Futura Ley de IA Europea
El próximo 23 de Febrero entrará en vigor la Ley de Inteligencia Artificial (IA) de la Unión Europea (UE), que se convertirá en el primer y más amplio marco regulatorio del mundo para la inteligencia artificial. Esta afectará a 27 países y a una población de mas de 447 millones de personas.
El borrador de esta ley se lanzó en abril de 2021, y ha generado ciertas preocupaciones en parte de la comunidad tecnológica mundial. Esto se debe a que su cumplimiento podría suponer un incremento de costes sustancial para las entidades que desarrollan sistemas de IA, con el riesgo de ralentizar la inversión e innovación en el sector. En cambio, es necesario que la futura IA garantice los derechos fundamentales de las personas físicas. Os dejo aquí un breve resumen de los elementos principales y mayores desafío de esta ley.
¿Qué es la Ley de IA de la UE?
La Ley de IA es la ley de la UE que regulará el desarrollo y el uso de sistemas de IA de "alto riesgo", incluidos los utilizados en recursos humanos, banca y educación.
Cualquier entidad que desarrolle, opere o comercialice sistemas de IA en Europa debe de conocer las implicaciones de esta Ley y definir marcos de gestión de riesgos de IA que minimicen el impacto legal, comercial y de reputación que su entrada en vigor tendrá en su actividad.
Esta propuesta forma parte de un paquete de IA más amplio, donde entre otras se incluye la Directiva de Responsabilidad de IA, la cual define el marco de compensaciones a víctimas en caso de daños causados por los sistemas de IA.
¿Cómo se estructura la Ley de IA?
En el siguiente gráfico resumo la estructura general:
Dejo aquí una “chuleta” para que sepas dónde encontrar cada cosa en el texto de borrador de Ley 🧐. Puedes acceder al texto original en este enlace:
Prohibiciones de determinadas prácticas de IA (Título II), estableciendo una lista de usos de IA prohibidos, y distinguiendo entre usos de la IA que generan un riesgo inaceptable, alto, o bajo/mínimo.
Requisitos para sistemas de IA de alto riesgo y obligaciones para operadores y usuarios (Título III), donde se establecen normas específicas para aquellos sistemas de IA con un riesgo potencial para la salud y la seguridad, o los derechos fundamentales de las personas físicas; y se definen una serie de obligaciones para los integrantes de la cadena de suministro de la IA
Obligaciones de transparencia para sistemas de IA que interactúen con personas (Título IV), así como los que se utilicen para detectar emociones o determinar la asociación con categorías sociales a partir de datos biométricos, y los que generen o manipulen contenido que pueda dar lugar a falsificaciones.
Medidas en favor de la innovación (Título V), donde además se propone la creación de un marco jurídico que favorezca la innovación, sea duradero en el tiempo y ofrezca resistencia a posibles perturbaciones.
Normas sobre el control y la vigilancia del mercado (Título VI, VII, VIII), donde se establecen los sistemas de gobernanza nacionales y a escala de la Unión Europea (Título VI), se sugiere la creación de una base de datos de sistemas de IA de alto riesgo independientes (Título VII), y se definen las obligaciones de seguimiento y presentación de información a cumplir por los proveedores de sistemas de IA
Establecimiento de un Código de conducta (Título IXI), para fomentar que los proveedores de sistemas de IA que no son de alto riesgo cumplan de manera voluntaria los requisitos de obligado cumplimiento en los sistemas de IA de alto riesgo.
¿A quién afectará la Ley?
La Ley de IA Europea afectará a:
Proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA en la Unión Europea
Usuarios de sistemas de IA en la Unión Europea
Proveedores y usuarios de sistemas de IA en un tercer país cuando la información de salida generada por el sistema se utilice en la Unión Europea.
Por lo tanto, la Ley tiene un carácter extraterritorial, ya que se aplicará a cualquier empresa a nivel mundial que venda o utilice su sistema de IA en la UE.
¿Cuales son las practicas de IA prohibidas?
La Ley define las siguientes prácticas prohibidas para sistemas de IA:
Servirse de técnicas subliminales para alterar de manera sustancial el comportamiento de personas, pudiendo causar perjuicios físicos o psicológicos propios o de terceros.
Aprovechar las vulnerabilidades de un grupo específico de personas debido a su edad o discapacidad física/mental, para alterar su comportamiento.
Evaluar o clasificar la fiabilidad de personas atendiendo a su conducta social o a características personales.
Usar sistemas de identificación biométrica remota en tiempo real en espacios de acceso público con fines policiales.
¿Cuál será el régimen de sanciones?
Se prevé la aplicación de sanciones muy elevadas por el incumplimiento de la ley, de hasta 30M€. Cuando la entidad infractora sea una empresa, las sanciones podría llegar hasta 6 % de su facturación anual mundial en el ejercicio anterior a la infracción
¿Cuáles son los mayores desafíos?
Algunos de los desafíos que plantea la Ley, o al menos los que más debate están provocando son estos:
La lista de actividades clasificadas como de “alto riesgo” genera discrepancias entre dos corrientes de pensamiento: una que persigue priorizar la protección de las personas y hacer la lista más extensa, y otra que persigue priorizar la aceleración de la innovación en el sector y flexibilizar los criterios de clasificación de alto riesgo.
La definición de IA es considerada demasiado amplia por parte de la comunidad tecnológica, ya que se refiere a “software de generación de resultados basado en enfoques estadísticos”. Muchos grupos están presionando por delimitar esta definición.
El modelo de supervisión propuesto genera ciertas dudas en cuanto a su efectividad. La ley propone el uso de un “sandbox”, que son espacios controlados de pruebas para sistemas IA, previo a su comercialización. Estos operarán bajo la supervisión de autoridades nacionales, que a su vez serán coordinadas por un Comité Europeo de Inteligencia Artificial, que a su vez estará compuesto por las autoridades nacionales de supervisión, y el Supervisor Europeo de Protección de Datos. Existen ciertas preocupaciones sobre la complejidad y eficiencia de este proceso supervisor
Ligado al modelo de supervisión, la aplicación de la ley supondría que para ciertos casos de uso, las empresas fabricantes han de proporcionar acceso a su código fuente y algoritmos a auditores externos o reguladores, lo cual preocupa a ciertos sectores.
La prohibición de usar sistemas de identificación biométrica remota en tiempo real en espacios de acceso público, supone un veto al uso de reconocimiento facial, lo cual está generando disconformidad por parte de las agencias de seguridad nacional de algunos países de la UE.
Algunos sectores industriales, consideran que hay un balance de obligaciones desproporcionado entre proveedores y usuarios de IA . Esto se debe a que la propuesta de Ley emplaza la mayoría de las obligaciones en los proveedores/desarrolladores de sistemas de IA, frente a las sugeridas para las organizaciones que compran e implementan sistemas de IA.
Seguiremos de cerca la evolución de esta iniciativa, que no puedo dejar de conectar con la publicación hace 5 años de los Principios Asilomar para el futuro desarrollo de la IA beneficiosa (impulsado por el Future of Life Institute), los cuales sentaron ciertas bases de consenso mundial sobre cómo debemos regular la IA en el futuro.
Si te interesa aportar ciertas reflexiones a este artículo, o ayudar a una mejor divulgación, no dudes en ponerte en contacto conmigo.