por Jaime Fernández •
La Inteligencia Artificial vive, aunque no en todos sus aspectos, en una especie de limbo normativo que permite, sobre todo a las empresas, determinadas prácticas que pueden atentar contra los derechos de los ciudadanos, como las imágenes y vídeos creados por deep fake, que ya trabajan incluso en tiempo real. Esa situación de desamparo ciudadano va a terminar, en gran parte, este 12 de julio de 2024 con la publicación, en el Diario Oficial de la Unión Europea, del Reglamento de Inteligencia Artificial (IA) que se aprobó en mayo de 2024. De acuerdo con el juez Alfonso Peralta, que ha participado en el curso de verano de la UCM “Inteligencia Artificial y derechos fundamentales”, llega un “tsunami normativo” que viene a garantizar un alto nivel de protección de la salud, de la seguridad y de los derechos fundamentales.
Alfonso Peralta explica que el nuevo reglamento adopta un enfoque basado en el riesgo que puede derivarse del uso de sistemas de IA, estableciendo requisitos y obligaciones a los diversos participantes, prohibiendo además algunos usos de la IA que están considerados de riesgo inaceptable. En concreto, se prohíben aquellos sistemas que despliegan técnicas subliminales con el objetivo de distorsionar el comportamiento de una persona de manera que pueda causarle daños físicos o psicológicos a él o a otros, así como los que exploten vulnerabilidades de un grupo específico de personas por su edad, discapacidad o situación social o económica.
También quedan prohibidos los sistemas de IA que elaboren perfiles de personas según su comportamiento, creando un baremo social que pueda resultar en que personas o grupos reciban un trato desproporcionadamente desfavorable al comportamiento observado, o en un trato desfavorable en un contexto que no es aquél donde se recogieron los datos.
Y, por ejemplo, en el mundo judicial, de acuerdo con Peralta, hay riesgos como la sobre estimación de las respuestas automatizadas, a las que se les puede dar un valor superior al que realmente tienen.
Considera el conferenciante que aquellos países que regulen en exceso quedarán fuera del mercado, mientras que los que lo hagan en defecto comportarán un mayor índice de riesgos, que será penalizado con el nuevo reglamento. Este incluye un sistema de sanción que debe hacer tanto la autoridad nacional como la europea, y mientras en Europa la autoridad judicial encargada de las sanciones será el Tribunal de Justicia de la Unión Europea, en España todavía no se conoce quién va a ser esa autoridad judicial. Explica Peralta que frente a otros sistemas sancionadores que imponen penas fijas, lo que no suele hacer mella en las grandes empresas, en este caso se establecen sanciones por porcentaje de facturación, lo que pretende crear un efecto disuasorio a la hora de saltarse las normas.
Reconoce el juez que ya hay otros países del mundo que ya están regulando el uso de la IA, como un incipiente Reino Unido, Estados Unidos (donde cada estado tendrá su regulación propia) o China, aunque este último con las peculiaridades de “su sistema dictatorial”.
El reglamento entra en vigor veinte días después de su publicación, y será aplicable, con carácter general, a los 24 meses, con algunas excepciones como las prácticas prohibidas, donde el reglamento se aplicará a los seis meses. A los dos años se añade un año más para los algoritmos que se hayan desarrollado antes de la publicación del reglamento, lo que ha llevado, según Peralta, a una carrera de fondo por intentar crear muchos algoritmos de Inteligencia Artificial antes de este 12 de julio, porque así estarán un año más sin regulación.
Fuera del reglamento de la UE queda la seguridad nacional, aunque también en este caso tiene prohibido el uso para aplicaciones policiales o de orden público de la identificación biométrica en tiempo real en lugares accesibles al público. Hay algunas excepciones como la búsqueda de víctimas potenciales de delitos, la prevención de amenazas específicas y sustanciales sobre infraestructuras críticas o sobre personas físicas, la prevención de ataques terroristas, y la persecución de crímenes punibles con más de cinco años de privación de libertad.
También quedan fuera de regulación los sistemas de IA que no se ponen el mercado, la investigación y el desarrollo, y las personas físicas que utilicen la IA con fines puramente personales. Su ámbito de aplicación concreto se extiende a proveedores de sistemas de IA que se pongan en servicio o comercialicen dentro de la UE o cuya salida se utilice en la UE, independientemente de su origen, así como a usuarios de los mismos, considerando usuarios a quienes explotan esos sistemas, y no a los afectados.
Como ha explicado Peralta, es un sistema muy complejo en el que hay que seguir una serie de pasos: planificar, hacer, comprobar y actuar. Aquellas empresas que cumplan todos los requisitos podrán conseguir alguno de los sellos de calidad, tanto los nacionales como los europeos o uno mundial que está previsto que aparezca próximamente. También hay multiplicidad en las agencias de protección de datos, con muchas autoridades nacionales y europeas que “pueden crear conflictos de competencias que a día de hoy no hay como resolver”.
Preguntado Peralta por el pasaporte digital que quiere crear el Ministerio de Transformación Digital de España, para autentificar la mayoría de edad a la hora de visitar páginas pornográficas, considera que es probable que no cumpla algunos requisitos del reglamento europeo, porque en ciberseguridad todo es hackeable y la supuesta anonimización de ese pasaporte es trazable totalmente, con lo que eso supondría para la intimidad de las personas. Señala además el juez que con ese sistema lo único que se va a conseguir es que se cierren las páginas pornográficas que hay en España y que se muden a otros países, donde la legislación española no les afectará.