Carlos B Fernández. Una vez conocido su contenido, podemos adelantar algo más de la propuesta, a expensas de la versión definitiva del documento que, según los expertos consultados, no será, previsiblemente, muy distinta y que, en principio, tendrá lugar el próximo día 19 de febrero,
Objetivo y estructura
El objetivo de este documento, es elaborar un conjunto de propuestas que permitan establecer un marco regulatorio europeo para la inteligencia artificial, que promueva el desarrollo de esta tecnología en el continente, asegurando a la vez el respeto a los valores y principios de la Unión.
El borrador de documento que se ha conocido, plantea diversas opciones para esa regulación, que van desde la creación de un estándar de adopción voluntaria de las empresas, que podrían emplear un distintivo o etiquetado que les identificase al efecto, al establecimiento de unas reglas normativas específicas.
Este marco incluirá en especial, referencias concretas al acceso a los datos necesarios para esta tecnología, así como a los regímenes de seguridad y responsabilidad aplicables a su uso.
El documento está estructurado en seis secciones: Introducción; Marco regulatorio actual; Políticas de apoyo y adopción de la inteligencia artificial; Facilitar el acceso a los datos; Marco regulatorio para la IA y Conclusión (cuyo contenido se conocerá previsiblemente el mismo día de su presentación).
En su versión final, irá acompañado a su vez de otros tres documentos: un informe sobre las implicaciones que supone el uso de la IA, de la Internet de las cosas y de otras tecnologías digitales para el marco europeo de seguridad y responsabilidad; una propuesta de Reglamento del Consejo sobre la computación de alto rendimiento (high performance computing) y la revisión del Plan Coordinado para la Inteligencia Artificial.
Definición de la IA
El White Paper considera esencial contar con una definición precisa de IA. En este sentido estima que desde el punto de vista jurídico esta definición debería venir establecida por sus funciones. Algo que, desde el punto de vista funcional obliga a tener en cuenta las características que diferencian a la IA del software convencional.
En este sentido, establece que la IA puede ser definida como aquel software que, integrado o no con un hardware, ofrece algunas o una combinación de las siguientes funcionalidades:
- • La simulación del trabajo de la inteligencia humana, como el aprendizaje, la resolución de problemas, el razonamiento y la autocorrección.
- • La realización de determinadas tareas complejas como la percepción visual, el reconocimiento del lenguaje oral, la toma de decisiones o la traducción, con un determinado nivel de autonomía, incluyendo determinado nivel de autoaprendizaje
- • Todo ello mediante la adquisición, el tratamiento y el análisis racional o razonado de una gran cantidad de información
Los riesgos de la IA
El documento aborda primer lugar los problemas o riesgos que plantean el uso de los sistemas de inteligencia artificial.
Estos se centran en dos bloques principales: a) los riesgos para los derechos fundamentales, es especial los de no discriminación, privacidad y protección de datos, y b) los riesgos relacionados con la seguridad de los sistemas y con la responsabilidad derivada de su uso.
Los riesgos relacionados con la discriminación se pueden deber principalmente a errores o sesgos intencionados en el diseño técnico de los sistemas, a la utilización de datos sesgados o al proceso de aprendizaje del propio sistema.
Los riesgos relacionados con la seguridad se asocian a la inclusión de sistemas inteligentes en productos y servicios como los vehículos autónomos, que a su vez dificulta el diseño de un sistema de atribución de responsabilidad. Por otra parte, se señala, las características propias de la IA, como son su complejidad, autonomía y opacidad (el conocido efecto “black box”), dificultan la aplicación de la normativa actual. Y aunque algunos Estados miembros han comenzado a introducir regulaciones nacionales, esta dispersión regulatoria sobre una materia de características globales, no beneficia y justifica la adopción de un marco europeo armonizado.
Insuficiencia del marco regulatorio actual para afrontar los nuevos riesgos
El marco regulatorio que en la actualidad se está aplicando a la IA consiste en la Carta de Derecho Fundamentales de la Unión y en un conjunto de normativas sectoriales, como las Directivas 2000/43/CE, de 29 de junio de 2000 (LA LEY 7632/2000), sobre igualdad de trato de las personas independientemente de su origen racial o étnico; 2000/78/CE, de 27 de noviembre de 2000, sobre igualdad de trato en el empleo y la ocupación; 2001/95/CE, de 3 de diciembre de 2001, relativa a la seguridad general de los productos; 85/374/CEE, de 25 de julio de 1985, de responsabilidad por los daños causados por productos defectuosos, así como por la Decisión marco 2008/913/JAI del Consejo, de 28 de noviembre de 2008 (LA LEY 18047/2008), relativa a la lucha contra determinadas formas y manifestaciones de racismo y xenofobia mediante el Derecho penal y el RGPD.
Sin embargo, la Comisión ha podido comprobar que esta regulación resulta insuficiente cuando se aplica a la IA, en aspectos como: su alcance en relación con los derechos fundamentales; su aplicación a productos, pero no a servicios; la dificultad para atribuir responsabilidades entre diferentes intervinientes en la cadena de suministro de valor; la cambiante naturaleza de los productos, como consecuencia de la integración de la IA en los mismos; los nuevos riesgos como las ciberamenazas o la pérdida de conectividad y las dificultades relacionadas con la aplicación de esta normativa, a causa del carácter opaco (naturaleza de “caja negra”) y de la autonomía de estas aplicaciones.
