1. Lola Flores anuncia cerveza después de muerta (aquí). Un robot (Sophia) informa sobre el resultado de las elecciones a la Comunidad de Madrid del 4 de mayo de 2021 (aquí). El comisario británico de cámaras de vigilancia y biométrica, Freaser Sampson, se pronuncia a favor de que la policía utilice técnicas de reconocimiento facial masivo (aquí). Son tres simples ejemplos de que la inteligencia artificial ya está presente en nuestras vidas y de que su exponencial desarrollo procurará muchos beneficios, pero también generará buen número de riesgos. De ahí que los legisladores y reguladores se estén preparando para hacer frente a este dilema, consustancial a toda nueva tecnología. Con la voluntad de recuperar el terreno perdido, la Unión Europea ya se ha puesto manos a la obra y la Comisión ha presentado una propuesta de Reglamento por el que se establecen normas armonizadas sobre inteligencia artificial (Ley sobre Inteligencia Artificial). Tiene 69 artículos, distribuidos en doce títulos, a los que hay que sumar ochos anexos. Su finalidad es evidente: regular los sistemas de inteligencia artificial para potenciar las ventajas que pueden deparar y neutralizar sus peligros, de modo que sea compatible con los valores y principios de la Unión Europea. Así, establece determinadas medidas de control preventivo para los sistemas de inteligencia artificial. También existen normas para fomentar su utilización y otras de gobernanza. Como no podía ser de otro modo, ya ha captado la atención de la doctrina. Me permito recomendar la entrada de Alejandro Huergo, catedrático de Derecho administrativo, titulada “El proyecto de Reglamento sobre la inteligencia artificial”, en el blog Almacén de Derecho, de 17 de abril de 2021 (aquí) y el webinar “La propuesta de regulación de la inteligencia artificial en la Unión Europea”, organizado por OdiseIA y FIAL, que se celebró el 26 de abril de 2021 y está disponible en Youtube.
2. Como es habitual, la propuesta empieza con unas disposiciones generales (Título I) en las que enuncia su objetivo, delimita el ámbito de aplicación y define los términos y expresiones más necesarios. La voluntad de la Comisión ha sido elaborar una ley omnicomprensiva, que pueda aplicarse a cualquier tipo de utilización de la inteligencia artificial y que no quede fácilmente obsoleta. Y a fin de proteger los intereses de la Unión, prevé la aplicación del Reglamento a los proveedores que ponen en el mercado sistemas de inteligencia artificial en el territorio comunitario, con independencia de su nacionalidad o residencia. Y también rige aquellos supuestos en que los proveedores y usuarios de los sistemas se hallan establecidos en un tercer Estado, en la medida en que los sistemas de inteligencia artificial puedan afectar a personas localizadas dentro de la Unión. Ahora bien, excluye su aplicación al ámbito militar. El artículo 2.4 reza: “This Regulation does not apply to AI systems exclusively used for the operation of weapons or other military purposes”.
El artículo 3 define los sistemas de inteligencia artificial como programas informáticos (software), desarrollado con las técnicas enumeradas en el Anexo I, que generan contenido, predicciones, recomendaciones o decisiones que influyen en ambientes reales o virtuales. El citado anexo se refiere a las siguientes tres técnicas:
“(a) Machine learning approaches, including supervised, unsupervised and reinforcement learning, using a wide variety of methods including deep learning;
(b) Logic- and knowledge-based approaches, including knowledge representation, inductive (logic) programming, knowledge bases, inference/deductive engines, (symbolic) reasoning and expert systems;
(c) Statistical approaches, Bayesian estimation, search and optimization methods.”
3. Los cuatro títulos siguientes contienen medidas para determinados sistemas de inteligencia artificial, que pueden ser clasificados en cuatro categorías, según Enrique Pérez: riesgo inaceptable, alto riesgo, riesgo limitado y resto de usos. El Título II empieza prohibiendo los siguientes:
- Los que manipulan la conducta, opiniones o decisiones humanas, de modo que la persona se comporta, forma una opinión o toma una decisión en perjuicio suyo.
- Los que explotan información o predicciones sobre una persona o un grupo de personas para utilizar sus debilidades o circunstancias especiales, determinando que se comporten, formen una opinión o tomen una decisión en perjuicio propio.
- Los utilizados para una vigilancia indiscriminada aplicada de manera general a personas físicas sin diferenciación.
- Los sistemas de puntuación social de las personas físicas que produzca un tratamiento sistemático perjudicial para ellas en contextos no relacionados con los datos en los que se basan o cuando el perjuicio es desproporcionado respecto de su comportamiento social.
