La reciente aprobación de la primera regulación de la Inteligencia Artificial (IA) en el mundo parece arrojar un destello de luz a la complicada situación que nos ha tocado vivir.
Algunos piensan que no es más que otro obstáculo regulatorio al necesario desarrollo tecnológico, que tanto necesita la Unión Europea para salir del vagón de cola en el que nos encontramos, frente a estados como China o empresas multinacionales, como Microsoft (máximo accionista de OPEN AI y propietario de COPILOT), IBM, SAS o DATAROBOT que lideran la carrera de la IA.
En tiempos pasados, los europeos acostumbraban a liderar la política, la economía, el mercado, la investigación científica y el desarrollo tecnológico. Ahora, al menos, el Reglamento de IA (RIA) continúa con esta tradición de liderazgo en el ámbito regulatorio, como lo hizo hace tres décadas con el primer sistema de registro de marcas regional (la marca comunitaria) o más recientemente, el Reglamento General de Protección de Datos (RGPD), que tantas legislaciones de protección de datos personales está inspirando en todo el mundo.
El RIA es de necesario conocimiento y aplicación para cualquier actividad o entidad que pretenda actuar en la Unión Europea. Viene, al menos, a arrojar un poco de cordura ante la insaciable avidez de datos de los sistemas de IA, poniendo límites de transparencia de origen de los datos utilizados para el aprendizaje automático y exigiendo la licitud de su obtención sin vulnerar derechos. Nos facilita el primer mapa y guía de actuación para conseguir una IA garante de los derechos humanos y el medio ambiente.
La OCDE nos define de forma clara los sistemas de IA como “aquellos basados en máquinas que, con objetivos explícitos o implícitos, infieren, a partir de la entrada que reciben, como generar salidas tales como predicciones, contenidos, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales. Los distintos sistemas de IA varían en sus niveles de autonomía y capacidad de adaptación tras su despliegue».
El RIA se aplicará a todos los operadores de sistemas de IA, tanto a los proveedores de esos sistemas como a los usuarios que los exploten. Quedan fuera las autoridades públicas y organizaciones internacionales cuando utilicen sistemas IA en el ámbito de la cooperación policial o judicial con la UE o sus EEMM. Tampoco se aplica a los sistemas de uso militar o utilizados en el contexto de la seguridad nacional, ni a los utilizados con el solo propósito de la investigación y el desarrollo científico.
Antes de poner en marcha un sistema de IA deberemos valorar dos aspectos: En primer lugar, la calidad de los datos con los que alimentamos el sistema (si son suficientes y representativos). A mayor calidad de los datos que alimenten su aprendizaje, menores sesgos tendrán los sistemas de IA; y en segundo lugar, el impacto que podría provocar un error de estos sistemas.
El RIA clasifica los sistemas de IA según el riesgo, definido éste como la probabilidad que se produzca un daño y gravedad que acarrearía éste. Las categorías son las siguientes:
a) Sistemas cuyo riesgo es inaceptable, al representar una amenaza directa a la seguridad pública, los derechos fundamentales o la privacidad. Estos se caracterizan por:
El RIA prohíbe estos sistemas a partir del mes de octubre de 2024.
b) Sistemas de alto riesgo que podría suponer un considerable riesgo sobre la salud, la seguridad o los derechos fundamentales, tales como los productos o componentes de seguridad cubiertos por la legislación europea, sistemas destinados a la identificación biométrica, a reconocimiento de emociones, a gestionar infraestructuras críticas, educación y formación profesional, empleo o gestión de servicios esenciales, entre otros.
Se permitirá el desarrollo y uso de estos sistemas siempre y cuando cumplan los los siguientes siete requisitos:
1. Contar con un sistema de gestión de riesgos.
2. Establecer un sistema de gobernanza y gestión de los datos.
3. Contar con la documentación técnica actualizada.
4. Contar con registros de actividad del sistema.
5. Máxima transparencia y suministro de información a los usuarios sobre las capacidades del sistema, requisitos de equipamiento, ámbito de aplicación, nivel de precisión, etc.
6. Permitir la intervención y supervisión humana y
7. Proporcionar un nivel adecuado de precisión, robustez y ciberseguridad.
c) Sistemas de riesgo limitado o nulo para la salud, la seguridad o los derechos fundamentales, al realizar meras tareas limitadas, complementarias o preparatorias a la actividad humana. Sistemas permitidos siempre que se cumplas obligaciones de información y transparencia.
d) Sistemas de mínimo o nulo riesgo, permitidos sin restricciones.
Dependiendo del rol de actuación de cada operador del sistema (proveedor, importador, distribuidor o usuario), deberá cumplir una serie de obligaciones establecidas en el RIA.
Esta nueva situación no debe amedrentarnos puesto que la IA no ha venido a reemplazarnos, si bien es verdad que aquellos profesionales o entidades que no se ayuden de ésta, perderán, sin duda alguna, competitividad en el mercado.
Lo que debemos hacer es diseñar una correcta estrategia de actuación sobre los siguientes pilares:
a) Antes de desarrollar o poner en funcionamiento un sistema de IA, debemos identificar las amenazas y evaluar los riesgos. Nos podremos ayudar de eficaces herramientas, como la sistemas ISO 42001:2023, 23894:2023 o 23053:2022 (https://www.iso.org/es/sectores/tecnologias-ti/ia) o como la plataforma https://plot4.ai/ prestada en código abierto por su creadora @Isabel Barberá.
b) Establecer herramientas y medidas desde el diseño y por defecto que impidan el uso de datos personales e información sensible de la entidad al usar sistemas de IA en sus organizaciones.
c) Formar grupos y departamentos de análisis y decisión en las entidades que vayan a usar sistemas de IA en su actividad, ya sea como usuario o afectado, que cuenten con la formación y conocimiento necesarios e, imperiosamente, con un profesional en privacidad.
La estrategia tomada por el RIA tendrá éxito en la medida en que todos los operadores y afectados implicados ayudemos a ello. Al igual que aseguraremos el éxito de nuestra estrategia si actuamos unidos y no de forma individualizada. Esta vez no solo está en juego el éxito profesional o económico de nuestro proyecto, sino nuestra propia existencia.
David Muñoz de los Reyes
