I. Introducción: una historia antigua para un nuevo reto tecnológico
Como bien sabe el lector, Geppetto, un viejo, solitario y zurdo carpintero, más pobre que las ratas —si se me permite la licencia—, tomó de otro colega artesano un trozo de madera de pino parlante, en el que éste se disponía a tallar una pata para una mesa, y, aquél, con el propósito de probar suerte con los títeres con más fortuna de la que tenía como carpintero, terminó tallando a Pinocho. Tan pronto como el hada le da vida, comienzan las aventuras y desventuras de este títere, que arrastran consigo a su paciente y amoroso padre, Gepeto. Una historia la de Pinocho de evolución personal desde un espíritu, por decirlo suavemente y cuando menos, díscolo y atolondrado, hasta convertirse en un niño de carne y hueso y bien educado, por la paciencia y los desvelos de Geppetto, su padre.
No quiero con esto identificar a Geppetto con la Unión Europea, o en general con las Administraciones Públicas, aun cuando pueda tenerse por, no sé si vieja, pero sí de cierta edad ya, y también algo solitaria, al menos el nuevo reglamento que regula la inteligencia artificial —la denominada ley europea de inteligencia artificial— es la primera experiencia regulatoria mundial de carácter supranacional de este fenómeno tecnológico. Por otra parte, no parece que pueda tenérsela por zurda, ni por pobre. Quizás la Unión Europea, los Estados, las Administraciones Públicas en general, se encuentren a medio camino entre aquél, Gepeto, pues en realidad no puede decirse que hayan creado el objeto tecnológico de su regulación, y el pobre grillo parlante —el Pepe Grillo de Disney—, que tan fatal desenlace tuvo en la representación del papel que el autor del cuento le reservó, al pretender erigirse en la conciencia, en este caso, de una tecnología sin humanidad.
Tal vez Pinocho sea más identificable con el objeto de la regulación que constituye el tema de estas líneas, pues por su naturaleza y modo de funcionamiento, la inteligencia artificial puede parecer tan traviesa, díscola y por naturaleza tan poco controlable, como es aquel personaje que se nos aparece ahora un tanto alegórico.
También puede parecer que la nueva regulación europea y la posición de las Administraciones frente a la IA, sea el intento de evitar que nuestro títere parlante remasterizado se meta en problemas y termine devorado por la gran ballena —o tiburón—, que, como es sabido tampoco pudo evitar, ni él, ni Gepetto, en el cuento infantil.
Por cierto ¿son las grandes tecnológicas ese gran tiburón, o cetáceo, dispuesto a engullir a Pinocho? ¿Logrará Gepeto librarle de tan inquietante destino? ¿Es la Unión Europea —y con ella las Administraciones Públicas— algo más que el regulador de un nuevo mercado, y tiene cierta pretensión de madre adoptiva, paciente y amorosa —casi un demiurgo—, a la manera de nuestro personaje literario? ¿Sufrirá el triste y fatal final de Pepe Grillo? Veamos.
II. Antecedentes. Los trabajos del «Grupo Independiente de Expertos de Alto Nivel en IA de la Comisión Europea»: Directrices éticas para una inteligencia artificial fiable. Regulación escasa y defensiva
El Grupo independiente de Expertos de Alto Nivel en Inteligencia Artificial de la Comisión Europea, en su estudio publicado el 8 de abril de 2019, «Directrices éticas para una IA fiable», ya subrayaba que debe ser objetivo de interés general comunitario, garantizar un sistema de IA «fiable» o «digno de confianza», que debe pasar necesariamente por sublimar los derechos fundamentales reconocidos en el ámbito de la Unión, en una serie de principios morales y éticos, como son el necesario respeto a la dignidad humana y a la libertad del individuo; el respeto por la democracia, la justicia y el Estado de Derecho; la igualdad, no discriminación y la solidaridad, así como los derechos ciudadanos. Se trata de construir un sistema de IA que respete la autonomía y la libertad del ser humano, que establezca mecanismos de prevención de daños derivados de su uso, en definitiva, un sistema equitativo y transparente. En esas Directrices éticas, se proponía un sistema de autorregulación y la creación de una nueva certificación: Trustworthy Artificial Intelligence, con el objeto de definir lo público homologable, en línea con los principios anteriormente dichos.