Ahora bien, la prohibición de las letras a), b) y c) desaparece cuando las prácticas han sido autorizadas y se ejecutan por las autoridades pública para garantizar la seguridad pública y proteger los derechos y libertades de terceros, de acuerdo con el ordenamiento comunitario (véase, por ejemplo, el considerando 23). Diversos europarlamentarios han criticado esta excepción dado que es precisamente en el ámbito de la seguridad pública donde se han producido más casos de vigilancia de masas ilegal (aquí).
En el Título III la propuesta regula los sistemas de inteligencia artificial de gran riesgo, exigiéndoles que reúnan determinados requisitos e imponiendo obligaciones a las personas relacionadas con ellos. Los artículos 5 y 6 definen de forma harto alambicada qué se entiende por sistemas de inteligencia artificial. A esos efectos, adquiere especial significado el Anexo II, al que se remite el primer precepto, pues los sistemas que enumeran merecen la clasificación de gran riesgo. A efectos clarificadores interesa reproducir el considerando 40:
“The classification of an AI system as high-risk should be based on its intended purpose -which should refer to the use for which an AI system is intended, including the specific context and conditions of use and – and be determined in two steps by considering whether it may cause certain harms and, if so, the severity of the possible harm and the probability of occurrence.”
Los artículos 7 a 12 contienen los requisitos que deben concurrir antes de la puesta en el mercado. En primer lugar, deben utilizarse datos de “alta calidad” para entrenar los sistemas y comprobar su funcionamiento. Segundo, deben haber sido diseñados para guardar registros de sus resultados y para operar de forma transparente, de modo que el usuario pueda entender y controlar sus resultados. Tercero, deben poder ser supervisados por personas físicas a través de medidas organizativas y/o técnicas apropiadas. Cuarto, deben ser robustos, precisos y seguros.
A continuación la propuesta impone determinadas obligaciones sobre las personas relacionadas con los sistemas de inteligencia artificial de gran riesgo: los proveedores, los representantes autorizados, los importadores, los distribuidores, los usuarios e incluso los terceros. A título de ejemplo, cabe significar algunas de las obligaciones de los primeros: asegurarse de que los sistemas cumplen con los requisitos exigidos, poner en funcionamiento un sistema de gestión de calidad que garantice que cumplen con el Reglamento, preparar la documentación técnica de acuerdo con el Anexo IV, asegurarse de que se someten a la verificación de conformidad del art. 35, conservar las registros que automáticamente se generen, adoptar medidas correctoras en caso de que consideren que el sistema no es conforme con el Reglamento y proporcionar documentación que acredite el cumplimiento de los requisitos cuando las autoridades nacionales lo exijan. Los importadores deben asegurarse de que los proveedores han realizado la valoración de conformidad y los distribuidores de que el sistema dispone de las etiquetas de conformidad exigidas, así como que se proporcionan las instrucciones de uso necesarias. Entre otros deberes, los usuarios deben conservar registros de la descripción de los datos suministrados para que el sistema continúe aprendiendo y controlar los cambios que pueda sufrir. Y los terceros deben facilitar a los anteriores el cumplimiento de sus obligaciones.
Merece destacarse que los estándares harmonizados jugarán un papel clave en la elaboración, comercialización y utilización de los sistemas de inteligencia artificial de gran riesgo. La razón es que su cumplimiento generará la presunción de adecuación al Reglamento. De ahí que cuando no existan o sean insuficientes se permita a la Comisión adoptar especificaciones comunes en relación los requisitos del Título III. Y otro tanto cabe decir de las declaraciones de conformidad.
A lo largo de la propuesta de Reglamento encontramos otras previsiones para los sistemas de inteligencia artificial de gran riesgo. Así, el Título VIII prevé la creación de una base de datos al respecto, cuyo mantenimiento exigirá la colaboración de la Unión con los Estados miembros. Y el Título IX exige que los proveedores vigilen y documenten su puesta en el mercado, a fin de tener información relevante sobre su funcionamiento y poder evaluar si continúan cumpliendo las exigencias que impone el Reglamento. Igualmente les obliga a informar a las autoridades nacionales cuando se produzcan incidentes que generen un riesgo para los derechos fundamentales.
Los Títulos IV y V se refieren a dos sistemas singulares de inteligencia artificial: los que interactúan con las personas físicas y los de identificación biométrica remota. Imponen algunas obligaciones. Respecto de los primeros, la de transparencia: los proveedores deben garantizar que se han diseñado y desarrollado de modo que las personas que entran en contacto con ellos sean conscientes de que están interactuando con un sistema de inteligencia artificial. En cuanto a los de identificación biométrica remota, su utilización en lugares públicas está sujeta a autorización previa, previendo el Reglamento los requisitos del procedimiento. Con todo, existen excepciones que permiten utilizar estos sistemas sin necesidad de haber obtenido la autorización previa. Diversos europarlamentarios (aquí y aquí) y la European Digital Rights (aquí) han criticado el régimen jurídico de estos sistemas al considerar que las excepciones son excesivas y que hay lagunas jurídicas preocupantes.
