Seminario a cargo del Prof. Martin Ebers
El prof. Martin Ebers de la Universidad de Tartu (Estonia) e investigador permanente en la Universidad Humboldt de Berlín nos visitó el 27 de junio de 2022. Los asistentes a su seminario tuvimos la oportunidad de escucharle -en algunos casos, de nuevo- disertar sobre la denominada Artificial Intelligence Act [Proposal for a Regulation of the European Parliament and of the Council laying down harmonized rules on Artificial Intelligence (Artificial Intelligence Act) and amending certain Union legislative Acts, COM(2021) 206 final. En adelante, AIA] que va acompañada de la revisión de la conocida como Directiva de máquinas y de la también revisión de la Directiva de seguridad general de los productos, las cuales previsiblemente acabarán convirtiéndose en sendos reglamentos comunitarios.
Este marco jurídico de la inteligencia artificial (en adelante, IA) se verá completado por otras leyes como la Digital Services y la Digital Markets Acts, la Data Act, la Data Governance Act junto con una Propuesta de reglamento de responsabilidad civil por los daños que ocasione un sistema de IA y la revisión de la Directiva de responsabilidad del fabricante por productos defectuosos que seguramente se hará pública en otoño.
A todo este paquete de normas debe añadirse la legislación sectorial como la relativa a los drones o en el futuro la de los vehículos sin conductor. Finalmente, se complementará este marco con estándares técnicos elaborados por instituciones de carácter privado como CEN o CENELEC.
Todo este conjunto de nuevas normas debe cohonestarse con normas que ya están vigentes. Me refiero al Reglamento General de Protección de datos 2016/679, de 27 de abril de 2016. Asimismo, es relevante el Reglamento sobre libre circulación de datos no personales de 2018/1807, de 14 de noviembre, el reglamento sobre ciberseguridad 2019/881, de 17 de abril de 2019, el reglamento sobre productos sanitarios y productos para diagnóstico in vitro de 2017 y que entraron en vigor en mayo del 2021. Finalmente, debe tenerse en cuenta la Directiva de datos abiertos 2019/1024, de 20 de junio de 2019 llamada probablemente a ser sustituida por la Data Act.
El ponente destacó los cinco aspectos problemáticos de los sistemas de IA que pueden resumirse de la siguiente manera. En primer lugar, la complejidad e interconectividad de los sistemas (IoT), en segundo lugar, la extracción de patrones o correlación como tarea propia de estos sistemas, en tercer término, la constante adaptación al entorno y actualización, después, el comportamiento autónomo y, finalmente, su opacidad manifestada en la conocida “black box”.
Tras ello hizo referencia a la clasificación de los sistemas de IA en función de los riesgos que pueden generar. Distingue entre aquellas prácticas que están prohibidas (art. 5 AIA) pues crean un riesgo inaceptable ya que representan una amenaza para la seguridad, la vida y los derechos de los individuos, los sistemas de alto riesgo que deben cumplir unos requisitos obligatorios ex ante y ex post comercialización o puesta en servicio (arts. 8 ss AIA), riesgo limitado, para los cuales establece obligaciones de transparencia que permitan a las personas conocer que está interactuando con un sistema de IA (art. 52 AIA) y riesgo mínimo o residual referido al resto de sistemas de IA que pueden fabricarse de acuerdo con la normativa ya existente, aunque los fabricantes pueden acogerse voluntariamente a la AIA, en cuanto a la aplicación de los requisitos señalados para los sistemas de alto riesgo, al adherirse a códigos de conducta para una IA confiable, que los contemplen, elaborados por ellos o por las organizaciones a las que pertenecen (art. 69 AIA).
Una vez expuesta la clasificación de estos sistemas, el Prof. Ebers se entretuvo en el concepto de sistema de IA excesivamente amplio -que presenta la AIA- considerando que debería restringirse para evitar que un simple programa de ordenador caiga dentro de esta definición.
En cuanto al ámbito de aplicación de la AIA pretende ser una norma de aplicación horizontal que sea también complementaria de la legislación europea armonizada existente. Por tanto, la AIA sería lex generalis frente a esta legislación que sería lex specialis. Los sujetos a los que se va a aplicar la norma son: proveedores públicos y privados en la UE, usuarios profesionales en la UE y proveedores y usuarios profesionales fuera de la UE cuando la información de salida generada por el sistema se utilice en la UE (art. 2).
