nº 1.009 - 23 de julio de 2024
La Inteligencia Artificial: el ‘caballo de Troya’ del siglo XXI
Javier Crespo Suárez. Abogado y Consultor de Protección de Datos e IA. Castroalonso
Son muchos los interrogantes en torno a la IA que, incluso tras la reciente aprobación del Reglamento europeo, envuelven al mundo de las nuevas tecnologías desde un punto de vista jurídico y ético
La Cuarta Revolución Industrial ha generalizado la automatización de procesos y los avances tecnológicos en pocos años incrementando sus consecuencias y su impacto en todos los sectores
La Inteligencia Artificial (en adelante IA) es una disciplina cuyo origen se remonta a los años cuarenta con el nacimiento del primer modelo matemático destinado a crear una red neuronal. A pesar de llevar varias décadas gestándose, actualmente nos encontramos en un momento en el que, de un día para otro, no sabemos si la voz que nos habla al otro lado del teléfono, o a través de una aplicación de comunicación, proviene de una persona física o se trata de un sistema de IA que está requiriendo nuestra atención. Y es que la IA que, para la desilusión de sus detractores, ha llegado para quedarse, se ha colado por todas las puertas y ventanas de nuestras casas, trabajos y lugares de ocio.
Llevamos muchos meses oyendo hablar y debatiendo sobre el Reglamento de Inteligencia Artificial, más conocido como IA Act o RIA. Esta norma ha tenido un proceso de previa negociación y posterior aprobación que arrancó ya en abril de 2021 y que se ha prolongado en el tiempo a causa de las diferentes enmiendas y los desafíos que han ido surgiendo sobre el borrador inicial. Estos desencuentros han abarcado desde la concreción del propio concepto de IA hasta un tema trascendental hoy en día por las polémicas que suscita, como es el que se corresponde con la utilización de los sistemas de reconocimiento de emociones a partir de los datos biométricos.
A medida que se han ido dando los diferentes pasos o aprobaciones pertinentes por los distintos organismos e instituciones protagonistas que conforman la Unión Europea, nos hemos ido acercando a la culminación de este ambicioso proyecto europeo. Esta iniciativa verá su objetivo cumplido con la entrada en vigor del RIA el próximo mes de agosto de 2024, previa publicación definitiva del mismo en el Diario Oficial de la Unión Europea (DOUE) el 12 de julio de 2024. Cada uno de los pasos dados en este intrincado camino ha supuesto un éxito más si cabe en la consecución del proyecto europeo de regulación de esta tecnología disruptiva.
Regula los usos de los sistemas de IA y sus riesgos
Resulta necesario destacar en primer lugar, que este nuevo Reglamento europeo se encarga de regular no ya la IA en sí misma considerada como disciplina, sino los usos de los diferentes sistemas de IA y los riesgos inherentes al empleo de los mismos, categorizándolos en todo caso en función de estos riesgos. Tienen un papel protagonista a lo largo de su articulado las prácticas de IA prohibidas y los sistemas de IA de alto riesgo, siempre con el objeto esencial de garantizar los valores y Derechos Fundamentales sin dejar no obstante de estimular la innovación y el progreso tecnológico.
Una primera lectura del Reglamento deja entrever que su articulado es complejo y difícil de asimilar. No es fácil desde la perspectiva de un jurista entender esta nueva y útil herramienta de trabajo, con sus diferentes operadores, roles y tipologías de sistemas. Es complicado comprender el nuevo mundo que se abre ante nosotros y que como todo elemento con genética tecnológica va siempre e irremediablemente un paso por delante de su regulación.
Por otro lado, una de las grandes controversias y problemas que se nos plantea a la hora de interpretar el Reglamento y poner límites a los usos y aplicaciones de los sistemas de IA es la relacionada con la Privacidad, y en particular con la Protección de Datos Personales. Y es que una cuestión es que un sistema de IA sea acorde con las disposiciones del RIA y otra bien distinta es que en todo el ciclo de vida del sistema no se vulneren los derechos en Protección de Datos Personales u otra normativa sectorial. No hemos de ceñirnos al RIA a la hora de analizar un sistema de IA, sino que debemos hacernos preguntas que, en muchos casos, tienen diferentes respuestas y puntos de vista según quien dé su veredicto, como son: ¿Cuál es la relación entre Privacidad e IA?, ¿es posible respetar la protección de los datos personales frente a la utilización de determinados sistemas de IA?, ¿se han tomado todas las medidas en materia de protección de datos en el entrenamiento de los modelos?
En definitiva, hemos de separar en todo caso la finalidad concreta del RIA con la legitimación para el desarrollo e implementación de un sistema de Inteligencia Artificial. A pesar de que de acuerdo con el Reglamento aprobado un sistema de IA pueda ser diseñado/desarrollado, distribuido, importado o implementado, existen muchas otras regulaciones que han de ser tenidas en cuenta como son las correspondientes a protección de datos personales (RGPD/LOPDGG). El inicio de la vigencia de esta normativa es anterior al del RIA y su vulneración podría cuestionar la legalidad de alguna de estas nuevas herramientas por hacerse efectivo un incumplimiento de la legislación en esta materia.
El propio RIA en su considerando 45 hace referencia expresa a la protección de datos personales con el fin de que sean tenidos en cuenta los principios y bases de legitimación del tratamiento de los mismos. Además, las autoridades de control también han realizado recomendaciones al respecto para potenciar la protección de la privacidad desde el mismo diseño de los sistemas. Existen incluso herramientas de IA diseñadas para fortalecer la protección de la privacidad como aquellas que analizan la seguridad de los sistemas.
Por su parte, el RGPD en su artículo 22 se refiere a la interrelación existente entre el tratamiento de datos personales en un proceso de decisiones automatizadas y/o elaboración de perfiles.
Es indudable que la IA ha conllevado y nos traerá muchísimas ventajas en todos los campos y a todos los niveles y que, en mayor o menor medida, estará presente en multitud sino en todos los ámbitos de la sociedad. Sin embargo, hemos de tener presente que su empleo ha de ajustarse no sólo al Reglamento Europeo aprobado recientemente, sino también al resto de normativas que no son menos importantes y cuya vulneración no podría ser salvada amparándose en el estricto cumplimiento del RIA. Este es sin duda a día de hoy, el verdadero reto de los juristas en la materia, pues más allá de interpretar el propio Reglamento con la complejidad que su carácter técnico entraña, será fundamental justificar la legalidad de todo el ciclo de vida de los diferentes sistemas de IA sin poner en riesgo la totalidad de derechos de los usuarios afectados e interesados. ■