La conformación de un espacio europeo digital único, impone la intervención de las instituciones públicas en la regulación del impacto de la IA en lo privado
En definitiva, la conformación de un espacio europeo digital único, impone la intervención de las instituciones públicas en la regulación del impacto de la IA en lo privado. Liberalización y compliance; autorregulación y control a posteriori de la actuación de los agentes económicos intervinientes, mediante la creación de Agencias de supervisión y el establecimiento de un régimen sancionador ad hoc; y, por encima de todo, el respeto de sacrosanto principio de libre circulación, en este caso de los sistemas de inteligencia artificial, que se configuran como bienes susceptibles de intercambio y dotados de innegable valor económico.
Pues bien, hasta el momento de la aprobación del Reglamento Comunitario de Inteligencia Artificial, o Ley Europea de Inteligencia Artificial, hace poco más de un mes, si hablar de inteligencia artificial era hablar de actividad automatizada, la regulación comunitaria de este tipo de tecnología se reducía a escasos preceptos, de importancia cualificada, eso sí, pero escasos, a la postre, en la Carta de Derechos Fundamentales y en el Reglamento General de Protección de Datos (LA LEY 6637/2016).
Efectivamente, los artículos 41 y 42 de la Carta de Derechos Fundamentales de la Unión, que reconocen como derecho de todo ciudadano el derecho a la transparencia y buen gobierno en las instituciones comunitarias —y por extensión en sus propias Administraciones nacionales—, así como los artículos 13, 14, 15, y particularmente, el artículo 22, todos ellos del Reglamento de Protección de Datos, que establece, en esencia, una regulación defensiva frente a la Inteligencia Artificial, frente a la actividad automatizada.
Conforme a estos antecedentes, uno de los retos principales que plantea la IA —dejaré para más adelante otros más centrados en lo público, como es la sujeción a los principios de la ciencia administrativa de la futura actividad administrativa mediante sistemas de IA—, es la necesidad de intervención administrativa en el mercado del dato y de la Inteligencia Artificial, mediante la oportuna creación de una agencia europea encargada de velar por una adecuada aplicación en términos éticos de las tecnologías de Inteligencia Artificial; o, lo que es lo mismo, el mantenimiento de un siempre difícil equilibrio entre ética y mercado.
Y el establecimiento de ese equilibrio es lo que se pretende conseguir mediante el último paquete normativo surgido de la factoría legisladora de la Unión.
III. La Ley Europea de Inteligencia Artificial. Algoritmos con alma. La IA al servicio del ciudadano. Ética y mercado: un difícil equilibrio. Supervisión permanente y control por los Estados: una Administración Pública de garantías. Las sandboxes como herramienta fundamental del sistema
1. Nuevo mapa normativo de la Inteligencia Artificial en Europa y España
Hace escasamente mes y medio, el 13 de marzo de 2024, el Parlamento Europeo aprobó la propuesta de Reglamento europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (ley de inteligencia artificial) y se modifican determinados actos legislativos de la Unión. Dicho Reglamento aún está pendiente de una última comprobación jurídico-lingüística, de suerte que su aprobación definitiva está sujeta todavía al procedimiento de corrección de errores, y debe todavía ser adoptada formalmente por el Consejo. Estas líneas se escriben en las inmediaciones de su aprobación, prevista, precisamente, para finales de este mes de abril, y comienzos del mes de mayo.
Es sin duda la regulación fundamental de esta herramienta tecnológica, a la que se unen dos propuestas de Directivas de responsabilidad civil en materia de inteligencia artificial, que son, por una parte, la propuesta de revisión de la Directiva 85/374/CEE (LA LEY 1943/1985) en materia de responsabilidad por daños causados por productos defectuosos; y la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la adaptación de las normas de responsabilidad civil extracontractual a la Inteligencia Artificial de 28 de septiembre de 2022. Esta regulación comunitaria se declara en armonía con la Carta de Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007) y viene a complementar el Reglamento General de Protección de Datos (LA LEY 6637/2016) (Reglamento UE/2016/679), así como la Directiva de Protección de Datos en el ámbito penal (Directiva UE/2016/680 (LA LEY 6638/2016)).
