Mujeres al Timón
Este jueves entra en vigor en la Unión Europea (UE) la primera Ley de Inteligencia Artificial (IA) del mundo que regula las posibilidades y el uso de la IA, a la vez que pretende evitar riesgos con estas nuevas tecnologías que han invadido todos los ámbitos de la sociedad.
Todos los Estados miembros como las empresas que desarrollan y venden esta tecnología deben prepararse para cumplir con la nueva normativa; porque de no hacerlo, podrían enfrentarse a sanciones significativas al desarrollar, vender y usar sistemas de IA que supongan algún riesgo.
Aplicación gradual
Sin embargo, es importante destacar que la entrada en vigor no implica que sus reglas pasen a ser obligatorias inmediatamente, ya que la norma prevé una aplicación gradual que llega hasta el 2030. Lo primero que pasará a ser obligatorio es el listado de prácticas prohibidas (el 1 de febrero de 2025).
El Reglamento de IA se ha visto enfocado al riesgo y reconoce cuatro categorías: (1) prohibiciones o riesgo inaceptable como, por ejemplo, la calificación social; (2) alto riesgo, por ejemplo, sistemas que se utilicen para la puntuación crediticia o el acceso a determinados seguros; (3) riego medio: por ejemplo, chatbots y (4) riesgo bajo como, por ejemplo, un filtro de correo spam (sobre los que no impone ninguna obligación).
Por fuera de estos casos y tras es lanzamiento de ChatGPT, se incorporó a la ley una “sub-pirámide” para regular los modelos de propósito general con o sin riesgo sistémico (imponiendo diferentes obligaciones).
Prohibidos
Algunos sistemas de IA o usos de la IA quedarán prohibidos porque contradicen los valores de la UE, incluido el derecho a la no discriminación, la protección de datos y la privacidad.
Entre ellos se incluyen los que desplieguen técnicas subliminales para distorsionar el comportamiento de una persona de manera que pueda causarle daños físicos o psicológicos a él o a otros.
También los sistemas de categorización biométrica por creencias políticas, religiosas, filosóficas o por su raza y orientación sexual.
¿Qué es la identificación biométrica?
El concepto de «identificación biométrica» al que hace referencia tiene que ver con el reconocimiento automatizado de características humanas de tipo físico, fisiológico o conductual, como la cara, el movimiento ocular, la forma del cuerpo, la voz, la entonación, el modo de andar, la postura, la frecuencia cardíaca, la presión arterial, el olor o las características de las pulsaciones de tecla, a fin de determinar la identidad de una persona comparando sus datos biométricos con los datos biométricos de personas almacenados en una base de datos de referencia, independientemente de que la persona haya dado o no su consentimiento. Quedan excluidos los sistemas de IA destinados a la verificación biométrica, que comprende la autenticación, cuyo único propósito es confirmar que una persona física concreta es la persona que dice ser, así como la identidad de una persona física con la finalidad exclusiva de que tenga acceso a un servicio, desbloquee un dispositivo o tenga acceso de seguridad a un local.
Por tanto, queda prohibida la captura indiscriminada de imágenes faciales de internet o grabaciones de cámaras de vigilancia para crear bases de datos de reconocimiento facial.
También se prohibirán el reconocimiento de emociones en el lugar de trabajo y en las escuelas, los sistemas de «puntuación» de las personas en función de su comportamiento o características, la actuación policial predictiva (cuando se base únicamente en el perfil de una persona o en la evaluación de sus características) y la IA que manipule el comportamiento humano o explote las vulnerabilidades de las personas.
Excepciones
No obstante, la normativa permite excepciones.
Los sistemas de identificación biométrica «en tiempo real» solo se podrán emplear si se cumplen una serie de salvaguardias. Entre estos casos pueden figurar la búsqueda selectiva de una persona desaparecida o la prevención de un atentado terrorista. Recurrir a estos sistemas a posteriori se considera un uso de alto riesgo, que requiere autorización judicial al estar vinculado a un delito penal.
Alto riesgo
Algunos sistemas quedarán sujetos a obligaciones estrictas, entre ellos las infraestructuras críticas o la educación y la formación profesional, y el empleo.
Estos sistemas deben evaluar y reducir los riesgos, mantener registros de uso, ser transparentes y precisos y contar con supervisión humana.
