Un paso adelante para reducir los riesgos de la inteligencia artificial

Llevamos años hablando de las oportunidades que ofrece la inteligencia artificial, especialmente de aquellos beneficios que nos llegarán a corto plazo. No obstante, como tantas otras cosas en la vida, las grandes oportunidades vienen acompañadas por grandes riesgos. En este sentido, mucho se ha hablado ya de las implicaciones de ciertos sistemas de inteligencia artificial, tanto que ya, desde hace dos años, la Comisión y el Parlamento europeos vienen ofreciéndonos múltiples publicaciones sobre ética para que la inteligencia artificial sea confiable, en materia de estrategia europea para el dato, así como reflexiones sobre la responsabilidad en los sistemas de esta o sobre privacidad.

La inteligencia artificial tiene la característica de ser un sistema que genera aprendizaje directamente de un conjunto de datos para luego, basándose en lo aprendido, ser capaz de hacer predicciones y cálculos. Esta singularidad de que sea el propio sistema el que aprenda sin que nosotros, los humanos, podamos saber de manera precisa lo aprendido o podamos replicar un cálculo, es justamente la característica que lo hace tan especial. Además, es el origen de buena parte del riesgo.

Hace poco más de un año que la Comisión Europea afirmó que Europa necesitaba una nueva estrategia en este ámbito porque se estaba quedando atrás en la carrera por liderar esta tecnología, a varios cuerpos de distancia de Estados Unidos y de China. Para suplir esta distancia, hizo una reflexión en la que concluía que debía impulsar tres acciones: implantar medidas para impulsar la innovación y compartir datos para que la fuente con la que aprenden los sistemas sea mayor y mejor; fijar un conjunto de reglas para determinar quién es el responsable en caso de que se produzca algún incidente, entendiendo que la incertidumbre desincentiva la innovación; y establecer unas normas sobre qué se permite y qué no se puede hacer.

Unos 14 meses después, el 21 de abril, la Comisión Europea publicó la Artificial Intelligence Act –Ley de Inteligencia Artificial–, que es un borrador que se encuentra en estado consultivo, pendiente de debate y aprobación. La propuesta normativa presenta un potente régimen sancionador, que tiene varios tramos, pudiendo llegar a 30 millones de euros o a un 6% de la facturación global anual de la organización, la cifra que sea mayor. Tal como se indica en el propio documento, se busca que estas sanciones sean efectivas, proporcionales y disuasorias.

Para ello, se identifica una serie de usos como prohibidos: aquellos que manipulan el comportamiento humano, sus opiniones y decisiones; los que proceden de las autoridades públicas para la evaluación de la confiabilidad de las personas físicas en función de su comportamiento social, a través de una puntuación social, y que puede resultar en un trato desfavorable; y los que vigilan masivamente con identificación biométrica remota en tiempo real, salvo unas pocas excepciones como en la lucha antiterrorista. Seguro que a todos nos vienen a la memoria casos que hemos conocido los últimos años que no pasarían alguno de estos tres filtros.

Aquellos sistemas que sí están permitidos los agrupa en, por un lado, de alto riesgo y, por el otro, como resto, poniendo el foco de esta regulación principalmente en los de alto riesgo. Para estos, define nueve grandes bloques de requisitos: el primero, que exista un sistema de gestión de riesgos orientado a la mejora continua; el segundo, que los datos con los que el sistema aprende sean de alta calidad y se implementen medidas de gobierno del dato; el tercero se focaliza en la documentación técnica que el responsable del sistema debe proporcionar; el cuarto aborda la retención de registros de información, algo especialmente relevante cuando se quiere explicar a posteriori lo que ha hecho el sistema, qué ha aprendido y qué datos ha utilizado; el quinto pone el foco en la transparencia, para que el usuario sepa en todo momento cómo funciona el sistema, de manera clara y entendible; el sexto ahonda en la supervisión humana, que pide que el humano tenga siempre un mecanismo para interrumpir el funcionamiento del sistema. Y, finalmente, los otros tres abordan la robustez, precisión y la ciberseguridad de los sistemas.

En todo ello, la propuesta regulatoria establece la figura de los organismos notificados, que serán agentes encargados de revisar toda la documentación que proporcione el proveedor para, así, poder emitir, si todo es correcto, el certificado que permitirá su comercialización. La información de todos los sistemas certificados será pública y estará en una base de datos a nivel europeo.

Toda la normativa aplica a los sistemas de inteligencia artificial que se comercialicen en la Unión Europea, pero también a aquellos que, estando en cualquier lugar del mundo, su resultado se utilice dentro de la UE. De este modo, la Unión Europea demuestra la voluntad de innovar con esta ley y de ir más allá, tratando de generar el efecto arrastre que ya tuvo con el GDPR, con multitud de regulación inspirada en este reglamento a lo largo del mundo.

Todavía falta tiempo para la fecha límite de adaptación de la Ley de Inteligencia Artificial, que se establece en dos años tras la publicación en el Boletín Oficial de la UE, lo que ocurrirá cuando finalice, en fecha indeterminada aún, el período consultivo. En este tiempo de espera, ya quedan determinadas unas pautas y requisitos que marcan los proyectos de en este ámbito y que impactan en los múltiples sectores en los que se desarrolla esta tecnología.

Por ello, es imprescindible ir asentando correctamente las bases de los futuros proyectos, lo que permitirá reducir sus riesgos, ir alineados con la regulación y que las organizaciones no tengan que dar pasos hacia atrás.

Manel Carpio es socio de Risk Advisory de Deloitte