Al Reglamento y a las Directivas antedichas, debe añadirse la creación de la Oficina Europea de Inteligencia Artificial por Decisión de la Comisión de 24 de enero de 2024.
En el plano normativo interno cabe hacer mención especial de dos hitos fundamentales, pioneros en el ámbito de la Unión Europea, que se anticipan a la reglamentación europea antedicha; por una parte, la creación de la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), y, por otro, la creación de una sandbox regulatoria de inteligencia artificial. La Agencia Española de supervisión de la Inteligencia Artificial (o AESIA), se crea por D.A. 7ª de la Ley 28/2022, de 21 de diciembre (LA LEY 26453/2022) de Fomento del Ecosistema de Empresas Emergentes, y su estatuto es aprobado por Real Decreto 729/2023, de 22 de agosto (LA LEY 24251/2023). Por otra parte, la creación de la antedicha sandbox tiene lugar por el Real Decreto 817/2023, de 8 de noviembre (LA LEY 29419/2023), que establece un entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (LA LEY 10113/2021).
La interrogante que encabeza estas líneas pretende tener respuesta desde el primer considerando de la Ley Europea de inteligencia Artificial. Efectivamente, se trata, mediante el Reglamento europeo de inteligencia artificial, de «promover la adopción de una IA centrada en el ser humano y fiable, garantizando al mismo tiemplo un elevado nivel de protección de la salud, seguridad y derechos fundamentales consignados en la Carta de Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007), en particular la democracia, el estado de derecho y la protección del medio ambiente, frente a los efectos perjudiciales de los sistemas de IA en la Unión, así como brindar apoyo a la innovación .». Tales fines quedan plasmados en el primer artículo del Reglamento.
Se trata de garantizar una inteligencia artificial con alma, en equilibrio con la necesaria libre circulación transfronteriza de bienes y servicios basados en la Inteligencia Artificial, impidiendo que los Estados impongan restricciones al desarrollo, la comercialización y el uso de los sistemas de IA, al margen de lo que expresamente autorice el Reglamento Comunitario.
En definitiva, se identifica como objetivo fundamental, facilitar el desarrollo de un mercado único, para un uso legal, seguro y fiable de las aplicaciones de IA y evitar la fragmentación del mercado. Seguridad jurídica, garantía de protección de derechos fundamentales y desarrollo de un mercado único, son los hitos fundamentales de la regulación europea.
2. Definición de Inteligencia Artificial
Pero, ¿qué se entiende por Inteligencia Artificial a la luz del Reglamento Europeo? Es el primero de los conceptos o definiciones que aparecen en el ya habitual listado de definiciones que se incorporan al comienzo de toda norma comunitaria. Así, debe entenderse por «sistema de IA», todo «sistema basado en una máquina diseñado para funcionar con distintos niveles de autonomía, que puede mostrar capacidad de adaptación tras el despliegue y que, para objetivos explícitos o implícitos, infiere de la información de entrada que recibe la manera de generar información de salida, como predicciones, contenidos, recomendaciones o decisiones, que puede influir en entornos físicos o virtuales».
No nos encontramos ante una norma comunitaria reguladora del régimen de utilización de este tipo de tecnología por las Administraciones Públicas. Es regulación de actividad económica inter privatos, dirigida a proveedores y responsables de despliegue de sistemas de inteligencia artificial, fabricantes de productos que introduzcan o pongan en servicio sistemas de IA, importadores y distribuidores de sistemas de IA y, en todo caso, queda fuera del ámbito de aplicación de este Reglamento todo lo relacionado con las competencias de los Estados miembros en materia de seguridad nacional, o con fines militares; como tampoco a sistemas de Inteligencia Artificial con fines exclusivos de investigación científica, como tampoco a ninguna actividad de investigación, prueba o desarrollo relativa a sistemas o modelos de IA antes de su introducción en el mercado o puesta en servicio, artículo 2.
