Tecnología, Ética y Compliance: Se aprueba en Europa la Ley de Inteligencia Artificial ¿Un escudo digital? | Por BDO Argentina
El 13 de marzo el Parlamento Europeo ha aprobado la denominada "AI Act" (Ley de Inteligencia Artificial) bajo el argumento (según comunicó), que de esta forma se garantiza la seguridad y el cumplimiento de los derechos fundamentales, a la vez que impulsa la innovación.
Veníamos siguiendo durante los últimos meses las exposiciones que los eurodiputados (congresistas de estados miembro) iban teniendo durante el 2023, con amplio respaldo para su sanción.
La gacetilla de prensa emitida por el Parlamento Europeo explica que el objetivo de esta regulación es la protección de los derechos fundamentales, la democracia, el Estado de derecho y la sostenibilidad ambiental frente a los avances de la inteligencia artificial. Que estos avances de proporciones nunca antes experimentadas que impulsan la innovación representan a la vez un alto riesgo para la sociedad que resulta vulnerable ante tales avances hasta ahora no controlados. El reglamento establece obligaciones para la IA en función de sus riesgos (probabilidad de que ocurran acontecimientos no deseados, y su nivel de impacto).
Apps prohibidas
AI Act prohíbe determinadas aplicaciones basadas en inteligencia artificial que ponen en juego determinados derechos de los ciudadanos, incluyendo los sistemas de clasificación biométrica basados en características sensibles tales como raza, religión, orientación sexual o información genética.Cabe recordar que lo que la AI llama "RBI" (Identificación Biométrica Remota) se refiere al uso de sistemas de AI para identificar a personas humanas basándose en sus atributos biométricos, tales como el reconocimiento facial. Sabido es que esta práctica es polémica en diferentes partes del mundo, y algunas organizaciones abogan desde hace años por restricciones en su uso en espacios públicos.
La RBI puede utilizarse bajo una modalidad "en tiempo real" o "post facto" o también llamadas "post remoto".
También prohíbe la extracción de imágenes mediante tecnología de reconocimiento facial y creación de bases, sin consentimiento, ya sea que estas provengan de Internet o imágenes de cámaras de seguridad.
Otras tecnologías prohibidas son aquellas que permiten la identificación de emociones en lugares tales como el trabajo y las escuelas.
También lo que hasta hace no mucho tiempo era terreno de ciencia ficción en capítulos de series tales como "Black Mirror": la puntuación social.
Además, la tan debatida y cuestionada vigilancia policial predictiva (si es que su racional radica exclusivamente en perfilar a personas o evaluar sus características para potenciales hechos a investigar).
Existe además un tema prohibido que va a dar de que hablar: la IA que manipule el comportamiento humano o explote las vulnerabilidades de las personas. Basta imaginar todo lo que hay para tallar en este campo con determinadas aplicaciones que influencian hábitos y tendencias de consumo, causan trastornos psicológicos (entre ellos depresión y adicción).
Exenciones en la aplicación de la Ley
Tal como hemos visto, el uso de sistemas de RBI por parte de las fuerzas de seguridad pública está prohibida a priori. Sin perjuicio de ello existen casos puntuales que estarían exentos.La RBI "en tiempo real" sólo está permitida si bajo estrictos supuestos o condiciones, fundamentalmente si su uso está limitado en el tiempo y el alcance geográfico, y está sujeto a una autorización judicial o administrativa previa, para fines específicos. (Ej.: búsqueda selectiva de una persona desaparecida o secuestrada, o la prevención de un ataque terrorista).
Los sistemas de alto riesgo implican más obligaciones
Se prevén obligaciones claras para otros sistemas de IA de alto riesgo (debido a su importante impacto potencial en la salud, la seguridad, los derechos humanos, el medioambiente, la democracia y el estado de derecho).Aplicaciones basadas en IA de alto riesgo incluyen infraestructura crítica, educación, empleo, servicios públicos y privados esenciales (tales como atención médica, otorgamiento de productos bancarios), determinados sistemas de aplicación de la ley, migraciones y administración de fronteras, justicia y procesos democráticos (Ej.: influir en las elecciones).