Una vez analizados todos estos aspectos, el ponente se centró en los sistemas de alto riesgo diferenciando dos categorías: los sistemas de IA que son componentes de seguridad de los productos y los sistemas de IA en sí mismo considerados o stand-alone-software. Respecto de los primeros, hay que tener en cuenta la legislación armonizada que, en algunos casos, los contemplan como es la normativa sobre productos sanitarios. En estos casos, la AIA se prevé como complementaria insertándose el cumplimiento de los requisitos que exige la norma con los propios que ordena la legislación armonizada evitando -eso sí- que existan duplicidades que hagan la situación más gravosa para el proveedor. El listado de legislación armonizada se encuentra en el Anexo II de la AIA. Por su parte, los sistemas de IA en sí mismo considerados que se apliquen en las ocho áreas establecidas en el Anexo III deberán pasar los controles de conformidad precisados en la AIA para poder recibir el marcado CE y así ponerse en circulación, en uso o en servicio, en el mercado como sistemas de IA seguros y confiables.
Los proveedores de los sistemas de alto riesgo deben adoptar un sistema de gestión de riesgos (art. 9 AIA) y de calidad (art. 17 AIA), facilitar la detección de los sesgos mediante la elaboración de documentación técnica (art. 11 AIA), registro de las operaciones (art. 12 AIA) y supervisión humana (art. 14 AIA), además de que se debe informar adecuadamente a los usuarios de estos sistemas (art. 13 AIA). El art. 10 AIA establece que los sistemas de IA de alto riesgo que se desarrollen con conjuntos de datos deben responder a unas prácticas apropiadas de gobernanza y administración en relación con la elección, recopilación, etiquetado y otras técnicas de preparación. Los conjuntos de datos deben estar libres de errores, ser completos y representativos, por tanto, libres de sesgos. La AIA establece que se adopten medidas para asegurar la robustez, seguridad y precisión de un sistema de IA de alto riesgo desde el diseño y en la fabricación del mismo (arts. 13 y 15).
El debate posterior que siguió a la exposición del Prof. Martin Ebers fue de lo más enriquecedor y vívido. Entre otros extremos se abordaron los siguientes:
- La co-regulación de los sistemas de IA al descansar la evaluación de los mismos en estándares técnicos, lo que implica delegar el poder normativo en instituciones privadas cuando debería ser el legislador quien regulara parte de los aspectos que son menos técnicos (éticos o jurídicos) y que, sin embargo, se prevé que sean esas instituciones las que los tengan en cuenta. A la industria le gusta mucho la autorregulación. Se criticó la falta de concreción de los objetivos generales a los que deben ajustarse esos estándares.
- Necesidad de unificar las diferentes clasificaciones de los sistemas de IA en función del riesgo en las diferentes normas armonizadas o que aparezcan en el futuro.
- Cuestionada fue asimismo la autoevaluación que establece la AIA para obtener el marcado CE y no que éste proceda de un tercero independiente.
- La AIA no prevé una aplicación efectiva de la misma, sino que delega en autoridades nacionales.
- Faltan normas sustantivas para los sistemas de alto riesgo.
- No se establecen derechos individuales ni colectivos que pueden verse lesionados por el funcionamiento de un sistema de IA al estar la norma pensada en clave de regulación de productos.
- Falta de control judicial de los estándares técnicos.
- El encaje de esta ley general sobre la IA con la legislación armonizada cuando se establecen requisitos diferentes o incluso más estrictos en la segunda que en la primera. La complementariedad de la AIA respecto de esa legislación no queda suficientemente clara.
- Necesidad de una reforma del reglamento de productos sanitarios.
- Dudas acerca de que sean las autoridades nacionales las que se encarguen de la certificación de los sistemas de IA.
El seminario concluyó tras dos horas con la pregunta lanzada por el Prof. José Antonio Fernández Amor consistente en si tantos requisitos no suponen un freno a la innovación y a la producción de sistemas de IA en Europa y, al final, resulte que la UE tiene la regulación, pero la tecnología se encuentra en USA, China, Japón o India con la consiguiente dependencia europea de estos países. El denominado “efecto Bruselas” podría conllevar un efecto perverso para la UE.
Muchas gracias al Prof. Ebers y a todos los participantes tanto online como face-to-face.
Dra. Susana Navas Navarro