¿Cómo es la nueva Ley de IA que prepara la Unión Europea?

El impresionante desarrollo que está teniendo la IA en los últimos años está dando mucho que hablar. Su evolución está siendo tan rápida que muchos expertos están advirtiendo acerca de la necesidad de dejar en pausa su desarrollo durante algunos meses para analizar sus riesgos y repensar hacia dónde queremos ir.

En Silicon.es ya decíamos que el desarrollo de una IA explicable, ética y responsable sería uno de los grandes desafíos tecnológicos de los próximos años. En aquel reportaje nos hacíamos eco de algunas de iniciativas surgidas con el fin de tratar de regular los avances de esta tecnología, tanto por parte de organizaciones privadas como de instituciones públicas. Y entre ellas ya hablábamos del Reglamento de la Comisión Europea sobre el marco jurídico aplicable a los sistemas de IA.

No en vano, la Unión Europea siempre ha sido muy cauta y ha ido dando pequeños pasos en esta dirección desde hace tiempo. Por ejemplo, hace casi cinco años informábamos acerca de la publicación del primer borrador donde se recogían los principios éticos que se deben contemplar en el desarrollo de una IA confiable.

Asimismo, hace tres años nos hacíamos eco de los recelos que manifestaba la Unión Europea en torno al uso del reconocimiento facial en espacios públicos y analizábamos el posible impacto que podría tener en el desarrollo de esta industria.

Todos estos documentos han ido configurando el corpus sobre el que se sustenta la nueva Ley de la IA de la Unión Europea. “El Parlamento Europeo es consciente de los beneficios económicos y sociales que va a traer el uso de la IA en todos los sectores, pero también le preocupan los riesgos que plantean estas nuevas tecnologías, especialmente para los derechos humanos y las libertades fundamentales, en particular en lo que respecta a la discriminación, la protección de datos y la intimidad de los ciudadanos”, declara Enrique Puertas, profesor de IA y Big Data de la Universidad Europea (UE).

Principios de la nueva ley

La ley que prepara el Parlamento Europeo se vertebra en torno a seis principios. “La ley pretende garantizar que los sistemas de IA utilizados en la Unión Europea sean seguros, transparentes, rastreables, no discriminatorios y respetuosos con el medio ambiente. Además, aboga por la supervisión humana de los sistemas de IA para evitar causar daño”, detalla Maite López-Sánchez, catedrática en IA de la Universidad de Barcelona (UB).

Los vemos en detalle:

Sistemas seguros. “Es necesario aplicar el principio de precaución con tecnologías disruptivas como la IA y que pueden ser beneficiosas, pero hay que atender a los riesgos asociados, establecer las restricciones de seguridad apropiadas y garantizar la privacidad de las personas y la ciberseguridad”, explica Jordi Ferrer, profesor de EAE Business School y abogado especialista en Derecho Digital.

Garantía de transparencia. “La transparencia permite que se corrijan prácticas inadecuadas, especialmente en procesos de recogida de datos y entrenamiento de sistemas. Es necesario aplicar políticas de información entendibles y transparentes”, aclara Ferrer.

Trazabilidad del sistema. El profesor de EAE Business School señala que “se ha de garantizar entender y conocer cómo evoluciona el sistema, para en su caso poder trazar e investigar su funcionamiento”.

Garantía de no discriminación. “Los sistemas deben evitar los prejuicios injustos, ya que podrían tener múltiples implicaciones negativas, desde la marginación de los grupos vulnerables, raciales hasta la exacerbación de los prejuicios y la discriminación”, advierte.

Respeto al medio ambiente. Ferrer recuerda que se trata de “sistemas con un gran consumo de energía y que han de ponderarse con la actual situación de garantías de sostenibilidad”. Hace poco también publicamos un reportaje abordando este asunto.