4. El segundo gran bloque del Reglamento, según explican los considerandos, es el fomento de la innovación, al que dedica el Título VI. Ahora bien, solamente contempla tres medidas a esos efectos, lo que no parece mucho. En primer lugar, la posibilidad de que las autoridades nacionales creen entornos seguros (sandboxes) en los que puedan desarrollarse pruebas de sistemas de inteligencia artificial antes de su comercialización. Segundo, la reducción de las cargas que soportan las pequeñas y medianas empresas y las de nueva creación, a fin de incrementar su competitividad en el ámbito que nos ocupa. Y tercero, la instauración de digital hubs y testing experimentation facilities.
El tercer bloque es la gobernanza. La propuesta prevé la creación “European Artificial Intelligence Board” (Título VII). En segundo término, se informa que se desea fomentar la elaboración de códigos de conducta que promuevan la aplicación voluntaria del régimen de los sistemas de gran riesgo a otros que no tengan esas características. De ahí que se dedique el Título X a esta cuestión. Tercero, se exige que los Estados miembros establezcan sanciones efectivas, proporcionadas y disuasivas para reforzar la eficacia del Reglamento (Título XI). Y cuarto, se otorga poder a la Comisión para desarrollar las previsiones de la propuesta (Título XII). Por último, el Título XIII contiene las disposiciones finales.
5. A nuestro modesto entender, la iniciativa de la Comisión resulta plausible pues la Ley sobre la inteligencia artificial generará mayores beneficios que perjuicios, contribuyendo a incrementar la seguridad jurídica en este ámbito. Es cierto, no obstante, que existe margen de mejora, pues la propuesta analizada contiene determinadas deficiencias que deberían corregirse, como la utilización de conceptos jurídicos indeterminados (acertadamente el profesor Huergo pone el acento en los requisitos que se exigen a los sistemas de inteligencia artificial de alto riesgo y en la falta de precisión de las obligaciones) o un mayor acento en los actores iuspúblicos que en los iusprivados. Sin embargo, hay tiempo para solventarlas, pues no cabe olvidar que estamos al principio, o casi, del proceso legislativo. Por otro lado, quizás no sea necesaria una regulación extremamente detallada, pudiendo concretarse los extremos más generales con directrices en las que los órganos competentes expliquen cómo los interpretan y aplicar, a imagen de la práctica de la Comisión en el ámbito de la defensa de la competencia. Ahora bien, creemos que debería replantearse la idea de dejar la regulación de las sanciones a los Estados miembros, pues quiebra la harmonización normativa existente y genera el riesgo de una race to the bottom (aunque también puede ser to the top).
Interesa subrayar que el Reglamento, si llega a aprobarse, no dispensa de cumplir otras normas vigentes que también pueden incidir a la elaboración, comercialización o utilización de sistemas de inteligencia artificial. Por ejemplo, y de forma destacada, el Reglamento General de Protección de Datos. Es cierto, empero, que pueden producirse solapamientos y contradicciones, con lo que los juristas tendrán el reto de conjugar la interpretación y aplicación de las dos normas para conseguir su máxima eficacia.
En cuanto a su contenido, disentimos de la European Digital Rights (“EU’s AI proposal must go further to prevent surveillance and discrimination”, en edri.org), pues no consideramos que la propuesta subordine el control de los riesgos que conlleva la inteligencia artificial al fomento del elaboración y desarrollo de los sistemas. La Comisión ha puesto el acento en el control de los riesgos, con la finalidad de generar confianza en la inteligencia artificial y así incrementar su aceptación y utilización. Otra cosa es que la protección que dispensa la norma sea insuficiente y deba aumentarse. Sería deseable que todos los interesados pudieran expresar su opinión durante los trabajos legislativos y que la versión final plasmara sus intereses. Sí compartimos, parcialmente, la preocupación de esta organización acerca de los códigos de conducta; en particular, nos parece preocupante dejar gran espacio a la autorregulación -sobre todo si es a costa de la protección de las personas afectadas por la inteligencia artificial-, teniendo en cuenta la opacidad y autonomía de determinados sistemas de inteligencia artificial (machine learning). Con todo, y en base a una primera lectura, no parece que las previsiones de la propuesta sean excesivamente preocupantes en ese sentido.
Respecto de las medidas de fomento de la inteligencia artificial, coincidimos con los expertos que participaron en el webinar “La propuesta de regulación de la inteligencia artificial en la Unión Europea” (1:27:30 en adelante) en que las medidas para las pequeñas y medianas empresas y las de nueva creación son insuficientes. No parece que puedan competir paritariamente con las grandes tecnológicas si no cuentan con mayores apoyos en este ámbito.