La Unión Europea se ha marcado el objetivo de ser líder global en innovación en la economía de los datos, construyendo ecosistemas de excelencia y confianza. En este contexto, el último paso significativo ha sido la publicación del libro blanco sobre inteligencia artificial (IA), que había anunciado la presidenta de la Comisión Europea al principio de su mandato.

La segunda parte del documento está dedicada a las cuestiones regulatorias que son necesarias para generar dicha confianza. De acuerdo con el texto, la inteligencia artificial aporta innumerables ventajas, pero también plantea dos tipos de riesgos que deben ser tenidos en cuenta:

  • Por un lado, para los derechos fundamentales, porque la IA puede tener sesgos y discriminaciones difíciles de detectar o puede ser utilizada para vigilancias masivas. Según explica la Comisión Europea en el libro blanco, las características específicas de estas tecnologías como la opacidad ("efecto de caja negra"), la complejidad, la imprevisibilidad o el comportamiento parcialmente autónomo, pueden dificultar la verificación y el cumplimiento de la legislación vigente. Las autoridades y las personas afectadas pueden carecer de los medios para verificar cómo se tomó una decisión y se pueden enfrentar a dificultades para tener un acceso efectivo a la justicia.
  • Por otro lado, para la seguridad y el funcionamiento efectivo del régimen de responsabilidad. Las autoridades de vigilancia del mercado pueden encontrarse con situaciones en las que no tienen claro si pueden intervenir, ya que es posible que no estén legalmente facultadas para actuar en casos en los que el riesgo no está relacionado con el producto como tal y/o no tengan las capacidades técnicas adecuadas para inspeccionar los sistemas.

El libro blanco considera que el sistema legal actual sobre responsabilidad y seguridad de los productos (principalmente la Directiva 85/374/CEE en materia de responsabilidad por los daños causados por productos defectuosos) es, en principio, suficiente para cubrir una buena parte de los interrogantes jurídicos que se plantean, aunque la Comisión entiende que se puede modificar para mejorar algunas situaciones puntuales como las siguientes:

  • La normativa europea sobre seguridad se aplica generalmente a productos y no a servicios, ni por tanto a servicios basados en IA.
  • La integración de software durante la vida útil de los productos puede modificar su funcionamiento. Los riesgos que eso provoca pueden no estar adecuadamente cubiertos porque la normativa se fija básicamente en el momento de su comercialización. Dicha normativa hace responsable al fabricante o comercializador del producto pero no está claro quién tiene que ser responsable si el software con IA ha sido añadido posteriormente por otra entidad diferente.
  • Hay riesgos que no están expresamente contemplados en la normativa como, por ejemplo, aquellos derivados de los ciberataques, las pérdidas de conectividad, etc.
  • Existe un peligro de fragmentación del mercado único digital si los Estados miembros aprueban normativas nacionales para minimizar dichos riesgos.

El tema de la responsabilidad y la seguridad de las tecnologías disruptivas es uno de los que más preocupa a la Comisión. De hecho, a la vez que el libro blanco, desde Bruselas se ha publicado un informe sobre las implicaciones de la inteligencia artificial, el internet de las cosas y la robótica, que complementa a otro similar de diciembre de 2019 sobre responsabilidad de la inteligencia artificial y otras tecnologías digitales emergentes. En dichos informes se proponen también ciertos ajustes a la regulación existente.

A los efectos de fijar el alcance de la futura normativa, es esencial clarificar a qué nos referimos con inteligencia artificial. El libro blanco toma la definición que el grupo de expertos incluyó en el reciente documento de Directrices éticas para una IA fiable:

“Los sistemas de inteligencia artificial (IA) son sistemas de software (y en algunos casos también de hardware) diseñados por seres humanos que, dado un objetivo complejo, actúan en la dimensión física o digital mediante la percepción de su entorno a través de la obtención de datos, la interpretación de los datos estructurados o no estructurados que recopilan, el razonamiento sobre el conocimiento o el procesamiento de la información derivados de esos datos, y decidiendo la acción o acciones óptimas que deben llevar a cabo para lograr el objetivo establecido. Los sistemas de IA pueden utilizar normas simbólicas o aprender un modelo numérico; también pueden adaptar su conducta mediante el análisis del modo en que el entorno se ve afectado por sus acciones anteriores. La IA es una disciplina científica que incluye varios enfoques y técnicas, como el aprendizaje automático (del que el aprendizaje profundo y el aprendizaje por refuerzo constituyen algunos ejemplos), el razonamiento automático (que incluye la planificación, programación, representación y razonamiento de conocimientos, búsqueda y optimización) y la robótica (que incluye el control, la percepción, sensores y accionadores así como la integración de todas las demás técnicas en sistemas ciberfísicos)”.

Un punto importante es el principio de que el nuevo marco regulatorio debería ser efectivo sin crear una carga desproporcionada, especialmente para las pequeñas empresas. Para alcanzar este equilibrio y que la intervención sea proporcional, la Comisión Europea entiende que se debe seguir un enfoque regulatorio basado en el riesgo. Según el libro blanco, una aplicación de IA debe considerarse de alto riesgo dependiendo del sector en el que opere -en concreto menciona salud, transporte, energía y sector público- así como de si el uso previsto implica riesgos significativos, en particular desde el punto de vista de la protección de la seguridad, los derechos del consumidor y los derechos fundamentales.

En principio se deben de dar ambos criterios (sector y riesgos significativos cuando se use) para que se apliquen los requerimientos que se mencionarán a continuación, pero la Comisión introduce otros ejemplos de situaciones excepcionales que también se consideran de alto riesgo, como son usar la IA para procesos de reclutamiento o para identificación biométrica remota. De hecho, en relación con el tema del reconocimiento facial en sitios públicos, la Comisión se remite al Reglamento General de Protección de Datos y a la Carta de Derechos Fundamentales para afirmar que la IA solo se puede utilizar para la identificación de personas cuando dicho uso esté justificado, sea proporcionado y esté sujeto a las salvaguardas adecuadas.

Las aplicaciones de IA consideradas de alto riesgo tienen que cumplir requisitos relacionados con el conjunto de información que alimenta a los algoritmos, el almacenamiento de datos y registros, la información a facilitar a los usuarios de esos sistemas (incluido el hecho de que están interactuando con sistemas de IA y no con humanos), la robustez técnica, la posibilidad de que las personas puedan siempre controlar o incluso la desactivación de su funcionamiento.

En cuanto a los destinatarios de los requerimientos, la Comisión entiende que cada obligación debe de recaer sobre el agente que esté mejor posicionado para cumplirla, según el grado de control que tenga sobre la tecnología, y que los requisitos deben de ser cumplidos por todos los agentes que ofrecen productos o servicios basados en IA, independientemente de que estén establecidos en la UE o no.

El libro blanco termina con otra propuesta relevante. Parece que la Comisión se inclina por un esquema de certificación cuando menciona que es necesario establecer un análisis de conformidad previo y objetivo para asegurar que las aplicaciones de alto riesgo cumplen con los requisitos señalados anteriormente.