Supervisados por personas. El experto de EAE Business School hace hincapié en que “la automatización de principio a fin no es aceptable, ya que puede generar resultados perjudiciales”, por lo que insiste en que “ha de ser aplicable supervisión humana en algún momento del proceso”.

Finalmente, Ferrer especifica que “el reglamento pretende establecer una definición uniforme y tecnológicamente neutra de la IA y que permita la evolución de los sistemas que avanzan con su aplicación”.

‘Líneas rojas’ ante los riesgos inaceptables

Una de las novedades de la ley es el establecimiento de diversas obligaciones para proveedores tecnológicos en función de una evaluación del nivel de riesgo de la IA. “Este análisis de riesgos ya se aplica en sistema de tratamientos de datos personales, a raíz de la normativa europea de privacidad”, aclara el profesor de EAE Business School.

De este modo, se fija una categorización del nivel de riesgo de los modelos de IA. “Se definen cuatro niveles de riesgo: inaceptable, alto, limitado y bajo o mínimo. El nivel de riesgo se establece en función de los tipos de datos que se usan y el propósito de uso de los modelos de IA”, detalla Puertas.

El máximo nivel de riesgo se asocia a sistemas que puedan representar una amenaza para las personas. La Unión Europea fija aquí una ‘línea roja’ y los considera inaceptables, por lo que serán prohibidos.

Ferrer pone algunos ejemplos. Uno de ellos serían los sistemas que comporten una manipulación cognitiva del comportamiento de personas o grupos vulnerables específicos como niños. “El ejemplo serían juguetes con IA y control por voz que puedan comportar riesgos en los menores”.

También habla de los sistemas de scoring o puntuación social. “La IA clasificaría las personas atendiendo a comportamientos, características personales, etc. Estos sistemas funcionan en China, por ejemplo”. Y la ley también habla de los sistemas de identificación biométrica en tiempo real, refiriéndose al reconocimiento facial.

“El segundo nivel de riesgo corresponde a sistemas que impactan negativamente en la seguridad o los derechos fundamentales de las personas, como los dispositivos médicos, la aviación, la educación, el empleo o la interpretación de la ley, entre otros. Estos sistemas deberán ser evaluados a lo largo de toda su vida útil”, explica López. Respecto a los sistemas de alto riesgo, especifica que “aunque no se prohíben, sí se les hace una evaluación y seguimiento cercano”.

La profesora de la UB indica que también “se identifican sistemas de un nivel de riesgo limitado, para los que únicamente se requieren mecanismos de transparencia que permitan tomar decisiones de manera informada”.

Especial atención a la IA generativa

Aunque la ley empezó a fraguarse antes de la irrupción de ChatGPT y la IA generativa, la Unión Europea ha estado rápida y ha incluido algunos puntos referidos a este asunto.

“En la última versión que se votó, en mayo de 2023, se introdujo a última hora el concepto de IA generativa. Muchos de los problemas que podrían surgir con las IA generativas, como noticias falsas, deep fakes, suplantación de identidad, etc., sí que están contemplados en la nueva ley, ya que se ha diseñado fijándose más en el propósito de uso que en la tecnología de IA concreta que haya por debajo. Por tanto, muchas de esas situaciones estarían contempladas y reguladas”, declara el profesor de la UE.

Ferrer considera que la solución ante posibles problemas que pudiera generar la IA generativa pasaría “por dar fiel cumplimiento al principio de transparencia que vendrá recogido en la normativa”.

Y esto se concreta así: “El sistema ha de informar obligatoriamente de que el contenido ha sido generado por IA. Además, debería estar entrenado y diseñado de forma que no se generen contenidos ilegales y que puedan atentar contra normativa. Por ejemplo, que no vulnere la privacidad. Finalmente, se debe dar transparencia y publicar resúmenes de los datos protegidos por derechos de autor utilizados para el entrenamiento del sistema”, apunta el experto del EAE Business School.

