la IA en un entorno seguro que permita controlar sus riesgos. En abril de 2021, la Comisión Europea publicó su Propuesta de Reglamento por el que se establecen normas armonizadas en materia de Inteligencia Artificial. La Propuesta de Reglamento es sólo una parte de la estrategia europea sobre IA, que incluye también un “enfoque” (“aproach”) europeo que, de forma muy resumida, consiste impulsar la investigación y la capacidad industrial, garantizando al mismo tiempo la seguridad y el respeto los derechos fundamentales de los ciudadanos de la Unión. A finales de 2022, el Consejo de la Unión Europea estableció una posición común sobre el Reglamento, encaminada a garantizar que los sistemas de IA introducidos y utilizados en el mercado de la UE sean seguros y respeten la legislación vigente en materia de derechos fundamentales, así como los valores de la Unión. Por su parte, se espera que el Parlamento Europeo vote su posición próximamente, tras el cual las negociaciones entre las instituciones europeas podrán comenzar para acordar el texto final.
Un marco regulatorio tiene repercusiones más allá de las puramente jurídicas. El impulso de la investigación y la capacidad industrial de los que habla la Comisión en su enfoque sobre IA guarda estrecha relación con la existencia de una regulación eficaz. Esta genera seguridad, y de ella nace la confianza, que en términos económicos se traduce, de un lado, en la realización de inversiones por parte los productores o creadores, y de otro, en el fomento de la adquisición y utilización de esta tecnología por parte del público, ya sea del segmento empresarial o consumidor. Así ha ocurrido en ocasiones anteriores con otros marcos reguladores en las que la UE ha sido pionera.
Por otro lado, una regulación ineficaz, excesivamente compleja o innecesaria producirá efectos negativos sobre la actividad económica del sector afectado, porque no solo incrementará los costes de las empresas, sino que podría restringir el ámbito de la libertad e iniciativa económicas, produciendo un efecto desincentivador. Es necesario, por tanto, buscar un equilibrio.
Es evidente que, además de riesgos, la IA trae enormes oportunidades. Por ejemplo, y ciñéndonos al sector financiero, la IA permitirá la introducción de mejores sistemas de “scoring” que facilitarán, la concesión de préstamos más inclusivos. La IA aportará una mejor predicción, permitirá conocer mejor al cliente y, por lo tanto, realizar una mejor evaluación de su capacidad de pago. Así se evitarán el sobreendeudamiento y los perjuicios para los consumidores. Además, los procesos sean mucho más rápidos en beneficio de los consumidores, por ejemplo, a la hora de pedir un préstamo o de contratar un servicio. Por lo tanto, la nueva regulación debe impulsar la adopción de esta nueva tecnología, controlando asimismo los potenciales riesgos para los ciudadanos.
Los aspectos claves de la regulación
Sin duda, la primera pregunta que debe responder el nuevo marco regulatorio, y que determinará con carácter fundamental cuál será su impacto, es la propia definición de “inteligencia artificial”, es decir, qué es la “inteligencia artificial” y por lo tanto qué no es. Los legisladores europeos han optado por el tipo de definiciones que se centran en el conocimiento y el razonamiento, y no tanto en la conducta, y dentro de aquéllas, en las que toman como referencia un concepto ideal de inteligencia o “racionalidad”, descartando otras que se basan en la analogía o cercanía de la actividad de las máquinas con el de los seres humanos.
En el último texto que fija la posición del Consejo, encontramos que se define “sistema de inteligencia artificial” como un “sistema” con tres características o elementos: en primer lugar, debe estar concebido para funcionar con elementos de autonomía, es decir, para funcionar de forma autónoma en una cierta medida; en segundo lugar, debe inferir la forma de alcanzar sus objetivos utilizando unas técnicas concretas: o bien estrategias de aprendizaje automático, o bien estrategias basadas en la lógica y el conocimiento; finalmente, en tercer lugar, el sistema debe producir una información de salida, como contenidos, predicciones, recomendaciones o decisiones, que influirán en los entornos con los que interactúa el propio sistema.
En este aspecto, la posición del Consejo mejora la definición que aparecía en la Propuesta de Reglamento de la Comisión, ya que no se limita a considerar la IA como un “software” sino que acertadamente emplea el concepto más amplio de “sistema” y, sobre todo, excluye del concepto de IA técnicas meramente estadísticas que sí figuraban en la Propuesta de la Comisión, y que muy difícilmente podrían ser consideradas como integrantes del concepto generalmente admitido de IA. Pero al mismo tiempo el texto del Consejo sigue conteniendo una notable indeterminación al establecer que una de las tecnologías que integran la IA son las “estrategias basadas en la lógica y el conocimiento”, lo que es una expresión excesivamente amplia y carente de concreción, por mucho que en el Considerando 6 ter del texto se enumeren algunos ejemplos de este tipo de estrategias. Es evidente que la definición de IA, aspecto nuclear de la nueva regulación, debe ser consensuada por todos los actores afectados, con objeto de evitar una enorme carga regulatoria sobre técnicas ya existentes, que no son, en realidad, IA, tal y como este concepto se viene entendiendo desde sus orígenes, en los años 50 del pasado siglo.
