Análisis de la propuesta de regulación europea de la Inteligencia Artificial… ¿hacia la Artificial Intelligence Protection Regulation (AIPR)?

La ética de los datos se refiere a las buenas prácticas en torno a cómo se recogen, comparten y utilizan los datos. Estas prácticas son especialmente relevantes cuando las actividades de datos tienen el potencial de impactar negativamente en las personas y la sociedad.

En octubre de 2020, conscientes de esta realidad y de que es evidente que la era de los datos y de la Inteligencia Artificial (IA) requiere de nuevas reglas de juego, varios diputados del Parlamento Europeo presentaron propuestas sobre la mejor manera en que la UE puede regular la Inteligencia Artificial para impulsar la innovación, las normas éticas y la confianza en la tecnología.

El Parlamento Europeo ha sido una de las primeras instituciones públicas en presentar recomendaciones sobre lo que deberían incluir las normas sobre IA en materia de ética, responsabilidad por los posibles daños causados por la IA, y derechos de propiedad intelectual.

La iniciativa legislativa presentada en octubre de 2020 instaba a la Comisión de la UE a presentar un nuevo marco jurídico en el que se exponen los principios éticos y las obligaciones legales que deben seguirse al desarrollar, desplegar y utilizar la inteligencia artificial, la robótica y las tecnologías relacionadas en la UE, incluidos los programas informáticos, los algoritmos y los datos.

Las dos caras de la misma moneda, ¿hasta qué punto la regulación puede frenar el progreso?

Recientemente ha sido publicado el primer draft del “Artificial Intelligence Act”, esta propuesta de 108 páginas (anexos aparte) se centra en los modelos de IA “en rápida evolución” que podrían perjudicar los derechos fundamentales de los ciudadanos de la UE.

La definición en sí mismo de sistemas de IA del draft que aparece en la propuesta ya nos lleva a una primera reflexión.

Según el draft un AI system es “software using AI-techniques (connectionist, symbolic, statistical) taking human-defined objectives to generate output (content, predictions, decisions, …) that affects their environments” … siguiendo esta definición prácticamente cualquier sistema de analítica (incluyendo los tradicionales de Business Intelligence) deberán pasar por este proceso de análisis de riesgos, por lo que es de esperar una línea de trabajo para aclarar este punto.

Aunque el documento no menciona al gobierno chino por su nombre, aborda la prohibición de la “puntuación social” de manera similar al sistema de “crédito social” que ese país ha implementado para restringir el uso del transporte público y para rastrear los movimientos de la población minoritaria uigur.

También propone la prohibición del reconocimiento facial, aplicable a la vigilancia masiva: “debe prohibirse la vigilancia indiscriminada de personas físicas cuando se aplique de forma generalizada a todas las personas sin diferenciación”.

Sin embargo, la normativa sobre IA propuesta va más allá y aborda una amplia gama de sistemas potencialmente de “alto riesgo”. Una aplicación de IA categorizada como de “alto riesgo” estaría sujeta a inspecciones especiales, incluyendo el examen de cómo se entrenan sus conjuntos de datos.

Algunas categorías podrían enfrentarse a una prohibición total si se consideran un “riesgo inaceptable”; los ejemplos citados aquí incluyen “manipular el comportamiento para eludir el libre albedrío”, “dirigirse a grupos vulnerables” y utilizar “técnicas subliminales”.

El nivel de riesgo de una aplicación se determinaría en función de criterios específicos, como la finalidad prevista, el número de personas potencialmente afectadas y el grado de irreversibilidad del daño potencial.

La prohibición del reconocimiento facial impediría a las fuerzas del orden utilizar el reconocimiento facial en tiempo real en espacios públicos para tareas rutinarias, pero no lo eliminaría por completo.

Establece categorías de excepciones “graves”, como las investigaciones sobre terrorismo, la búsqueda de niños desaparecidos y las emergencias de seguridad pública.

Algunos organismos de vigilancia de la privacidad de la UE respondieron a la noticia de la prohibición del reconocimiento facial declarando que no iba lo suficientemente lejos.

El Supervisor Europeo de Protección de Datos (European Data Protection Supervisor), organismo independiente que vigila el tratamiento organizativo de los datos personales, calificó la identificación biométrica de “no democrática” y la calificó de grave intrusión en la vida de las personas.

Las categorías de IA de riesgo estarían sujetas a nuevas normas y a una supervisión periódica, y las empresas podrían llegar a recibir multas más elevadas que las permitidas actualmente por el Reglamento General de Protección de Datos (RGPD): un máximo del 6% de la facturación global anual.

La UE sería la primera región del mundo en adoptar una regulación fuerte de la IA de esta naturaleza, pero los efectos podrían ser globales.

Los gigantes de la tecnología con sede en otros países, sobre todo las empresas de Silicon Valley podrían tener que hacer cambios en las operaciones y el software para mantenerse dentro del ámbito de la legislación de la UE. Puede que no sea factible o rentable aplicar estos cambios únicamente en la UE.

