Así se está regulando la IA en la UE, EE.UU. y la OCDE: el difícil equilibrio entre seguridad y fomento de la innovación
Alejandro Padín, socio de Garrigues y responsable del área de Economía del Dato, Privacidad y Ciberseguridad
La regulación que empieza a ver la luz en diferentes jurisdicciones plantea importantes desafíos tanto para los usuarios como para los desarrolladores de sistemas de inteligencia artificial (IA). Analizamos cuáles son sus principales diferencias y puntos de encuentro.
La inteligencia artificial es una tecnología que ha revolucionado muchos aspectos de nuestra vida, desde la atención médica hasta la seguridad nacional. Sin embargo, su uso también ha planteado preocupaciones sobre la privacidad, la discriminación y la seguridad. Por esta razón, la Unión Europea, Estados Unidos y la OCDE han emitido recientemente o están en proceso de emitir regulaciones con el ánimo de controlar o supervisar el uso de la IA y proteger los derechos fundamentales de las personas.
Comenzamos por EE.UU., donde hemos visto publicada la Orden Ejecutiva del presidente Joe Biden, norma con fuerza de ley, de fecha 30 de octubre de 2023. En la Unión Europea, la Comisión redactó en 2021 una propuesta de Reglamento sobre Inteligencia Artificial, que está a punto de finalizar su recorrido legislativo tras el acuerdo político con el Parlamento Europeo y el Consejo en diciembre de 2023. A su vez, la Organización para la Cooperación y el Desarrollo Económico (OCDE) ha publicado una Recomendación sobre Inteligencia Artificial en 2019, que ha sido actualizada en 2023.
En este artículo analizaremos las principales características de estas regulaciones y su interrelación, así como sus implicaciones para el desarrollo y uso de la IA. En lo que respecta al texto de la propuesta de Reglamento de IA, nos referimos al texto publicado extraoficialmente en enero de 2024 que se corresponde con los trabajos de trílogos, sin que se haya hecho público todavía un texto oficial definitivo.
¿Qué es la inteligencia artificial? Una difícil definición
La OCDE proporciona una definición de “sistema de IA”, que tanto EE.UU. como la Unión Europea han tomado como base para elaborar sus propias definiciones normativas. Sin embargo, mientras la Unión Europea únicamente define lo que es un “sistema de IA”, EE.UU. opta por definir la propia “IA”, el “modelo de IA” y el “sistema de IA”.
La definición de la Unión Europea sigue bastante de cerca a la de la OCDE, en cambio, en la definición de EE.UU., se aprecian grandes diferencias puesto que su redacción de sistema de IA se complementa con las definiciones de IA y modelo de IA.
A pesar de los matices, las tres normas tienen unos elementos equivalentes que forman parte de la definición: se trata de un sistema basado en máquinas, que tiene unos objetivos explícitos o implícitos, y realiza inferencias a partir de información de entrada, generando información de salida que puede consistir en predicciones, contenidos, recomendaciones o decisiones, pudiendo influir todas ellas en entornos físicos o virtuales.
Clasificación de sistemas de IA y obligaciones exigibles a cada categoría
La OCDE no realiza clasificación alguna de los sistemas de IA. No obstante, proporciona una serie de principios que han de tenerse en cuenta en el desarrollo de sistemas de IA, como pueden ser la trasparencia y la explicabilidad.
La Unión Europea clasifica los sistemas de IA en función de su uso (estableciendo determinados usos en los que la IA es considerada de alto riesgo y otros usos que se declaran prohibidos) y para qué se emplee (IA de uso general). Para cada categoría se imponen diferentes obligaciones, especialmente para los sistemas de alto riesgo que, entre otras cosas, deben someterse a una evaluación de conformidad e implementar sistemas de gestión de riesgos. Además, se impone la obligación de diseñar los sistemas de IA de alto riesgo de forma que ayuden a reducir los perjuicios y discriminación estructural existente, así como la realización de auditorías periódicas al respecto. Adicionalmente, los sistemas de alto riesgo implementados por autoridades públicas deberán registrarse en una base de datos pública de la UE.
Por su parte, EE.UU. distingue entre modelos de base de doble uso y modelos de IA generativa. A diferencia de la perspectiva de la Unión, EE.UU. no asigna obligaciones a cada una de estas clases de IA.
Actores en el mercado y ciclo de vida de la IA
La OCDE define el ciclo de vida de la IA (1. diseño, datos y modelos; 2. verificación y validación; 3. despliegue; y 4. funcionamiento y seguimiento) y, a partir de ello, establece quiénes son los actores en el ciclo de vida de un sistema de IA, que son los que desempeñan un papel activo en ese ciclo de vida e incluyen a las organizaciones o individuos que despliegan o explotan la IA, pero no profundiza en mayor medida sobre cada uno de los operadores.
La Unión Europea, por su parte, identifica y define cada uno de los operadores de dicho ciclo, como son el proveedor, el implementador, el representante autorizado, el importador y el distribuidor, a los que impone una serie de obligaciones, tanto genéricas en materia de transparencia como específicas para cada uno de ellos en el desarrollo de sistemas de IA de alto riesgo.