Una vez sentada la base de lo que es la IA, debe abordarse una adecuada gobernanza de sus sistemas. Es esencial la cuestión de los datos que utiliza un sistema de IA, ya le hayan sido proporcionados externamente o generados por él mismo, en sus distintas categorías, incluyendo los conjuntos de datos de entrenamiento, validación y prueba. Estos datos deben cumplir un buen número de requisitos, no sólo su exactitud y ausencia de errores, sino también su pertinencia, completitud, disponibilidad, cantidad, y lo más importante, el examen de los posibles sesgos que puedan afectar a la salud y seguridad de las personas físicas o dar lugar a discriminaciones. Ello obliga a realizar un diseño cuidadoso y un examen atento de todos los aspectos del ciclo de vida de los datos.
El cumplimiento de estos requisitos es aún más relevante cuando los datos son de carácter personal, ya que la IA también tiene que cumplir con los principios de protección de datos, que no pueden ignorarse sin más en el nuevo entorno tecnológico. Por lo tanto, es imprescindible que haya una voluntad de facilitar un marco adecuado para el uso de estos datos, incluyendo no sólo a fuentes públicas de confianza y conjuntos de datos de reconocido prestigio en el sector privado, sino también muchos otros tipos de datos alternativos que están disponibles hoy en día.
La gobernanza de los sistemas de IA afecta a muchas otras cuestiones, tales como la documentación técnica, registros de eventos, sistemas de gestión de riesgo, transparencia con los usuarios, necesidad de vigilancia humana, seguridad, evaluación de la conformidad, sistemas de gestión de calidad, adopción de medidas correctoras e información a las autoridades.
Es muy destacable que todas estas medidas tienen como objetivo a proteger los derechos fundamentales reconocidos y protegidos por el Derecho de la Unión. Por tanto, la nueva regulación se orienta en la dirección en la que se vienen moviendo los ordenamientos jurídicos de los países europeos desde hace décadas, y también el propio Derecho de la Unión Europea: los derechos fundamentales como un sistema de valores que determina todas las relaciones jurídicas, también con eficacia horizontal o entre particulares. En este sentido, la nueva regulación incluye una lista de prácticas de inteligencia artificial prohibidas por considerarlas incompatibles con el sistema de valores de los derechos fundamentales, tales como los que usan técnicas subliminales para alterar sustancialmente el comportamiento de las personas, los relativos a la creación de una ”puntuación ciudadana” (clasificación de las personas con efectos discriminatorios atendiendo a su comportamiento social, características personales o de personalidad), o la identificación biométrica en tiempo real en espacios públicos (con ciertas excepciones).
Hay que mencionar asimismo que la nueva regulación no sólo a afectará las empresas de la Unión Europea, sino que alcanzará también a las de terceros países cuyos sistemas de Inteligencia Artificial tengan algún tipo de consecuencia para los ciudadanos o residentes en la Unión, como ya ocurre con el Reglamento General de protección de datos. Y también, que la Propuesta de Reglamento tiene constantes menciones a las empresas más pequeñas, como las PYMES, que constituyen una inmensa mayoría del tejido empresarial español, y a las que se está tratando de facilitar el uso de la IA, está teniendo especial cuidado en darles acceso privilegiado a los espacios controlados de pruebas para el desarrollo de esta tecnología.
La IA en España
Este asunto de los espacios controlados de pruebas merece especial mención, ya que nuestro país ha presentado el primer piloto del "sandbox” de regulación de IA en la UE. Esta iniciativa busca generar buenas prácticas y guías para preparar y sensibilizar a las empresas, en especial a pymes y startups, en la puesta en marcha de la IA en estas compañías.
Otras acciones tratan de posicionar a España como referente en la IA. Pueden encontrarse en diversos boletines oficiales numerosas disposiciones que tratan de fomentar el desarrollo de la inteligencia artificial, en los tres escalones de la administración: estatal, autonómico y local. Se han dado los primeros pasos para crear una autoridad administrativa independiente que sea el regulador en este campo, a través de la Orden PCM/1203/2022, de 5 de diciembre, que estableció la sede física de la futura Agencia Española de Supervisión de Inteligencia Artificial en la ciudad de A Coruña (aunque dicha Orden ha sido objeto de recurso contencioso-administrativo). Y, según informaciones aparecidas en los medios de comunicación, hay proyectos para albergar en España importantes centros de investigación sobre IA. Hay que destacar, asimismo, que hay una intención política clara en el Gobierno para que el Reglamento de IA se apruebe durante la presidencia de turno española del Consejo de la Unión Europea.
En definitiva, la Inteligencia Artificial supone una auténtica revolución, y es lógico que infunda miedo, dudas y desconfianza. Para ello es imprescindible que se establezca un marco regulatorio claro que permita a las empresas innovar y que, al mismo tiempo, proteja a los ciudadanos frente a potenciales amenazas a sus derechos fundamentales. Con bastante probabilidad, esta regulación vendrá de la Unión Europea en un tiempo no muy lejano. Estemos muy atentos a la evolución de este proceso legislativo.