3. Catalogación de categorías de sistemas de IA por razón del riesgo en el terreno de los derechos fundamentales. En particular los sistemas de alto riesgo
A partir de aquí, se establece una categorización de prácticas de inteligencia artificial, en razón del mayor o menor impacto en el terreno de los derechos fundamentales de las personas y de la privacidad y seguridad pública. Estamos ante un enfoque basado en el riesgo. Y así se distingue entre prácticas de IA prohibidas, sistemas de IA de alto riesgo, sistemas de IA de riesgo limitado y sistemas de riesgo bajo o mínimo.
Entre los primeros, regulados en el artículo 5 del Reglamento, se definen como sistemas de riesgo inaceptable, aquellos sistemas que atente contra derechos fundamentales y seguridad pública, que tengan potencial de manipulación mediante técnicas subliminales. Se trata de técnicas «deliberadamente manipuladoras o engañosas con el objetivo o el efecto de alterar de manera sustancial el comportamiento de una persona o un grupo de personas, mermando de manera apreciable su capacidad para tomar una decisión informada y haciendo que una persona tome una decisión que de otro modo no habría tomado, de un modo que provoque, o sea probable que provoque, perjuicios considerables a esa persona, a otra persona o aun grupo de personas».
Se refiere el artículo 6 a sistemas de alto riesgo, por razón del impacto negativo que puedan tener en los derechos fundamentales. Este tipo de sistemas se permiten siempre y cuando cumplan determinados requisitos, como evaluación y mitigación del riesgo, supervisión humana, transparencia y evaluación de impacto en los derechos fundamentales y resultados favorables de la evaluación de conformidad que han de realizar ex ante. Conforme al Anexo III pertenecen a esta categoría los siguientes:
- a. Sistemas de identificación biométrica (los que identifiquen personas sin su participación activa, recordando la prohibición existente para las fuerzas y cuerpos de seguridad mencionada antes.
- b. Gestión de infraestructuras críticas (como el tráfico, la electricidad o el agua).
- c. Educación y formación profesional (como gestión del acceso a la educación o planificación del desarrollo académico).
- d. Selección de personal y gestión de las relaciones laborales.
- e. Gestión del acceso de las personas a servicios esenciales públicos y privados (como beneficios sociales, servicios de emergencia, crédito o seguros).
- f. Actividades de fuerzas y cuerpos de seguridad (como valoración de pruebas o de sospechosos).
- g. Migración, asilo y control de fronteras (como polígrafos, o valoración de solicitudes).
- h. Administración de justicia y procesos democráticos
El diseño se cierra, con la previsión de sistemas de riesgo limitado o sistema de propósito general, respecto de los que se prevé un uso permitido, siempre que cumplan con las obligaciones específicas de transparencia hacia los usuarios, y, finalmente, por defecto, la categoría de sistemas de riesgo bajo o mínimo para todo lo que no sea catalogable en alguno de los anteriores.
En torno a los sistemas de alto riesgo, se articula principalmente la totalidad de la regulación comunitaria contenida en la Ley europea, mediante el establecimiento de una serie de características de este tipo de sistemas, un catálogo de obligaciones que se imponen a proveedores y usuarios —capítulo III—, estándares, evaluaciones de conformidad, certificados y registro —capítulo V—, obligaciones de transparencia hacia el usuario de manera que en todo momento conozcan que están interactuando con sistemas de inteligencia artificial —título IV—; incorpora una trascendental regulación de las sandboxes como medida de apoyo a la innovación en esta materia —título V—. Mención especial merece la regulación de este tipo de entornos controlados de prueba, pues se trata de una herramienta fundamental en el control público del desarrollo de este tipo de sistemas.
