Inteligencia artificial y derechos fundamentales
«Por más automatización que contenga el sistema de IA, la intervención humana es imprescindible, realizada por personas con la formación adecuada»
Ilustración de Alejandra Svriz.
A pesar de la importancia que reviste, poco se está hablando de que, en los próximos días, concretamente el 25 de enero, va a entrar en vigor el Reglamento de Inteligencia Artificial. Los enormes riesgos que conlleva, por lo que hoy conocemos y por lo que puede originar con su desarrollo futuro, han conducido a que la Unión Europea haya adoptado la primera «ley» de inteligencia artificial del mundo. Es el Reglamento (UE) del Parlamento Europeo y del Consejo, de 13 junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican diversas normas anteriores.
Se trata de una norma, en adelante denominada Reglamento IA, de las que se denominan «de seguridad del producto» y de «estandarización», es decir, de asegurar que lo que se nos ofrece mediante el uso de inteligencia artificial, cumple con los estándares necesarios para que el producto sea seguro y de calidad. No es pues, una norma destinada a garantizar derechos, si bien su carácter integral o transversal, ya que cualquier cosa puede verse afectada por la IA, con los riesgos subsiguientes, hace aplicable a estos contextos el respeto debido a los derechos fundamentales y así se reconoce en los «Considerandos» de la norma y en diversas partes de su articulado.
También hay que señalar que la naturaleza del contenido de este reglamento no comporta que en él se contenga una adecuación sistemática explícita con los valores de la UE, puesto que la IA tiene su origen y sus primeros despliegues en otros contextos, que están al margen de tales valores y que condicionan la esencia misma de tales tecnologías. Ello comporta la necesidad de identificar al máximo las posibles conexiones, explícitas o implícitas, del contenido del reglamento con el de los valores europeos, entre los cuales el Estado de derecho, los derechos fundamentales, la igualdad de mujeres y hombres y la protección contra todas las formas de discriminación cobran un importante significado.
Si bien la mayoría de sistemas de IA presentan pocos riesgos, la opacidad de muchos algoritmos puede crear, en casos determinados pero muy importantes para la vida de las personas, riesgos sistémicos, por ejemplo, en aplicaciones sobre identificación biométrica o en las decisiones automatizadas que afecten a intereses personales importantes, como pueden ser las que implican a la educación, la asistencia sanitaria, la investigación policial y judicial o las informaciones que condicionan determinadas contrataciones.
Por ello, la UE ha creído necesaria la adopción de una norma que sea aplicable a los actores, tantos públicos como privados, dentro y fuera de la UE (comportando una cierta extraterritorialidad ya muchos sistemas de IA se crean fuera de ella y se importan posteriormente) que vincule directa y efectivamente a todos los proveedores, implementadores, importadores de sistemas de IA y otros sujetos implicados. Al mismo tiempo, considera como ámbitos exentos, a los que no se aplica este Reglamento, la investigación y la IA con fines exclusivamente militares, de defensa o de seguridad nacional.
«La IA puede prestar un servicio decisivo en la verificación de los hechos, la identificación del delincuente o el establecimiento de medidas de protección a la víctima»
Asimismo, el Reglamento IA establece la obligación de realizar evaluaciones de impacto, por ejemplo, en materia de derechos fundamentales o para hacer frente a sesgos raciales y de género, reduciendo de este modo los riesgos de discriminación por razón de sexo, edad u otras condiciones que puedan advertirse en personas vulnerables.
El Reglamento IA contiene un listado de delitos a los que se tendrá que dar una regulación adecuada teniendo en cuenta que los avances técnicos pueden facilitar su comisión, entre los cuales sitúa la trata de seres humanos, la explotación sexual de menores y material de abuso sexual de menores, el asesinato, la agresión con lesiones graves y la violación, todos ellos regulados también, bajo diversas perspectivas, en otras normas de la UE. La conexión con otras normas europeas, por ejemplo, las que pueden tener contenidos relacionados con la ciberviolencia de género, deriva en la inclusión de conductas tales como el ciberacoso, ciberacecho, discurso de odio, doxing, hacking, suplantación o robo de identidad, tracking o sealioning.
En todos estos casos, la IA puede prestar un servicio decisivo en la verificación de los hechos, la identificación del delincuente o el establecimiento de medidas de protección a la víctima, y hay que asegurar que lo haga de manera adecuada, puesto que afecta a derechos e intereses legítimos.