Algunos de los requisitos específicos para los desarrolladores enumerados en el informe incluyen una evaluación de conformidad obligatoria antes de que los sistemas de IA puedan pasar a ser de uso público, normas para la calidad de los conjuntos de datos y el rastreo y notificación de los resultados, y la supervisión por parte de las autoridades nacionales de vigilancia del mercado.

Se crearía un nuevo consejo internacional de reguladores, el Consejo Europeo de Inteligencia Artificial, para garantizar la armonización de la aplicación y el cumplimiento en toda la UE.

Aunque algunos miembros de las grandes empresas tecnológicas ya están expresando su preocupación, el proceso de aprobación de la prohibición del reconocimiento facial y de la nueva normativa sobre IA tendría que ser aprobado tanto por el Parlamento Europeo como por los Estados miembros de la UE.

Se trata de un proceso potencialmente polémico que casi con toda seguridad implica cambios y que, en última instancia, podría tardar años en resolverse.

Cuarenta eurodiputados ya han pedido que se refuerce la legislación propuesta, con una prohibición más estricta del reconocimiento facial y una prohibición del uso de características personales (como el sexo y el género) en las decisiones sobre IA.

Sin duda alguna los eurodiputados deben analizar “línea por línea” la “compleja” propuesta de normas de la Comisión sobre Inteligencia Artificial para asegurarse de que no supondrá un freno radical para la innovación.

Nos encontramos ante un área realmente complicada de legislar y la tecnología evoluciona de manera exponencial en los próximos años mientras el proceso legislativo sigue una velocidad mucho más lenta.

La pregunta es, ¿cómo vamos a afrontar esta evolución siendo además los primeros en plantearse algo así?. La propuesta legislativa de 108 páginas es un intento de los funcionarios de la UE de regular una tecnología que está transformando las industrias e incluso nuestra sociedad.

Es de apreciar el esfuerzo de la Comisión Europea por presentar un sistema diferenciado de gestión de las aplicaciones de alto riesgo que evite una solución generalizada para todos. Pero la prueba definitiva es la carga que supondrá para las empresas y los desarrolladores.

Aunque debemos evitar lo peor que la IA puede llegar a hacer, el objetivo final debe ser cómo impulsar el potencial de la IA para la economía en general salvaguardando los derechos de los ciudadanos.

Una posibilidad es la creación de “regulatory sandboxing schemes”, donde grandes corporaciones, startups y PYMEs puedan probar los sistemas de IA antes de introducirlos en el mercado.

En estos espacios aislados las empresas podrían interactuar directamente con los reguladores en las primeras fases del ciclo de desarrollo. Esto haría que las empresas no vayan por el camino equivocado y que los reguladores aprendan a lo largo del proceso.

La propuesta también quiere prohibir los sistemas de IA que causen daño a las personas manipulando su comportamiento, opiniones o decisiones. ¿Hasta qué punto va a ser fácil aplicar esta definición a usos concretos? ¿Entran las redes sociales en la definición de manipulación o no?  Sospecho que va a haber mucha discusión alrededor de estos términos.

La legislación europea en materia de IA seguirá al Reglamento General de Protección de Datos (RGPD) como un referente mundial de facto para regular los datos y su explotación.

Mientras que el RGPD suponía que iba a ser esta pieza de legislación de aplicación general, algo de eso no sucedió porque, de hecho, se fragmentó en 27 “mini RGPD”. Se dejó demasiada interpretación y aplicación a los gobiernos. Puedo imaginarme de nuevo el mismo escenario repetido con la IA.

Es probable que las normas de la UE en materia de inteligencia artificial están en el punto de mira de los legisladores estadounidenses, muchos de los cuales abogan por normas más laxas para esta tecnología.

Los eurodiputados necesitan implicar a sus homólogos estadounidenses en su trabajo. Si no escuchamos lo que piensan sobre esto, nos descuidamos. Esta regulación forma parte de un escenario geopolítico y tiene que encajar en una alianza de democracias liberales.

Contrarrestar a China es la principal preocupación de Estados Unidos en materia de IA. Según declaraciones del eurodiputado Dragos Tudorache: “Va a influir en China tanto directa como indirectamente. Algunas personas en China podrían incluso pensar qué camino es mejor. Y para las empresas chinas con ambiciones globales, si quieren jugar fuera de China, el trabajo que estamos haciendo va a influir en ellas”.

Europa tiene que seguir un camino muy diferente al de China en materia de IA, dijo Tudorache. “La IA está ahora arraigada en la forma en que el partido gobernante [chino] dirige la sociedad. China está utilizando la IA para puntuar socialmente y encuestar cada segundo de la vida de su gente”.

Oscar Alonso LLombart

Autor: Oscar Alonso

Head of Insights Driven Enterprise at Capgemini Invent Spain

DAMA Spain Associate

OdiseIA Associate

CDO & data-driven strategist