4. Herramientas para una supervisión permanente. En España, una Administración Pública de garantías en la IA. La regulación de la sandbox y la creación de AESIA
La regulación comunitaria se completa con la previsión de normas sobre gobernanza, que contemplan la creación tanto de autoridades comunitarias, como nacionales de supervisión —título VI—, como es el caso del Comité Europeo de Inteligencia Artificial —capítulo 1º— y las autoridades nacionales respecto de las cuales el capítulo 2º recoge una serie de normas. Asimismo, se prevé la monitorización post-comercialización de este tipo de sistemas —título VIII—, la regulación de códigos de conducta —título IX—, junto todo ello a un catálogo de infracciones y sanciones —título X—.
En definitiva, estamos ante una completa regulación, centrada en el riesgo de impacto en los derechos fundamentales de las personas, la defensa del estado de derecho y de la democracia, que toma como figura central de su regulación, desde este punto de vista, a los sistemas de riesgo alto, para los que prevé, primero, una monitorización en la ideación y producción de este tipo de sistemas, momento en el que desempeña un papel esencial la regulación de los entornos controlados o sandboxes, así como una monitorización post-comercialización de este tipo de productos, desempeñando un papel fundamental en todo este proceso las respectivas autoridades nacionales y la autoridad comunitaria.
Decía al principio de este trabajo, y así podrá intuir el lector si el narrador ha cumplido mínimamente con el papel que le es propio, que no nos encontramos sólo ante la supervisión pública de una actividad económica privada en garantía del principio de libre circulación de mercancías y capitales.
Se pretende a lo largo de la ideación, fabricación y puesta en funcionamiento previa comercialización de este tipo de sistemas, la monitorización y control de los mismos, los de alto riesgo, para su ajuste a los principios y valores propios que inspiran la Democracia y el Estado de Derecho, desde la perspectiva de la Carta de Derechos Fundamentales de la Unión. La dimensión política de la regulación, trascendiendo lo meramente económico es evidente.
Y, añadido a lo anterior, desde la perspectiva interna, España, su Gobierno, lo asume como tarea propia, y, yendo más allá de la mera supervisión, se erige en Administración de garantías, en el terreno de la efectividad de los derechos fundamentales del ciudadano. Dos herramientas fundamentales se emplean en esta empresa.
En primer lugar, la regulación reglamentaria de las sandboxes, y, de manera particular, el Real Decreto 817/2023 de 8 de noviembre (LA LEY 29419/2023), en el plano interno, que sigue la senda marcada por su precedente en el sector financiero, de la mano de la Ley 7/2020, de 13 de noviembre (LA LEY 21826/2020), para la transformación digital del sistema financiero. Se erigen los entornos controlados de pruebas como, banco de prueba o, literalmente, cajón de arena, donde testar sin consecuencias irreparables, y antes de su puesta en servicio, el comportamiento y prestaciones de este tipo de sistemas, que, una vez libres, tenderán a un funcionamiento autónomo, porque para eso están pensados e ideados. Sin ánimo de extenderme en la cuestión, sí cabe apuntar que este tipo de entornos son producto y consecuencia de fórmulas de colaboración público-privada, con el objeto de lograr sistemas de inteligencia artificial confiables, que asimismo podrán ser utilizadas por las propias Administraciones públicas. Del mismo modo, en dicho entorno controlado pueden participar, tanto las entidades privadas seleccionadas, como Administraciones públicas.
Y, en segundo lugar, todo ello, bajo el control y supervisión de, en este momento, la Secretaria de Estado de Digitalización, dentro del Ministerio de Asuntos Económicos y de Transformación digital, pues es esta Secretaría de Estado, y por consiguiente, de manera directa el Gobierno de la Nación, quien va a controlar la Agencia Española de Supervisión de la Inteligencia Artificial, que es una Agencia estatal de las previstas en los artículos 108 bis (LA LEY 15011/2015) a 108 sexies de la Ley 40/2015, de 1 de octubre (LA LEY 15011/2015). Nótese que no estamos ante una Autoridad independiente, de las reguladas en los artículos 109 y siguientes de la referida Ley, al modo de la Agencia Española de Protección de Datos, sino de una Agencia estatal. La Presidencia de la Agencia la ostenta, precisamente el titular en cada momento de la Secretaría de Estado y, en definitiva, como decía antes, quien controla la Agencia es, directamente, el Gobierno de la Nación.
