La esperada propuesta de legislación de la Unión Europea sobre inteligencia artificial que salió a la luz hace unos meses ha sido aplaudida por la mayoría de los expertos. Era el paso natural tras la puesta en marcha del Reglamento General de Protección de Datos (RGPD).
“Hemos vivido un período de ‘todo vale’, en el cual hemos construido sistemas de inteligencia artificial por el hecho de ser capaces de construirlos. Esta legislación busca poner límites a este enfoque”, señala Josep Curto, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la UOC. Pero la propuesta de la normativa también ha abierto el debate acerca de lo que no regula la legislación. Y en opinión de profesionales como Sergio de Juan-Creix, profesor colaborador de Derecho del grado de Comunicación de la UOC, uno de los campos que queda más desamparado es el de los neuroderechos, el área relacionada con nuestra privacidad e identidad mental.
“La inteligencia artificial es la herramienta necesaria para predecir tu comportamiento y, basándose en esto, ofrecerte productos o servicios en función de cómo eres o cuál es tu estado de ánimo, anticipándote a él o moldeándolo al gusto del oferente. Esto va más allá de la privacidad o incluso de la intimidad porque para hacerlo necesitan tener cierto control predictivo sobre tu mente”, afirma De Juan-Creix, experto en derecho digital del despacho Croma Legal. Sergio de Juan-Creix recuerda que esa intrusión puede traducirse en una manipulación a gran escala y puede tener un impacto directo en nuestras decisiones y en los neuroderechos, un campo totalmente virgen que sigue sin regularse en esta legislación.
En la misma línea se pronuncia Josep Curto, quien afirma que aunque es muy complicado delimitar hasta dónde debe llegar la normativa, “sorprende que no se consideren áreas que afectan a los consumidores y que están ligadas a las burbujas de información, las noticias falsas o las redes sociales”, advierte. Y añade que también es llamativa la omisión, en el ámbito técnico, de recomendaciones de enfoques que preserven la privacidad, los sistemas conocidos como privacy-preserving machine learning.
Otros aspectos que podrían llegar a crear controversia si continúan sin regularse son los referidos al uso de inteligencia artificial en las creaciones intelectuales. Como explica De Juan-Creix, uno de los requisitos para ser propiedad intelectual es la originalidad, “en el sentido de novedad y de ser una creación humana original. Pero si se trata de una creación de un robot, ¿hay propiedad intelectual? Y, en su caso, ¿de quién es? ¿Del propietario del robot? ¿Del programador de la inteligencia artificial?”, se pregunta. Igualmente, el profesor colaborador de la UOC cree que no queda bien delimitado el asunto relativo a la responsabilidad civil. “¿Quién es la persona responsable en caso de que se incurra en un fallo? ¿Quien crea? ¿Quien integra? ¿Quien mantiene? ¿Quien controla? ¿Todos ellos? ¿Con el mismo nivel de responsabilidad? ¿Cómo se va a distribuir esta responsabilidad? Y, sobre todo, ¿cómo se va a hacer ello entendible para el consumidor?”, plantea, e indica que estas consideraciones requerirán un largo proceso de negociación, de implantación y, finalmente, asimilación.
Sanciones insuficientes
Los dos expertos recuerdan que esta propuesta todavía está en fase de aprobación y su redacción final puede variar significativamente, e incluso abordar en el futuro todos estos espacios en blanco. De hacerlo, habría otro punto revisable en su opinión, y es el de cómo las empresas articularían el cumplimiento de la normativa. “El tejido de empresas en Europa es amplio, y la forma en la que van a consumir inteligencia artificial va a ser muy diferente, por lo que va a ser muy fácil cometer errores. Echo en falta la recomendación de un rol similar al de responsable del tratamiento de datos (DPO) en el Reglamento General de Protección de Datos (RGPD)”, señala Josep Curto. “Este rol puede ser CDO (chief data officer), CAO (chief analytics officer) o equivalente, y debe colaborar con el departamento de auditoría interno y con el legal, así como participar en el comité de gobierno del dato”, añade.
Igualmente, las multas previstas podrían revisarse, ya que las indicadas en la propuesta —hasta veinte millones de euros o el 4 % de la facturación anual— son similares a las presentadas en la regulación de RGPD, “y como hemos visto en los últimos años, muchas empresas han recibido sanciones vinculadas al tratamiento y a la protección de los datos de cliente, y aun así algunas de ellas siguen realizando las mismas prácticas puesto que operan en múltiples países al mismo tiempo y buscan estratagemas para saltarse el cumplimiento”, apunta Josep Curto. Según su experiencia, una posible solución sería realizar acciones coordinadas entre países respecto a las empresas investigadas para que las sanciones acumuladas fueran realmente eficaces.
Otra opción sería elevar la cuantía de las multas. “Hay que tener en cuenta que la inteligencia artificial no solo puede llegar a invadir la intimidad, sino darse el caso de llegar a colapsar un centro de salud, por ejemplo. Y en ese campo, igual que en el militar o en temas de control de la población, veinte millones de euros me parece una sanción irrisoria, igual que el 4 % de la facturación. Si a Facebook las sanciones no le asustan porque puede pagarlas, debería haber un apartado diferente, con una cuantía más elevada aunque sea con efectos disuasorios, para megacompañías como estas que, controlando sistemas de inteligencia artificial, pueden consolidar todavía más su poder y su dependencia tecnológica”, señala Sergio de Juan-Creix.
Me interesa
- Inteligencia Artificial Responsable: una oportunidad para la creación de valor
- ¿Quién ganará la batalla por el dominio mundial de la Inteligencia Artificial?
- ¿Las máquinas decidirán por nosotros? Así viviremos gracias a la inteligencia artificial
- La AEPD publica una guía sobre requisitos en auditorías de tratamientos que incluyen Inteligencia Artificial
- Los cuatro retos éticos de la inteligencia artificial