El interés alrededor de los últimos desarrollos en materia de Inteligencia Artificial aumenta día a día. En este contexto, Europa prepara un Reglamento sobre cuestiones éticas y retos de aplicación en varios sectores, centrándose en aspectos clave como la calidad de los datos, la transparencia y la supervisión humana.
La Comisión Europea publicó un borrador del Reglamento de Inteligencia Artificial, o ‘IA Act’ (AIA, por sus siglas en inglés) en abril de 2021, que pretende reforzar la normativa sobre el desarrollo y el uso de esta tecnología en el marco del respeto de los valores y la legislación de la Unión Europea.
Aunque este documento todavía puede sufrir cambios durante las negociaciones, se espera que sea definitivamente aprobado a finales de año.
En este escenario, la Comisión ha regulado la aplicación de la IA a casos de uso concretos y no a la tecnología en sí. Por ello, se evalúa el riesgo que el uso de la tecnología puede suponer para los derechos fundamentales, la salud y la seguridad de una persona y se clasifican los sistemas de IA en cuatro niveles de riesgo: inaceptable, alto, limitado y mínimo.
Niveles de riesgo
Tienen riesgo inaceptable, y su producción y uso están prohibidos por el reglamento, los sistemas de IA con alta probabilidad de perjudicar física o psicológicamente a las personas.
Por su parte, la categoría de alto riesgo la integran los sistemas de IA que, deficientemente implementados, podrían tener un importante impacto en los derechos fundamentales, la salud y la seguridad de una persona. Estos sistemas no están prohibidos en la UE, pero deben cumplir varios requisitos adicionales, como evaluaciones de conformidad, aplicación de sistemas de gestión de riesgos, prácticas de gobernanza de datos, elaboración de documentación técnica, mantenimiento de registros, transparencia y suministro de información a los usuarios.
Finalmente, están los sistemas considerados de riesgo limitado y los de riesgo mínimo. Los primeros son aquellos que interactúan con personas mediante un agente automatizado, como los chatbots; reconocen emociones; categorizan biométricamente a las personas; o manipulan contenido audiovisual. A estos sistemas se les exige que informen a los ciudadanos sobre su funcionamiento. Para los sistemas que pertenecen a la categoría de riesgo mínimo, ni la Comisión ni el Consejo imponen requisitos adicionales, pero el Parlamento propone establecer unos principios generales que deberían guiar su desarrollo.
Lagunas de la AIA
No obstante, la propia categorización del reglamento es criticada por su arbitrariedad, según manifestaron diferentes actores.
Aparna Viswanathan, jurista india experta en tecnología, señaló al respecto que “los criterios de cada categoría de riesgo no proporcionan ninguna base justiciable para determinar la categoría de un sistema de IA”. La falta de precisión en alguno de los requisitos del reglamento también genera confusión.
Por ejemplo, para evitar que un sistema opere de manera sesgada, opaca o injusta, se establece que los datos tienen que ser completos y libres de errores. “Tal cosa es imposible porque los datos de una compañía generalmente no representan a toda la población, sino a sus clientes”, explicó Jesús Lozano, senior manager en Regulación Digital en BBVA. “Otra cosa es que la empresa se tenga que asegurar de que los datos que usa no afectan la calidad del modelo que va a desarrollar. Es decir, es lógico requerir que los datos utilizados en un sistema sean de calidad, pero es casi imposible que estos representen a toda la población o no contengan ningún error”, detalló.
La ambigüedad también afecta a técnicas susceptibles de ser identificadas como sistemas de IA aunque no lo sean. Es el caso de las regresiones lineales, habitualmente utilizadas en la concesión de crédito bancario, que en la propuesta de la Comisión, no así en las posiciones del Consejo y el Parlamento europeos, podrían considerarse IA de alto riesgo.
En cualquier caso, el reglamento prevé que sea el supervisor nacional quien interprete la norma y evalúe el nivel de cumplimiento de los criterios. Para la coordinación y armonización de prácticas supervisoras se crea un órgano asesor, el Consejo Europeo de IA, pero sus decisiones no son de carácter vinculante.
La violación del reglamento acarrea sanciones de hasta 30 millones de euros o el 6% de los ingresos globales de la empresa que la incumpla, así como multas si se presenta documentación falsa o engañosa a los reguladores. Teniendo en cuenta que algunos de los casos previstos por el reglamento también están amparados por el RGPD, queda por esclarecer si las sanciones por incumplimiento de la AIA se acumularían a las previstas por el RGPD.
“Si los requisitos son poco concretos y las sanciones altas, el riesgo de incumplimiento aumenta y el impacto del mismo es mayor”, resumió Jesús Lozano.
Pese a sus limitaciones, el borrador de la AIA representa el primer acercamiento sistemático y armonizado a la Inteligencia Artificial desde una perspectiva legal. Países líderes en esta tecnología, como China, Japón y Canadá, tienen planes y estrategias nacionales al respecto, incluso comités de asesores independientes en el caso de los dos últimos, pero ninguno cuenta con un reglamento tan ambicioso como la AIA.