En estos casos, se deberán evaluar y reducir los riesgos, mantener registros de uso, y, fundamentalmente ser transparentes, precisos y garantizar el monitoreo por parte de personas humanas. IA Act también contempla instancias mediante las cuales los ciudadanos podrán presentar quejas sobre los sistemas de IA y a recibir explicaciones sobre las decisiones basadas en sistemas de IA de alto riesgo que puedan afectar sus derechos, o, toda vez que interpreten que sus derechos ya han sido vulnerados.
Estos modelos, según la AI Act, deben cumplir ciertos requisitos de transparencia, incluido el cumplimiento de la ley de la UE de derechos de autor y la publicación de resúmenes detallados del contenido utilizado para su entrenamiento. Los modelos más potentes que podrían plantear riesgos sistémicos estarían sujetos a requisitos adicionales, incluida la realización de evaluaciones de modelos, la evaluación y mitigación de riesgos sistémicos y la presentación de informes sobre incidentes.
Ahora bien, ¿cómo harán las pequeñas empresas -stratups tecnológicas-? Imaginemos a esas dos personas jóvenes lanzando al mercado su primer producto mínimo viable ("MVP") y con la necesidad de tener que cumplir con todo esto que podría representar un costo elevado y una complejidad no menor.
Requerimientos de transparencia
Recordemos conceptualmente que los sistemas de IA de propósito general, también conocidos como Inteligencia Artificial General (AGI) o "Inteligencia General Artificial" (IGA), son desarrollos que tienen capacidades intelectuales supuestamente comparables a las de un ser humano.Estos modelos, según la AI Act, deben cumplir ciertos requisitos de transparencia, incluido el cumplimiento de la ley de la UE de derechos de autor y la publicación de resúmenes detallados del contenido utilizado para su entrenamiento. Los modelos más potentes que podrían plantear riesgos sistémicos estarían sujetos a requisitos adicionales, incluida la realización de evaluaciones de modelos, la evaluación y mitigación de riesgos sistémicos y la presentación de informes sobre incidentes.
"No es casual que desde hace algunos meses las firmas que brindan servicios de ciberseguridad estén recibiendo requerimientos de "simulación de evaluaciones de modelos" con el fin de anticiparse a pedidos de las autoridades que parecieran ser inminentes". (comenta el experto en la materia Fabián Descalzo, socio de BDO en Argentina a cargo de este tipo de servicios)
Ahora bien, ¿cómo harán las pequeñas empresas -stratups tecnológicas-? Imaginemos a esas dos personas jóvenes lanzando al mercado su primer producto mínimo viable ("MVP") y con la necesidad de tener que cumplir con todo esto que podría representar un costo elevado y una complejidad no menor.
A priori, nos imaginamos que toda tecnología deberá tener un "ambiente de prueba regulatorio" dentro del cual poder realizar las pruebas pertinentes. A su vez, los grandes vendors que ofrecen APIs de IA para ser conectados con otras aplicaciones, podrían desarrollar ambientes de prueba para sus empresas clientes que les permita desarrollar sus modelos y entrenar la IA innovadora antes de su comercialización, con todos los resguardos del caso y captura de las evidencias.
Una importante novedad esperada por muchas personas: las imágenes, el contenido de audio o de vídeo artificiales o manipulados, también llamados "deepfakes", deben etiquetarse claramente como tales. Esto representa un desafío respecto del control por parte de la autoridad de aplicación, considerando la cantidad de perfiles "fake" que frecuentan los medios digitales y redes sociales.
Si bien Europa está bastante revolucionada por este tema, es verdad que la ley entra en vigor veinte días después de su publicación y será plenamente aplicable 24 meses después de su entrada en vigencia. Por otro lado, algunas prohibiciones estipuladas se aplicarán seis meses después de la publicación; códigos de práctica nueve meses después de su entrada en vigencia; normas de IA de uso general, incluida la gobernanza 12 meses después de la entrada en vigor; y obligaciones para sistemas de alto riesgo, recién a los 36 meses.
En definitiva, aún falta un poco para que rijan algunas cuestiones, pero no olvidemos que hay cambios en las tecnologías que merecerán un gran esfuerzo de adaptación y otras que podrían perder el derecho de ser utilizadas en caso de no reconvertirse.
La Subsecretaría de Tecnologías de la Información en junio de 2023 lanzó las Recomendaciones para una Inteligencia Artificial Fiable (RIAF) que establecen principios y lineamientos para el desarrollo y uso responsable de la IA.
