La Unión Europea se ha marcado el objetivo de ser líder global en innovación en la economía de los datos, construyendo ecosistemas de excelencia y confianza. En este contexto, el último paso significativo ha sido la publicación del libro blanco sobre inteligencia artificial (IA), que había anunciado la presidenta de la Comisión Europea al principio de su mandato.
La segunda parte del documento está dedicada a las cuestiones regulatorias que son necesarias para generar dicha confianza. De acuerdo con el texto, la inteligencia artificial aporta innumerables ventajas, pero también plantea dos tipos de riesgos que deben ser tenidos en cuenta:
El libro blanco considera que el sistema legal actual sobre responsabilidad y seguridad de los productos (principalmente la Directiva 85/374/CEE en materia de responsabilidad por los daños causados por productos defectuosos) es, en principio, suficiente para cubrir una buena parte de los interrogantes jurídicos que se plantean, aunque la Comisión entiende que se puede modificar para mejorar algunas situaciones puntuales como las siguientes:
El tema de la responsabilidad y la seguridad de las tecnologías disruptivas es uno de los que más preocupa a la Comisión. De hecho, a la vez que el libro blanco, desde Bruselas se ha publicado un informe sobre las implicaciones de la inteligencia artificial, el internet de las cosas y la robótica, que complementa a otro similar de diciembre de 2019 sobre responsabilidad de la inteligencia artificial y otras tecnologías digitales emergentes. En dichos informes se proponen también ciertos ajustes a la regulación existente.
A los efectos de fijar el alcance de la futura normativa, es esencial clarificar a qué nos referimos con inteligencia artificial. El libro blanco toma la definición que el grupo de expertos incluyó en el reciente documento de Directrices éticas para una IA fiable:
“Los sistemas de inteligencia artificial (IA) son sistemas de software (y en algunos casos también de hardware) diseñados por seres humanos que, dado un objetivo complejo, actúan en la dimensión física o digital mediante la percepción de su entorno a través de la obtención de datos, la interpretación de los datos estructurados o no estructurados que recopilan, el razonamiento sobre el conocimiento o el procesamiento de la información derivados de esos datos, y decidiendo la acción o acciones óptimas que deben llevar a cabo para lograr el objetivo establecido. Los sistemas de IA pueden utilizar normas simbólicas o aprender un modelo numérico; también pueden adaptar su conducta mediante el análisis del modo en que el entorno se ve afectado por sus acciones anteriores. La IA es una disciplina científica que incluye varios enfoques y técnicas, como el aprendizaje automático (del que el aprendizaje profundo y el aprendizaje por refuerzo constituyen algunos ejemplos), el razonamiento automático (que incluye la planificación, programación, representación y razonamiento de conocimientos, búsqueda y optimización) y la robótica (que incluye el control, la percepción, sensores y accionadores así como la integración de todas las demás técnicas en sistemas ciberfísicos)”.
Un punto importante es el principio de que el nuevo marco regulatorio debería ser efectivo sin crear una carga desproporcionada, especialmente para las pequeñas empresas. Para alcanzar este equilibrio y que la intervención sea proporcional, la Comisión Europea entiende que se debe seguir un enfoque regulatorio basado en el riesgo. Según el libro blanco, una aplicación de IA debe considerarse de alto riesgo dependiendo del sector en el que opere -en concreto menciona salud, transporte, energía y sector público- así como de si el uso previsto implica riesgos significativos, en particular desde el punto de vista de la protección de la seguridad, los derechos del consumidor y los derechos fundamentales.
En principio se deben de dar ambos criterios (sector y riesgos significativos cuando se use) para que se apliquen los requerimientos que se mencionarán a continuación, pero la Comisión introduce otros ejemplos de situaciones excepcionales que también se consideran de alto riesgo, como son usar la IA para procesos de reclutamiento o para identificación biométrica remota. De hecho, en relación con el tema del reconocimiento facial en sitios públicos, la Comisión se remite al Reglamento General de Protección de Datos y a la Carta de Derechos Fundamentales para afirmar que la IA solo se puede utilizar para la identificación de personas cuando dicho uso esté justificado, sea proporcionado y esté sujeto a las salvaguardas adecuadas.
Las aplicaciones de IA consideradas de alto riesgo tienen que cumplir requisitos relacionados con el conjunto de información que alimenta a los algoritmos, el almacenamiento de datos y registros, la información a facilitar a los usuarios de esos sistemas (incluido el hecho de que están interactuando con sistemas de IA y no con humanos), la robustez técnica, la posibilidad de que las personas puedan siempre controlar o incluso la desactivación de su funcionamiento.
En cuanto a los destinatarios de los requerimientos, la Comisión entiende que cada obligación debe de recaer sobre el agente que esté mejor posicionado para cumplirla, según el grado de control que tenga sobre la tecnología, y que los requisitos deben de ser cumplidos por todos los agentes que ofrecen productos o servicios basados en IA, independientemente de que estén establecidos en la UE o no.
El libro blanco termina con otra propuesta relevante. Parece que la Comisión se inclina por un esquema de certificación cuando menciona que es necesario establecer un análisis de conformidad previo y objetivo para asegurar que las aplicaciones de alto riesgo cumplen con los requisitos señalados anteriormente.
Veremos en qué se concretan las propuestas anteriores. De momento, el documento está abierto a comentarios hasta el 19 de mayo de 2020.
Alejandro Sánchez del Campo, of counsel en el área de Startups & Open Innovation de Garrigues.