por Alfredo Moreno (*)
Será la primera ley radical sobre IA del mundo. Fue concebida como un proyecto de ley histórico que mitigaría los daños en áreas donde el uso de la IA representa el mayor riesgo para los derechos fundamentales, como la atención médica, la educación, la vigilancia fronteriza y los servicios públicos, además de prohibir usos que representen un “inaceptable riesgo”.
La ley de IA propuesta por la Unión Europea fue respaldada por el Parlamento Europeo el 13 de marzo de 2024, es un hito en la regulación de esta tecnología. La ley entrará en vigor por etapas en plazos de cumplimiento durante los próximos tres años.
La nueva legislación se aplica a los productos de IA en el mercado de la UE, independientemente de dónde se hayan desarrollado. Está respaldada por multas de hasta el 7% de los ingresos mundiales de una empresa.
La Ley de Inteligencia Artificial es “la primera norma del mundo que marca un camino claro hacia un desarrollo seguro y centrado en el ser humano de la inteligencia artificial”, declaró Brando Benifei, legislador italiano de la UE que contribuyó a dirigir las negociaciones sobre la ley.
«Los usuarios podrán confiar en que las herramientas de inteligencia artificial a las que tienen acceso han sido cuidadosamente examinadas y son seguras de usar», afirmó Guillaume Couneson, socio del bufete de abogados Linklaters. «Esto es similar a que los usuarios de aplicaciones bancarias puedan confiar en que el banco ha tomado estrictas medidas de seguridad para permitirles utilizar las aplicaciones de forma segura».
El proyecto de ley es importante fuera de la UE porque Bruselas es un regulador tecnológico influyente, como lo demuestra el impacto del GDPR en la gestión de los datos de las personas. La ley de IA podría hacer lo mismo.
“Muchos otros países estarán atentos a lo que sucede en la UE tras la adopción de la ley sobre IA. El enfoque de la UE probablemente sólo será copiado si se demuestra que funciona”, sostieneCouneson.
Los sistemas de IA de “alto riesgo” tendrán que cumplir reglas estrictas que requieren sistemas de mitigación de riesgos, conjuntos de datos de alta calidad, mejor documentación y supervisión humana.
¿Cómo define el proyecto de ley la IA?
Una definición básica de IA se refiere a que es un sistema informático que lleva a cabo tareas que normalmente asociaríamos con niveles humanos de inteligencia, como escribir un ensayo, hacer un dibujo o inferir posibles resultados.
La ley en sí tiene una visión más detallada y describe la tecnología de inteligencia artificial que regula como un “sistema basado en una máquina diseñado para operar con distintos niveles de autonomía”, que obviamente cubre herramientas como ChatGPT.
Este sistema puede mostrar “adaptabilidad después del despliegue” – es decir, aprende en el trabajo – e infiere de las entradas que recibe “cómo generar resultados tales como predicciones, contenidos, recomendaciones o decisiones que pueden influir en los entornos físicos o virtuales”. Esta definición abarca los chatbots, pero también las herramientas de inteligencia artificial que, por ejemplo, examinan las solicitudes de empleo.
Como se detalla a continuación, la legislación prohíbe los sistemas que representan un “riesgo inaceptable”, pero exime a las herramientas de inteligencia artificial diseñadas para uso militar, de defensa o de seguridad nacional, cuestiones que alarman a muchos defensores de la seguridad tecnológica. Tampoco se aplica a los sistemas diseñados para su uso en investigación e innovación científica.
«Tememos que las exenciones para la seguridad nacional en la Ley de IA proporcionen a los estados miembros carta blanca para eludir regulaciones cruciales sobre IA y crear un alto riesgo de abuso», dijo Kilian Vieth-Ditlmann, subdirector de políticas de la organización sin fines de lucro alemana Algorithmwatch, que hace campaña por el uso responsable de la IA.
¿Cómo aborda el proyecto de ley los riesgos que plantea la IA?
Ciertos sistemas estarán prohibidos. Estos incluyen sistemas que buscan manipular a las personas para causar daño; sistemas de “puntuación social” que clasifican a las personas según su comportamiento social o su personalidad, como el de Rongcheng, China, donde la ciudad calificó aspectos del comportamiento de los residentes ; Intentos estilo MinorityReport de vigilancia policial predictiva; monitorear las emociones de las personas en el trabajo o en las escuelas; sistemas de “categorización biométrica” que examinan a las personas basándose en sus datos biométricos (escáneres de retina, reconocimiento facial, huellas dactilares) para inferir aspectos como raza, orientación sexual, opiniones políticas o creencias religiosas; y compilar bases de datos de reconocimiento facial mediante la extracción de imágenes faciales de Internet o CCTV.
