El Acta de IA de la UE: Desafíos y Clarificaciones

La Ley de IA de la UE: Teniendo en Cuenta las Directrices

La Ley de Inteligencia Artificial (IA) de Europa fue publicada en junio de 2024. Sin embargo, se espera que pasen años antes de que la orientación interpretativa del Tribunal de Justicia de la Unión Europea (TJUE) llegue. Mientras tanto, la Comisión Europea está obligada a publicar directrices para ayudar a los desarrolladores, implementadores y cualquier persona interesada en esta ley. Aunque no son legalmente vinculantes, estas directrices deben ser consideradas por los países de la UE al hacer cumplir la ley y al imponer sanciones por infracciones cometidas por desarrolladores y operadores de IA. Sin embargo, esto no impide que los reguladores y los organismos de derechos fundamentales en los países de la UE interpreten la ley de manera diferente a la Comisión.

Definición de un Sistema de IA

Las directrices sobre la definición de un sistema de IA destacan un aspecto crucial: los hojas de cálculo no son sistemas de IA. Más allá de eso, el documento aporta más confusión que claridad.

Hay siete elementos principales en la definición de un sistema de IA: “(1) un sistema basado en máquina; (2) diseñado para operar con niveles variables de autonomía; (3) que puede exhibir adaptabilidad después de su implementación; (4) y que, para objetivos explícitos o implícitos; (5) infiere, a partir de la entrada que recibe, cómo generar salidas (6) tales como predicciones, contenido, recomendaciones o decisiones (7) que pueden influir en el entorno físico o virtual”.

No todos estos componentes son igualmente importantes. Mientras que “los niveles variables de autonomía” son necesarios, la adaptabilidad es opcional. Las directrices no aclaran si “los niveles variables” incluyen cero autonomía ni la jerarquía de importancia de los siete elementos.

Sin embargo, el considerando 12 de la Ley de IA establece que la “capacidad de inferir” es una característica clave de los sistemas de IA. Esta capacidad “trasciende el procesamiento de datos básicos al permitir el aprendizaje, el razonamiento o la modelización.” Contradictoriamente, las directrices excluyen de su ámbito “la optimización matemática” capaz de inferencia porque “no trasciende el ‘procesamiento de datos básicos’.”

Prohibiciones

Las directrices sobre prohibiciones son una mejora tanto en longitud como en calidad, aunque marginalmente. Afirman con razón que se necesita un análisis caso por caso para evaluar si un sistema de IA específico está prohibido. Sin embargo, estas directrices no ofrecen ejemplos de tal evaluación, sino que proporcionan ejemplos que son “meramente indicativos”.

La Ley de IA incluye ocho prohibiciones:

1. Manipulación y engaño
2. Explotación de vulnerabilidades
3. Clasificación social
4. Evaluación y predicción de riesgo de delitos individuales
5. Raspado no dirigido para desarrollar bases de datos de reconocimiento facial
6. Reconocimiento emocional en lugares de trabajo e instituciones educativas
7. Categorización biométrica
8. Identificación biométrica remota en tiempo real (RBI)

La prohibición de RBI en tiempo real se aplica a los implementadores. Todas las demás se aplican a los proveedores, implementadores y operadores (que podrían asumir ambos roles). Estas prohibiciones cubren el ‘uso’ de un sistema de IA, que no se limita al uso previsto, sino que incluye los usos indebidos, independientemente de que sean razonablemente previsibles.

Las directrices indican que “las actividades de Europol y otros organismos de seguridad de la Unión, como Frontex, caen dentro del ámbito de la Ley de IA.” Grupos de derechos humanos han expresado previamente preocupaciones de que la excepción de seguridad nacional podría ser utilizada por agencias de aplicación de la ley para eludir las prohibiciones. En este asunto crítico, las directrices no proporcionan ninguna orientación adicional más allá de la jurisprudencia existente.

Conclusión

No olvidemos que, más allá de la Ley de IA, los sistemas de IA pueden ser prohibidos por otras leyes, como las de anti-discriminación y el RGPD (por ejemplo, debido a la falta de base legal para el procesamiento de datos personales para el entrenamiento de IA).

Las directrices sobre prohibiciones, a pesar de referirse a los diversos derechos fundamentales en riesgo y a la Carta de la UE, no logran indicar el papel de los organismos de derechos fundamentales, excepto de las autoridades de protección de datos, designadas bajo el Artículo 77. Esto es sorprendente, ya que las prohibiciones están bien dentro de su ámbito, y cuya experiencia será esencial para las autoridades de supervisión del mercado.

Lo mejor de las directrices sobre las prohibiciones es que pueden ser actualizadas. Lo mejor de las directrices sobre la definición de un sistema de IA es que no son legalmente vinculantes.