Existe por otra parte el Programa de transparencia y protección de datos personales, creado en septiembre de 2023 por la Agencia de Acceso a la Información Pública (AAIP). Este programa intenta buscar promover la transparencia y la protección de datos personales y en este marco la IA juega un papel cada vez más relevante.
Por otro lado, el Proyecto de ley de modificación de la Ley 25.467 (Sistema Nacional de Ciencia, Tecnología e Innovación), presentado en la Cámara de Diputados en abril de 2023, persigue regular el funcionamiento ético de los sistemas de IA.
Hace algunos años se había creado el Plan Nacional de Inteligencia Artificial desarrollado por la Secretaría de Innovación Pública. Este plan buscaba establecer una estrategia nacional para el desarrollo y uso de la IA y fue una excelente iniciativa discontinuada.
Existen muchas otras iniciativas, que merecerían ser articuladas de una forma más homogénea. Seguramente durante los próximos meses habrá novedades regulatorias.
Resulta relevante lograr vincular el concepto de IA a los valores esenciales que forman la base de nuestras sociedades. Si bien queda mucho camino por delante, el panorama es muy alentador.
Una importante novedad esperada por muchas personas: las imágenes, el contenido de audio o de vídeo artificiales o manipulados, también llamados "deepfakes", deben etiquetarse claramente como tales. Esto representa un desafío respecto del control por parte de la autoridad de aplicación, considerando la cantidad de perfiles "fake" que frecuentan los medios digitales y redes sociales.
¿Todo esto está realmente vigente hoy?
Es importante aclarar que la Ley de Inteligencia Artificial se encuentra en un proceso de revisión final por parte del equipo de expertos lingüistas del parlamento y se espera que se publique en pocas semanas (aunque no existe certeza del momento exacto).Si bien Europa está bastante revolucionada por este tema, es verdad que la ley entra en vigor veinte días después de su publicación y será plenamente aplicable 24 meses después de su entrada en vigencia. Por otro lado, algunas prohibiciones estipuladas se aplicarán seis meses después de la publicación; códigos de práctica nueve meses después de su entrada en vigencia; normas de IA de uso general, incluida la gobernanza 12 meses después de la entrada en vigor; y obligaciones para sistemas de alto riesgo, recién a los 36 meses.
En definitiva, aún falta un poco para que rijan algunas cuestiones, pero no olvidemos que hay cambios en las tecnologías que merecerán un gran esfuerzo de adaptación y otras que podrían perder el derecho de ser utilizadas en caso de no reconvertirse.
¿Y en Argentina?
En Argentina, la legislación sobre Inteligencia Artificial (IA), como un todo, aún se encuentra en desarrollo, y seguramente la AI Act será un importante marco de referencia. Sin embargo, existen algunas iniciativas que apuntan a regular el uso de esta tecnología de manera más responsable y ética.La Subsecretaría de Tecnologías de la Información en junio de 2023 lanzó las Recomendaciones para una Inteligencia Artificial Fiable (RIAF) que establecen principios y lineamientos para el desarrollo y uso responsable de la IA.
Existe por otra parte el Programa de transparencia y protección de datos personales, creado en septiembre de 2023 por la Agencia de Acceso a la Información Pública (AAIP). Este programa intenta buscar promover la transparencia y la protección de datos personales y en este marco la IA juega un papel cada vez más relevante.
Por otro lado, el Proyecto de ley de modificación de la Ley 25.467 (Sistema Nacional de Ciencia, Tecnología e Innovación), presentado en la Cámara de Diputados en abril de 2023, persigue regular el funcionamiento ético de los sistemas de IA.
Hace algunos años se había creado el Plan Nacional de Inteligencia Artificial desarrollado por la Secretaría de Innovación Pública. Este plan buscaba establecer una estrategia nacional para el desarrollo y uso de la IA y fue una excelente iniciativa discontinuada.
Existen muchas otras iniciativas, que merecerían ser articuladas de una forma más homogénea. Seguramente durante los próximos meses habrá novedades regulatorias.
Resulta relevante lograr vincular el concepto de IA a los valores esenciales que forman la base de nuestras sociedades. Si bien queda mucho camino por delante, el panorama es muy alentador.
-
-
No hay comentarios.