Exenciones para la aplicación de la ley
El reconocimiento facial ha sido un factor polémico en la legislación. El uso de sistemas de identificación biométrica en tiempo real, que cubren la tecnología de reconocimiento facial en multitudes en vivo, está prohibido, pero se permite a las autoridades en una serie de circunstancias. Las fuerzas de seguridad pueden utilizar dicha tecnología para encontrar a una persona desaparecida o prevenir un ataque terrorista, pero necesitarán la aprobación de las autoridades, aunque en circunstancias excepcionales se puede implementar sin aprobación previa.
¿Qué pasa con los sistemas que son riesgos, pero no están prohibidos?
La ley tiene una categoría especial para sistemas de “alto riesgo” que serán legales, pero estrictamente observados. Se incluyen sistemas utilizados en infraestructuras críticas, como agua, gas y electricidad, o aquellos implementados en áreas como educación, empleo, atención médica y banca. También se cubrirán ciertos sistemas de aplicación de la ley, justicia y control de fronteras. Por ejemplo, un sistema utilizado para decidir si alguien es admitido en una institución educativa o si consigue un trabajo se considerará de alto riesgo.
La ley requiere que estas herramientas sean precisas, estén sujetas a evaluaciones de riesgos, tengan supervisión humana y también se registre su uso. Los ciudadanos de la UE también pueden pedir explicaciones sobre las decisiones tomadas por estos sistemas de IA que les hayan afectado.
¿Qué pasa con la IA generativa?
La IA generativa, el término para los sistemas que producen texto, imágenes, videos y audio plausibles a partir de indicaciones simples, está cubierta por disposiciones para lo que la ley llama sistemas de IA de “propósito general”.
Habrá un enfoque de dos niveles. En el primer nivel, todos los desarrolladores de modelos deberán cumplir con la ley de derechos de autor de la UE y proporcionar resúmenes detallados del contenido utilizado para entrenar el modelo. No está claro cómo podrán cumplir los modelos ya capacitados, y algunos ya están bajo presión legal. El New York Times está demandando a OpenAI y Getty Images está demandando a StabilityAI, alegando infracción de derechos de autor. Los modelos de código abierto, que están disponibles gratuitamente para el público, a diferencia de los modelos «cerrados» como el GPT-4 de ChatGPT, estarán exentos del requisito de derechos de autor.
Un nivel más estricto está reservado para los modelos que plantean un “riesgo sistémico” (basado en una evaluación de su “inteligencia” más humana) y se espera que incluya chatbots y generadores de imágenes. Las medidas para este nivel incluyen informar incidentes graves causados por los modelos, como muerte o violación de derechos fundamentales, y realizar «pruebas adversas», donde los expertos intentan eludir las salvaguardas de un modelo.
¿Qué significa para los deepfakes?
Las personas, empresas u organismos públicos que emiten deepfakes[i] deben revelar si el contenido ha sido generado o manipulado artificialmente. Si se hace para un trabajo «evidentemente» artístico, creativo o satírico, aún debe marcarse, pero de una «manera adecuada que no obstaculice la exhibición o el disfrute de la obra».
El texto producido por chatbots que informa al público “sobre asuntos de interés público” debe marcarse como elaborado por IA, pero no cuando haya pasado por un proceso de revisión humana o control editorial, lo que exime el contenido que ha tenido supervisión humana. Los desarrolladores de sistemas de IA también deben asegurarse de que su producción pueda detectarse como creada por IA, colocando marcas de agua o marcando de otro modo el material.
¿Qué piensan las empresas de tecnología e inteligencia artificial?
El proyecto de ley ha recibido una respuesta mixta. Las empresas tecnológicas más grandes apoyan públicamente la legislación en principio, aunque desconfían de los detalles. Amazon dijo que estaba comprometido a colaborar con la UE “para apoyar el desarrollo seguro y responsable de la tecnología de inteligencia artificial”, pero Meta, de Mark Zuckerberg, advirtió contra la regulación excesiva. «Es fundamental que no perdamos de vista el enorme potencial de la IA para fomentar la innovación europea y permitir la competencia, y la apertura es clave aquí», dijo el jefe de asuntos de la UE de la compañía.
Otras respuestas han sido más críticas. Un alto funcionario de una empresa estadounidense advirtió que la UE había establecido un límite para la potencia informática (computacional) utilizada para entrenar modelos de IA que es mucho más bajo que propuestas similares en Estados Unidos. Los modelos entrenados con una potencia superior a 10 elevado a 25 “flops” (potencia de supercómputos), una medida de potencia informática, se enfrentarán a requisitos onerosos para demostrar que no crean riesgos para el sistema. Esto podría llevar a las empresas europeas a simplemente aumentar sus apuestas y trasladarse hacia Occidente para evitar las restricciones de la UE.