Por tanto es un proceso el de creación y puesta en funcionamiento, así como de monitorización ulterior, sometido a la supervisión directa del Estado, no de una autoridad independiente, con las consecuencias y derivadas que puede implicar.
IV. Inteligencia artificial y Administración pública: ¿una asignatura pendiente? Conclusión y cierre
Pero dicho todo lo anterior, ¿qué ocurre con la Inteligencia Artificial en lo público? Ya hemos dicho que este paquete normativo comunitario cubre uno de los retos que la IA ofrece a las Administraciones Públicas, que es, como decía antes, la necesaria intervención administrativa en el mercado del dato y de la IA, intervención que, como es de ver, va más allá de lo meramente comercial, pues confiere al uso y tráfico de este tipo de producto tecnológico un matiz humano, mediante la preservación en definitiva de un espacio libre de inmisiones para el ciudadano en el terreno de sus derechos fundamentales.
Para otro momento queda el tratamiento de la cuestión, no menor, de si basta con una tutela directa por el Estado o tal protección quedaría más garantizada mediante el establecimiento al frente de todo el sistema de protección que se erige de una autoridad netamente independiente.
Y, ¿qué ocurre con el segundo de los retos que plantea la IA en el terreno de lo público?, esto es, la necesidad de sujeción a los principios fundamentales de la ciencia administrativa de los resultados de la aplicación de las técnicas de IA por las Administraciones Públicas, sobre la base del derecho del ciudadano a la buena administración.
No hay propiamente regulación comunitaria, a lo mejor no es el foro legislativo más indicado, sobre el uso de la IA por las Administraciones Públicas
Este territorio permanece inexplorado. No hay propiamente regulación comunitaria, a lo mejor no es el foro legislativo más indicado, sobre el uso de la IA por las Administraciones Públicas. Así, el tratamiento de la naturaleza jurídica, o de la dimensión jurídica de la naturaleza del algoritmo y los códigos fuente como auténticos actos o disposiciones administrativos, cuando de su empleo por las Administraciones se trata, permanece en la oscuridad.
Otro tanto cabe decir sobre la definición del ámbito de actuación administrativa, si la reglada o la discrecional, que constituye campo de aplicación de este tipo de sistemas. En definitiva, la definición del uso que de la Inteligencia Artificial van a realizar las Administraciones Públicas, permanece alejada del foco actual de estudio y regulación concreta.
Por otra parte, y atendido el contenido regulatorio de los entornos controlados de prueba, o sandboxes, de manera particular en el Real Decreto 817/2023 (LA LEY 29419/2023), ¿las fórmulas de colaboración público-privada en la ideación y configuración de este tipo de sistemas que allí se contemplan, sirven también en lo público? Asimismo, ¿el presente proceso va a ser liderado enteramente por el Estado? ¿Cuál puede ser el papel que van a representar las Comunidades Autónomas en todo este proceso? ¿Es necesario repensar los principios fundamentales de la Ciencia y Derecho administrativos, a la luz principalmente de los principios de transparencia y buen gobierno? ¿Nos sirve el derecho administrativo que hoy conocemos o precisamos de otro derecho sobre principios superadores de la radical diferencia entre lo público y lo privado?
En fin, interrogantes que dan para muchas más líneas, pero que razones sistemáticas obligan a dejar meramente apuntadas. Está por ver si el Pinocho díscolo que por naturaleza se antoja esta tecnología, evoluciona hasta, como el personaje literario, convertirse en un niño de carne y hueso, bien educado, de la mano paciente y educadora de Gepeto. Estamos ante el inicio de un viaje que no ha hecho más que empezar. Cabe esperar que la Unión, los Estados, las Administraciones Públicas en general —y con ellos los ciudadanos—, no tengan el mismo final que el malhadado grillo parlante.