Por el contrario, EE.UU. no identifica a ninguno de los actores del ciclo de vida y, pese a ello, pretende establecer algunas obligaciones para los desarrolladores de los sistemas de IA, especialmente para los desarrolladores de los sistemas de IA más potentes. Algunas de esas obligaciones son compartir con el gobierno estadounidense los resultados obtenidos en las pruebas de seguridad y otra información crítica.
Gobernanza de la inteligencia artificial
La OCDE, con el fin de seguir desarrollando políticas a medida que avanza esta tecnología, ha constituido un Grupo de Expertos en IA (AIGO) y un Grupo de Trabajo sobre clasificación de la IA (WG CAI).
La Unión Europea, en su futuro reglamento, prevé la creación de una serie de instituciones específicas a este respecto, que se coordinan y se interrelacionan. Así, está previsto que cada país cree al menos una autoridad nacional de supervisión de la IA y, a nivel europeo, se crea el Comité Europeo de IA, formado por representantes de cada una de las autoridades nacionales de supervisión, siendo dicho comité una institución independiente de la UE que emitirá recomendaciones y opiniones a la Comisión Europea sobre sistemas de IA de alto riesgo y otros aspectos relevantes para la implementación efectiva y uniforme de las nuevas reglas. Por otro lado, se crea la Oficina Europea de IA, dentro de la Comisión, encargada de supervisar los modelos de IA de propósito general, que contará con el apoyo de un panel científico de expertos independientes y cooperará con el Comité Europeo de IA.
EE.UU., a su vez, establece un Comité Asesor en materia de IA y una Junta de Seguridad de IA, pero no constituye ninguna agencia que supervise la implementación de las prácticas y normas que promueve la Orden Ejecutiva de Biden. Además, crea dos grupos de trabajo de IA en áreas específicas: el Grupo de Trabajo de IA del Departamento de Salud y el Grupo de Trabajo de Talento de IA y tecnología.
Fomento de la innovación y desarrollo de la IA
Con el fin de fomentar la innovación de la IA y ayudar a las empresas a desarrollar y desplegar la IA en la Unión Europea, la propuesta de Reglamento IA permite la creación de un marco concreto y controlado de pruebas establecido por una autoridad competente que ofrezca a los proveedores o posibles proveedores de sistemas de IA la posibilidad de desarrollar, entrenar, validar y probar, en su caso en condiciones del mundo real, un sistema de IA innovador, con arreglo a un plan sandbox durante un tiempo limitado y bajo supervisión reglamentaria.
En el caso de EE.UU., aunque no se prevé un esquema de pruebas general, el presidente Biden impone al Secretario de Energía la elaboración de un plan para el desarrollo de herramientas de evaluación de modelos de IA del Departamento de Energía y los bancos de prueba (testbeds).
Régimen sancionador y protección de los derechos fundamentales
La Unión Europea, con el objetivo de asegurar la protección de los derechos fundamentales establece un régimen disciplinario conforme al cual se podrán imponer sanciones de hasta 35 millones de euros o el 7% del volumen de negocios anual total mundial del ejercicio anterior. EE.UU., por su parte, no establece régimen sancionador directo.
En lo que respecta a la acción directa por parte de los afectados por una infracción del Reglamento IA de la UE, se reconoce su derecho a presentar una queja ante la autoridad nacional, pudiendo solicitar una indemnización en los términos que se establecen en la Directiva sobre responsabilidad en materia de inteligencia artificial, propuesta en octubre de 2022 y en fase de tramitación legislativa.
En el caso de EEUU, además, la Orden Ejecutiva dicta, entre otras muchas, las siguientes medidas: (i) impulsa la aprobación de la Carta de Derechos de la IA para su uso en la administración; (ii) exige asegurar la equidad en el sistema de justicia penal con el desarrollo de mejores prácticas del uso de la IA en la imposición de penas o la libertad condicional, entre otros; (iii) impulsa el uso responsable de la IA en la atención sanitaria y el desarrollo de medicamentos asequibles que salven vidas; y (iv) propone la elaboración de un informe sobre las posibles repercusiones de la IA en el mercado laboral y el estudio de las opciones para reforzar el apoyo federal a los trabajadores.
Además, junto con la publicación de la Orden Ejecutiva, el presidente Biden pide al Congreso la aprobación de una legislación sobre protección de datos, lo que supone un hito en el enfoque regulatorio de la privacidad en Estados Unidos.
Conclusiones
Estas tres iniciativas buscan regular el uso de la IA en diferentes ámbitos, estableciendo obligaciones y protecciones para los ciudadanos y empresas, pero cada una de ellas lo hace desde una perspectiva diferente: la OCDE ofrece una serie de recomendaciones a los países; la Unión Europea fija un marco normativo para todos los actores del ciclo de vida de la IA; y EE.UU. fija el plan de acción del gobierno durante los próximos años, con el fin de controlar el desarrollo de la IA en su territorio y las implicaciones que ello tendrá en los distintos aspectos de la sociedad.
Todas estas normas plantean importantes desafíos tanto para los usuarios como para los desarrolladores de IA, quienes deberán adaptarse a las nuevas normas y obligaciones y, de no hacerlo, se enfrentarán a multas millonarias, en el caso de la Unión Europea, lo que, para algunos, podría obstaculizar el progreso de esta tecnología.