Por otra parte, Puertas alerta de que “hay otro tipo de aspectos que se quedan ‘cojos’, como los relacionados con la propiedad intelectual, ya que la propuesta de mayo deja muchos aspectos que afectan a la IA generativa en el aire”.

Beneficios, pero también limitaciones

La nueva regulación traerá beneficios para las empresas tecnológicas. “El beneficio más inmediato es que se fijan las ‘reglas del juego’ sobre el uso de la IA. En estos momentos, nos encontramos con una situación en la que contamos con una normativa sobre protección de datos, el RGPD, que no cubre todos los aspectos relacionados con el desarrollo de modelos de IA, lo que está generando mucha incertidumbre y frenando el desarrollo de proyectos por falta de seguridad normativa”, expone Puertas.

La ley también repercutirá positivamente en los ciudadanos. “El hecho de tener una regulación específica nos debería garantizar que los derechos fundamentales se están respetando cuando se aplican algoritmos de IA para la toma de decisiones que puedan impactar en nuestras vidas”, afirma.

Sin embargo, las limitaciones que marca la ley europea también podrían afectar negativamente a la innovación y la competitividad de las empresas tecnológicas europeas, frente a las compañías radicadas en otros países.

“La IA necesita datos. Se alimenta de ellos y los necesita para entrenar los algoritmos y que éstos sean eficientes. Si las empresas se encuentran con trabas para usar datos, el desarrollo de modelos de IA va a estar muy limitado en Europa. Ya estamos viendo síntomas de este problema, que se pueden ir acrecentando con el tiempo”, remarca el experto de la UE.

“Por ejemplo, vemos cómo algunas de las tecnologías de IA más populares, las de generación de imágenes a partir de textos, al haberse desarrollado todas en Estados Unidos, sólo funcionan cuando se introducen textos en inglés. No funcionan para el alemán, el francés, el español u otros idiomas de la Unión Europea. Otro ejemplo ha sido el reciente lanzamiento de la red social Threads, que ha conseguido más de 100 millones de usuarios en un breve período de tiempo, pero muy pocos son ciudadanos de la Unión Europea, ya que la empresa creadora, Meta, ha decidido no lanzarla inicialmente en Europa porque considera que las políticas de protección de datos de la Unión son demasiado estrictas”, precisa.

“Si no se alcanza un equilibrio que garantice la privacidad de los ciudadanos y que, al mismo tiempo, se puedan usar los datos para entrenar algoritmos, empezaremos a ver cómo las empresas e instituciones de Estados Unidos y China se desmarcan en competitividad e innovación de las europeas. Y esa brecha puede suponer un problema muy serio para la Unión Europea”, añade.

De hecho, recuerda que “la Unión Europea siempre ha sido una de las regiones más garantistas en cuanto a transparencia y privacidad de los datos de sus ciudadanos”, mientras que “otras regiones han sido más laxas respecto al tipo de datos que pueden recolectar las empresas… o el estado”.

Por eso, considera que las normas que regularán en un futuro el uso de la IA en otros países podrían apuntar en una dirección distinta, primando “el desarrollo y la innovación frente a la privacidad de los ciudadanos”.

No obstante, López-Sánchez cree que se trata de un “inconveniente necesario”. “De la misma manera que se implantan sistemas de seguridad en maquinaria o procesos industriales, necesitamos protegernos de potenciales perjuicios de la IA”, anota.

Además, indica que “se trata de una estrategia parecida a la ley de protección de datos”. “Aunque se obliga a hacer un esfuerzo a las empresas europeas, también supone restricciones a las empresas que operan en Europa”, declara.

Ferrer comparte este punto de vista. “La experiencia que tenemos con el RGPD me conduce a pensar que las empresas tecnológicas ubicadas fuera de territorio europeo tendrán como horizonte el cumplimiento de la normativa y así evitar un efecto negativo sobre la competitividad empresarial de las compañías ubicadas en territorio europeo”.