Pero no nos engañemos. El objetivo del Reglamento es mejorar el funcionamiento del mercado interior mediante el establecimiento de un marco jurídico uniforme, en particular para el desarrollo, la introducción en el mercado, la puesta en servicio y la utilización de sistemas de inteligencia artificial. Por ello no podemos utilizar sus disposiciones en forma aislada, sino que tenemos que analizarlas en el conjunto del Reglamento y en conexión con otras normas, tanto de la UE como de los Estados miembros.
«Los Estados miembros no tienen margen de interpretación, como sucede en la transposición de directivas»
Además, hay que tener en cuenta que el Reglamento IA declara sin ambages que pretende imponer un marco regulatorio uniforme, como es propio de un reglamento, puesto que no precisa transposición y es directamente aplicable. Es importante señalarlo porque los Estados miembros no tienen margen de interpretación, como sucede en la transposición de directivas, cuando éstas imponen la adaptación del Derecho interno al contenido del Derecho de la UE.
El Reglamento IA prohíbe determinadas prácticas, que podríamos agrupar en dos ámbitos: Por una parte, la introducción en el mercado de productos que generen riesgos inasumibles o provoquen directamente violaciones de derechos y, por otra parte, el uso inadecuado de los sistemas de identificación biométrica, que van a estar sometidos a condiciones para que su utilización pueda ser considerada legítima.
Para evitar que ello suceda, es decir, para impedir que se consoliden violaciones de derechos, el Reglamento IA establece una clasificación de riesgos, la obligatoriedad de un período de prueba de los nuevos sistemas de IA y también la de realizar una evaluación de impacto, de tal modo que se puedan prever los resultados inaceptables y paralizarlos en su caso.
El Reglamento considera como sistemas de alto riesgo, por ejemplo, todo lo relacionado con la biometría o sistemas de identificación mediante atributos sensibles o protegidos, así como aquellos que identifican mediante el análisis de emociones. Mucho más si son utilizados en la educación, la gestión de trabajadores, el acceso a servicios públicos o privados, los cribados sanitarios o la gestión de los controles fronterizos, la administración de justicia o los procesos democráticos.
«Queda por averiguar si los Estados miembros, España en concreto, va a gestionar adecuadamente la puesta en marcha del Reglamento IA»
Por ello, antes de que se pueda autorizar el uso de un sistema de IA en estos ámbitos, es necesario que pase por un período de prueba, estrictamente regulado en el Reglamento y por una evaluación de impacto en los derechos fundamentales. Sin ello no es posible poner en práctica un sistema de IA. Además, por más automatización que contenga el sistema de IA, la intervención humana es imprescindible, realizada por dos personas con la formación adecuada y que puedan, en su caso, detener el procedimiento automatizado antes de que se consoliden violaciones de derechos.
¿Cómo se controla todo ello? En breve plazo van a tener que ser nombrados, por las autoridades europeas y las de los Estados miembros, sendos organismos, unipersonales o colegiados, que van a tener que ser responsables del uso correcto de los sistemas de IA. Complementariamente, también en breve tiempo, tendrán que adoptarse Códigos de Buenas Prácticas en todos los Estados miembros.
Y no olvidemos que son también aplicables a la IA, entre otras, la legislación europea de protección de datos y la de protección de denunciantes de delitos contra el Derecho de la UE.
Nos queda por averiguar si los Estados miembros, España en concreto, va a gestionar adecuadamente la puesta en marcha del Reglamento IA, pensado para ser aplicado en forma no sesgada y cuyos responsables de verificación y control deberían ser nombrados teniendo en cuenta capacidades técnicas, prestigio profesional e imparcialidad, dado que los procedimientos de sanción y las multas que pueden imponer son ingentes. Y teniendo en cuenta, además, que el bien jurídico protegido, en sentido amplio, por el Reglamento IA, está constituido por los derechos e intereses legítimos de los ciudadanos.
Esperemos que no se repitan aquí situaciones como las derivadas de la implementación de los fondos Next Generation, donde también hubiera sido necesaria su puesta en marcha y verificación mediante gestores independientes y cualificados. No sería de recibo que esto ocurriese, cosa que es muy difícil de garantizar cuando ello se atribuye a oficinas gubernamentales, tal como se ha hecho en este supuesto.