¿Cuáles son los castigos según la ley?
Las multas oscilarán entre 7,5 millones de euros o el 1,5% de la facturación mundial total de una empresa (lo que sea mayor) por proporcionar información incorrecta a los reguladores, hasta 15 millones de euros o el 3% de la facturación mundial por violar ciertas disposiciones de la ley, como las obligaciones de transparencia, hasta 35 millones de euros, o el 7% de la facturación, para implementar o desarrollar herramientas de IA prohibidas. Habrá multas más proporcionadas para las empresas más pequeñas y las nuevas empresas.
Las obligaciones entrarán en vigor después de 12 meses, por lo que, en algún momento del próximo año, una vez que la ley se convierta en ley, la prohibición de ciertas categorías entrará en vigor después de seis meses. Los proveedores e implementadores de sistemas de alto riesgo tienen tres años para cumplir. También habrá una nueva oficina europea de IA que establecerá estándares y será el principal organismo de supervisión de los modelos GPAI.
A las corporaciones de tecnología les encanta hablar de cuán comprometidas están con la ética de la IA . Pero cuando se trata de medidas concretas, la conversación finaliza. Los equipos de IA responsables suelen ser los primeros en ver recortes y despidos. Las empresas de tecnología pueden decidir cambiar sus políticas éticas de IA en cualquier momento. OpenAI, por ejemplo, comenzó como un laboratorio de investigación de IA “abierto” antes de cerrar el acceso público a su investigación para proteger su ventaja competitiva, como cualquier otro startup de IA. Se regula una acción de marcado.
La Ley de IA puede cambiar esta situación. La regulación impone reglas legalmente vinculantes que exigen que las empresas de tecnología notifiquen a las personas cuando interactúan con un chatbot o con sistemas de categorización biométrica o reconocimiento de emociones. También exige etiquetar los deepfakes y el contenido generado por IA y diseñar sistemas de tal manera que los medios generados por IA puedan ser detectados.
El proyecto de ley también exigirá que todas las organizaciones que ofrecen servicios esenciales, como seguros y banca, realicen una evaluación de impacto sobre cómo el uso de sistemas de IA afectará los derechos fundamentales de las personas.
La Ley de IA requerirá modelos básicos y sistemas de IA construidos sobre para elaborar una mejor documentación, cumplir con la ley de derechos de autor de la UE y compartir más información sobre los datos con los que se entrenó el modelo. Para los modelos más potentes, existen requisitos adicionales. Las empresas tecnológicas tendrán que compartir cuán seguros y energéticamente eficientes son sus modelos de IA, por ejemplo.
Pero aquí está el problema: el compromiso que encontraron los legisladores fue aplicar un conjunto de reglas más estricto sólo a los modelos de IA más potentes, categorizados por la potencia (computacional) informática necesaria para entrenarlos. Y corresponderá a las empresas evaluar si están sujetas a reglas más estrictas.
La Comisión Europea no confirmó si el límite actual abarcaría modelos potentes como el GPT-4 de OpenAI o el Gemini de Google , porque sólo las propias empresas saben cuánta potencia computacional se utilizó para entrenar sus modelos. Se sostiene que a medida que la tecnología se desarrolle, la UE podría cambiar la forma en que mide cuán poderosos son los modelos de IA.
La Ley de IA creará una nueva Oficina Europea de IA para coordinar el cumplimiento, la implementación y el cumplimiento. Será el primer organismo a nivel mundial en hacer cumplir reglas vinculantes sobre IA, y la UE espera que esto le ayude a convertirse en el regulador tecnológico de referencia en el mundo. El mecanismo de gobernanza de la Ley de IA también incluye un panel científico de expertos independientes para ofrecer orientación sobre los riesgos sistémicos que plantea la IA y cómo clasificar y probar modelos.
El dominio del mundo digital ha migrado de “los dueños de Internet” a los “dueños de los datos digitales”, multimillonarios con empresas que gestionan volúmenes gigantescos de información, clasificada en forma precisa y bien segmentada. La recopilación de datos biométricos arrincona el ejercicio de derechos humanos fundamentales. La ley un primer gran paso y esperamos que tenga imitaciones globales.
Alfredo Moreno/ Informático/Ing. TIC en ARSAT, Profesor de TIC en UNM/Integrante de la red PLACTS
[i]La deepfake es una noticia o nota falsa que a simple vista se ve que es real pero solo engaña deepfake o ultrafalso es un acrónimo del inglés formado por las palabras fake, falsificación, y deeplearning, aprendizaje profundo.