En el área del empleo, se consideran de alto riesgo los sistemas destinados a ser utilizados para el reclutamiento o la selección de empleados o para supervisar y evaluar su rendimiento y comportamiento.
También los que se utilicen para evaluar la solvencia de las personas físicas o establecer su puntuación crediticia.
En el ámbito de la educación, entran en esta categoría los sistemas que se usen para determinar el acceso a las instituciones educativas o para supervisar y detectar el comportamiento prohibido de los estudiantes durante los exámenes.
Sistemas con requisitos de transparencia
Sus responsables deben cumplir requisitos e informar para no engañar a los consumidores, haciéndoles creer que interactúan con personas reales o con contenidos creados por ellas, por ejemplo, los propietarios de chatbots o creadores de ‘deepfakes’.
Las multas para quienes incumplan la normativa se modularán según riesgo, pueden ir desde los 35 millones de euros (37,6 millones de dólares) o el 7 % del volumen global de negocio de las empresas, hasta los 7,5 millones de euros (8 millones de dólares) o el 1,5 % del volumen global de negocio.
¿Qué opinan los consumidores?
Desde la Federación de Consumidores y Usuarios CECU han manifestado que el Reglamento no protege adecuadamente a las personas consumidoras, al presentar varias lagunas y fallos.
Condideran que el alcance de la norma es muy limitado porque adopta una definición de IA de un alto nivel técnico, que deja afuera a la mayoría de los algoritmos que se utilizan hoy en día. Por ejemplo, el software Bosco, que determina quién tiene acceso a bono social de electricidad y sobre el que existe una batalla legal para acceder a su código fuente.
A su vez, el referido enfoque “de riesgo” deja fuera a los algoritmos que afectan al perfilado y personalización online o los sistemas de recomendación de las redes sociales.
También creen que se establecen reglas insuficientes y confusas para los modelos de propósito general, como el modelo GPT que da base a ChatGPT.
A pesar de ello, el texto final busca generar cambios positivos al incluir mayores requisitos técnicos para los sistemas de alto riesgo, la inclusión de ciertas reglas de transparencia para quienes desarrollan estos sistemas, la posibilidad de presentar reclamaciones ante autoridades públicas contra un sistema de IA o de buscar reparación colectiva en caso de daño.
¿Cuándo será efectivo?
Tras su entrada en vigor este 1 de agosto, será de plena aplicación veinticuatro meses después, con excepción de las prohibiciones de prácticas (se aplicarán seis meses después de la fecha de entrada en vigor, es decir, en febrero de 2025).
En agosto de 2025 empezarán a aplicarse las normas para los modelos de uso generalista, como ChatGPT, y un año después, en agosto de 2026, se aplicará la ley de manera general, salvo algunas disposiciones.
Las obligaciones para los sistemas de alto riesgo comenzarán a aplicarse treinta y seis meses después, en agosto de 2027.
¿Qué opinan las empresas?
Un 50,59% de las compañías consultadas en el Informe Infoempleo Adecco considera que no están preparadas para la transformación digital que se está produciendo, ni tampoco para lo que queda por venir . De ellas, el 42,35% afirma que están en ello, y solo un 8,24% confiesa que están sobrepasadas por cambios que van demasiado rápidos. En cambio, un 49,41% cree que están preparadas para esta nueva era.
Sobre implantar sistemas de IA en sus procesos de trabajo, un 44,71% dice que no lo contempla de momento. Un 29,41% confirma que tiene pensado hacerlo en el corto plazo, un 20% afirma que ya están introduciendo estos sistemas, y un 5,88% asegura que tienen totalmente integrado el uso de la IA en su actividad.
¿Para qué lo utilizan?
Entre las empresas que ya están usando sistemas de Inteligencia Artificial, la automatización de tareas administrativas es el uso más extendido (68,18%), así como la automatización de procesos productivos (59,09%) y el análisis de datos (59,09%). Además, un 45,45% cuenta ya con asistentes virtuales y de atención al cliente. El 18,18% tiene integrados estos sistemas para control de calidad, y un 9,09% utiliza la IA en los procesos de selección de personal.
Por el momento, un 77,65% de las empresas consultadas para este estudio dice que no cuenta con ningún código ético de uso para sus herramientas de IA, mientras que un 22,35% sí que lo regula internamente.