Para paliar estas deficiencias, el Libro Blanco recuerda los tres pilares de la estrategia europea de IA: el apoyo a la industria europea y el aprovechamiento transversal de estas tecnologías por la sociedad, prepararse para los cambios socioeconómicos que van a suponer y asegurar un marco ético y jurídico adecuado para las mismas. Igualmente acoge los siete requisitos para el diseño de una IA confiable establecidos por un grupo de expertos de alto nivel de la Comisión, en abril de 2019.
Además, se recuerda el efecto irradiador que la política regulatoria europea tiene a nivel global y que se refleja en la vinculación de la UE a la propuesta de la OCDE sobre principios éticos aplicables a la IA, que ha sido también adoptada por el G20.
Las diferentes obligaciones derivadas del uso de sistemas de IA
El borrador de Libro Blanco identifica dos grandes bloques de obligaciones derivadas del desarrollo y utilización de sistemas inteligentes.
Los de carácter ex ante o preventivos, están orientados a aumentar la seguridad y a reducir los riesgos antes de que los productos lleguen al mercado o sean entregados al cliente, e incluyen:
- Para los desarrolladores de los sistemas
- • Exigencia de responsabilidad proactiva y de transparencia sobre los parámetros de diseño aplicados al sistema, los datos y metadatos utilizados y las auditorías realizadas
- • Establecimiento de unos principios generales para el diseño de aplicaciones
- • Obligación de evaluar los posibles riesgos asociados y de las medidas adoptadas para reducirlos
- Para los usuarios de los sistemas
- • Transparencia del uso realizado y de la información proporcionada a los clientes
- • Exigencia de calidad y diversidad de los datos utilizados para entrenar al sistema
- En general
- • Posibilidad de revisión por un humano de las decisiones adoptadas por el sistema
- • Exigencia de medidas especiales sobre ciberseguridad y protección de datos
Las obligaciones de tipo ex post, se orientan a las situaciones posteriores a la producción de un daño derivado de la utilización de sistemas inteligentes y a la responsabilidad derivada del mismo.
Entre ellos se incluyen:
- • Establecimiento de los supuestos de responsabilidad de los sistemas inteligentes, incluyendo las garantías procesales adecuadas.
- • Condiciones para la exigencia de las consecuencias de esa responsabilidad, incluyendo la aplicación de medios alternativos de solución de conflictos.
La Comisión destaca que el marco regulatorio del incumplimiento de estas obligaciones se basan en los procesos de reducción del riesgo, más que en la obtención de un resultado, como que la IA no debe ser discriminatoria.
Posibles opciones de regulación
Dada la variedad de riesgos a afrontar, la Comisión se plantea las siguientes cinco opciones de regulación:
1. Etiquetado voluntario
Consistente en un instrumento legal que establezca un marco voluntario de adhesión a una serie de principios éticos para el desarrollo de una IA confiable. La adopción de esos principios obligaría a su cumplimiento y, con él, al uso de esa etiqueta. Sin embargo, la Comisión reconoce que este sistema puede no ser adecuado para todos los supuestos.
2. Establecimiento de requisitos específicos para el uso de sistemas de IA por las autoridades públicas, en especial de sistemas de reconocimiento facial
El uso de sistemas de IA por las administraciones plantea importantes implicaciones para los ciudadanos. Por ello se propone un modelo como el las directrices canadienses sobre sistemas automatizados de toma de decisiones.
De acuerdo con el RGPD, los ciudadanos deben ser informados y dar su consentimiento para el uso de tecnologías que puedan producirles efectos jurídicos o equivalentes a los mismos.
El uso de sistemas de reconocimiento facial plantea especiales interrogantes que pueden llegar a sugerir la imposición de una limitación temporal de su uso en espacios públicos, en tanto se investigan sus implicaciones y la gestión de los riesgos asociados a su uso.
3. Establecimiento de requerimientos obligatorios basados en el riesgo, para aplicaciones de alto riesgo
Esta opción plantea el establecimiento de unas exigencias específicas para desarrolladores y usuarios de sistemas de IA considerados de alto riesgo, que son aquellos en los que se plantee una amenaza para un interés jurídico. Ello obliga a una clara diferenciación entre situaciones de alto y de bajo riesgo, en base a criterios como el sector de que se trate (considerando de mayor riesgo a sectores como el de la salud o el transporte), la aplicación de que se trate (considerando de alto riesgo a aplicaciones sobre criminalidad predictiva) o su calificación en función de la autoevaluación realizada por el sujeto.
4. Establecimiento de previsiones específicas sobre seguridad y responsabilidad derivadas del uso de sistemas de IA
En particular, se plantea adaptar a estas nuevas tecnologías la Directiva sobre seguridad de los productos, la Directiva 2006/42/CE, de 17 de mayo de 2006 (LA LEY 5808/2006), relativa a las máquinas, la Directiva 2014/53/UE, de 16 de abril de 2014 (LA LEY 7952/2014), sobre comercialización de equipos radioeléctricos, y la Directiva sobre seguridad general de los productos, para incorporar aspectos como el relativo a las ciberamenazas, los riesgos para la seguridad personal y los riesgos para la privacidad y la protección de datos.
Esta opción puede combinarse con cualquiera de las tres opciones anteriores.
5. Gobernanza
Por último, la Comisión considera que para asegurar que las normas que se puedan aprobar resulten eficaces, deben contar con un sistema que haga posible imponer su cumplimiento. Este sistema debe estar basado, en la mayor medida posible, en el marco de autoridades nacionales existente en la actualidad, complementado con un sistema común de supervisión y asesoramiento sobre estas materias.