Europa aprueba reglamento de IA: lecciones para Costa Rica
El pasado 14 de mayo de 2024, el Parlamento Europeo y el Consejo de la Unión Europea aprobaron de manera definitiva las normas armonizadas en materia de inteligencia artificial (IA).
Dado que en Costa Rica los órganos competentes del Estado ya han intentado emitir reglamentaciones sobre la IA, considero oportuno revisar cuidadosamente este reglamento de la Unión Europea (UE) para reconsiderar, replantear y proponer ideas de avanzada que pueden ser útiles para nuestro país. Debido a la extensión y las implicaciones de este reglamento, no podré
abordarlo en su totalidad en este artículo. Habrá otros artículos sobre el tema si es de su interés.
Elementos básicos
Un elemento fundamental del reglamento es su intencionalidad. Responde claramente a la pregunta "¿para qué esta reglamentación?" Con una visión inteligente, realista e incluso futurista, la UE indica que el reglamento se establece para "impulsar el desarrollo, la utilización y la adopción en el mercado interior de la IA, ofreciendo al mismo tiempo un nivel elevado de protección de los intereses públicos, como la salud y la seguridad, y la protección de los derechos fundamentales, incluidos la democracia, el Estado de Derecho y la protección del medio ambiente, reconocidos y protegidos por el Derecho de la Unión".
El objetivo no es obstaculizar la IA, una tentación en las normativas prohibitivas por definición, sino el proteger los derechos fundamentales de las personas. Las autoridades deben comprender la razonabilidad de emitir normas sobre una tecnología avanzada, rápida, diversa y cada vez más presente en nuestro día a día. Sin esta claridad de objetivos, se podría entorpecer el aprovechamiento de los avances tecnológicos que pueden beneficiar a nuestros ciudadanos.
Una vez planteado este hilo conductor, el reglamento enuncia lo que "no debe afectar". Comienza por los derechos humanos, la política social, la política laboral, el trabajo remoto, la acción de los operadores de tecnología para mejorar la vida de las personas, el ambiente y los derechos de los niños, entre otros. Estas precisiones se hacen porque la UE ha avanzado mucho en normativas y regulaciones de tecnología y derechos generales, como el Reglamento General de Protección de Datos (RGPD). Es crucial emitir normativas que no choquen con otras existentes, que no sean retrógradas sino de acción renovada. Esta es una lección que debemos capitalizar en Costa Rica.
Definición de IA
Actualmente, existen docenas de definiciones de IA, algunas enfocadas en lo tecnológico y otras en la imitación del ser humano. No hay tantas coincidencias en los conceptos de inteligencia artificial. El reglamento solicita que "se defina con claridad el concepto de «sistema de IA» y se armonice estrechamente con los trabajos de las organizaciones internacionales que se ocupan de la IA, garantizando la seguridad jurídica y facilitando la convergencia a escala internacional y una amplia aceptación, a la vez que se prevé la flexibilidad necesaria para los rápidos avances tecnológicos en este ámbito".
El anhelo de una reglamentación armonizada en un entorno tan diverso como la UE exige términos claros. Sin embargo, esta reglamentación no proporciona una definición específica de IA, sino una serie de características conceptuales relacionadas con la IA que deben ser comprendidas como parte del todo de la IA. Entre ellas: capacidad de inferencias, aprendizaje automático, niveles de autonomía, capacidad de adaptación, datos biométricos, identificación biométrica, entre otros. Yo extrañé la teoría de la explicabilidad de la IA (XAI) que debe ser requisito para los diversos actores y estadios de los desarrollos de la IA. No todo es perfecto.
Enfoque basado en riesgos
El aporte más importante de esta reglamentación es el enfoque basado en riesgos. La teoría de riesgos es vasta y se utiliza para determinar el mapa de riesgos aceptables que deben ser gestionados para mitigarlos, ya que nunca estaremos exentos de ellos.
Aunque no se presentan listados de riesgos ni mapas de calor propios de la gestión de riesgos, la afirmación de que "es preciso aplicar un enfoque basado en los riesgos claramente definido, que adapte el tipo y contenido de las normas a la intensidad y el alcance de los riesgos que puedan generar los sistemas de IA de que se trate" indica que se entiende que hay correlaciones entre modelos, algoritmos, soluciones, responsabilidades, actos y consecuencias de las soluciones de IA. El centro del análisis de riesgos es precisamente el resguardo de las personas y sus derechos fundamentales.
Como parámetro presenta siete principios de interés que son: acción y supervisión humanas; solidez técnica y seguridad; gestión de la privacidad y de los datos; transparencia; diversidad, no discriminación y equidad; bienestar social y ambiental, y rendición de cuentas.
Cada uno de estos principios fue analizado, y en la medida en que las soluciones de IA se alejen, se acerquen, se desvíen o afecten estos principios, así se medirá el riesgo que poseen, tomando acciones para que los riesgos no se materialicen. A partir de estos elementos se emiten prohibiciones de aplicaciones de IA, que comentaré en otro artículo.
En Costa Rica podemos adecuar este modelo basado en riesgos y emitir normativas realistas que respondan de mejor manera a él, siempre con el foco puesto en los habitantes de nuestro país, su beneficio y promoción.
Conclusión
Este reglamento se centra en el interés de promover la IA, no de obstaculizarla, y en ver la tecnología como una poderosa herramienta a favor de todas las personas, por lo que sus derechos fundamentales deben ser resguardados. Basado en análisis de riesgos, se facilitan o prohíben las aplicaciones de IA en la sociedad. Siempre hay cosas que mejorar, pero con criterios modernos, actualizados y comprensibles, la reglamentación relacionada con la tecnología podrá ser una brújula que guíe la tecnología y nos oriente para obtener beneficios significativos en nuestra vida.