Los Derechos Fundamentales como límite a la IA: si se arriesgan "tendrá que rendir cuentas"

Jue, 21/09/2023

El abogado Álvaro López-Amo durante la webinar de la Alumni+ CEF.- UDIMA.

"La inteligencia artificial está en boca de todos". Pero no por los avances en su regulación, sino más bien por los "grandes escándalos" del uso que se hace de ella. ¿Quiere decir eso que no hay legislación al respecto? En absoluto, pero, como reconoció el propio Álvaro López-Amo (abogado especialista en protección de datos y ámbito digital): esos casos están "empantallando" todo el trabajo normativo puesto en marcha a nivel europeo desde 2019. Está ahí, pero "es poco conocido". Y aunque en general se sigue legislando por detrás de la tecnología, conviene tener claras cuáles son las implicaciones y límites para usar la IA (actuales y venideras).

Por Alberto Orellana

Con ánimo de acercar ese marco normativo y que los ciudadanos sepan a qué pueden atenerse ya, y pronto, cuando salen nuevas aplicaciones que manejan IA, la Alumni+ CEF.- UDIMA (asociación de antiguos alumnos del Grupo Educativo), organizó una breve (por lo amplio de la materia) pero práctica masterclass sobre qué es la inteligencia artificial y qué están haciendo ya España y la Unión Europea para ir controlando este pulpo digital que está generando "gran inquietud social".

En los últimos dos años han explotado las primeras grandes aplicaciones de esta tecnología, y casi parece lógico que, con cada peldaño que se sube, la gente vea la ley varios escalones por detrás. "En parte es cierto", asume el abogado, pero el trabajo legal dedicado a esta materia desde hace unos tres años ya está dando sus frutos: "En España tenemos normas vigentes desde 2021" (la Ley 15/2022, de 12 de julio integral para la igualdad de trato y la no discriminación, o la reforma del Estatuto de los trabajadores, en su artículo 64.4.d -el caso riders-), como desgranaría más tarde el experto.

Pero esto sigue avanzando. Desde Chiquito de la Calzada hablando en inglés hasta huelgas de locutores de radio (que ven cómo una simple aplicación les puede sustituir), pasando por ese amargo caso de adolescentes 'desnudando' a sus compañeras de clase en España. Sin olvidar los quebraderos de cabeza que Chat GPT ha traído al sector educativo. La inteligencia artificial parece estar por todas partes. Y, sin embargo, todavía esta pregunta es pertinente: ¿qué es la IA?

Un modelo 'bien' entrenado

Lo es porque no sólo hay confusión entre los ciudadanos, sino también desde las propias instituciones que tratan de regularlo. ¿Es un programa? ¿Una máquina? ¿Un algoritmo? Para ayudar a López-Amo, su compañero e ingeniero de software en la auditora Humanitics, Marcos Núñez, ofreció unos minutos didácticos de lo más básico. De aquella proto IA de Turing del año 1930 hemos pasado a: un sistema informático compuesto por uno o múltiples algoritmos (recetas) que se alimenta de datos para imitar ciertas tareas humanas "inteligentes" y aparentemente sencillas: "aprender, razonar y adaptarse".

Un sistema de inteligencia artificial es aquel que viene a sustituir en algún grado a la inteligencia humana. Para ello se nutre de datos, y emplea diferentes recetas para dar ese resultado: eso es un modelo. El modelo se entrena para que sepa en qué contexto está y pueda hacer pequeños cambios, es decir, que aprenda y se adapte. Eso es la IA: un algoritmo programado para una tarea junto a otros para "dar un resultado a partir de lo que tiene, pero contextualizándolo", detalló Núñez.

Ahora bien, cada modelo (las decisiones de esos algoritmos para llegar a la solución) depende de los datos que tenga en su dieta. La IA "no es infalible, ni perfecta" porque sus datos no lo son; "se los hemos dado nosotros". Y, por lo general, importa más pasar de ese BigData, con muchos datos "sucios" (incompatibles), a los llamados 'data sets', conjuntos más reducidos de datos "filtrados" -comprobados en cada modelo para dar de forma "natural" la solución: que funcionen solos y correctamente vamos-.

Por ello el experto en ética algorítmica resaltó la importancia del origen y calidad de ese dato. Si el dato no está equilibrado y saneado, puede que el modelo tome decisiones incorrectas; "la IA puede hasta tener alucinaciones", dijo, e inventarse cosas tranquilamente. "Si no enseñamos al ordenador a pedir por favor (o no sesgar por etnias, por ejemplo) igual que un niño, tomará malas decisiones". El debate está ahí y debe pasar a la práctica y, ya que hablamos de ella, ¿qué entiende la UE por IA si quiere regularla?

El Reglamento Europeo: sistemas y responsabilidad

Diferentes leyes y enfoques sobre este mismo concepto de IA demuestran que el tema es cuanto menos complejo. En España las leyes hablan de sobre todo de algoritmos; el Libro Blanco sobre la IA de la Comisión Europea hablaba de "combinación de tecnologías que agrupan datos, algoritmos y capacidad informática". Y el Grupo de Expertos de Alto Nivel designado por la UE acota la inteligencia artificial al concepto más aceptado normativamente: "(...) sistemas que manifiestan un comportamiento inteligente, (...) capaces de analizar su entorno y pasar a la acción - con cierta "autonomía"- para alcanzar "objetivos específicos".

De nuevo, sistema. Pero ¿de qué están compuestos y qué consecuencias legales pueden tener quienes lo utilicen? Además, los expertos de la UE creen que la idea de IA es "un concepto difuso", y prefieren hablar de "racionalidad". Es decir, de la capacidad que tiene esta tecnología de "elegir la mejor opción para alcanzar un determinado objetivo". Pero esos objetivos son "definidos por humanos" y generan "una información de salida" en forma de contenidos, predicciones, recomendaciones o decisiones que influyan en los entornos con los que interactúa" (Art. 3 del Reglamento Europeo). Es el primer apunte a los efectos de la IA, algo fundamental para determinar las consecuencias.

Pero no nos desviemos: esos sistemas de supuesta inteligencia están compuestos, como decíamos, de datos, modelos y entrenamiento. Y para que esto funcione necesitas todo un soporte informático que consume tiempo y energía, y tiene sus propias brechas. En otras palabras, todo el que trabaje con sistemas de IA se expone a una auditoría sobre: fuentes de información, algoritmos y bases de datos. Una parte es el "entorno operativo" (software), que a su vez debe estar soportado por un entorno de seguridad (servidores, el hardware) bien protegido.

"El algoritmo necesita esa base de datos limpia y que esté soportada por un sistema informático, instalado en un servidor con unas medidas de seguridad", física y cibernética, resumía López-Amo. De todo eso debe preocuparse quien use la IA, a priori, según la normativa. Pero no termina de estar muy claro sobre qué parte se aplica la responsabilidad en cada caso. Y es importante, porque "el coste cambia" si sólo reviso un algoritmo, o si reviso todo el sistema (sensores, algoritmos, bases de datos...).

"Me llama la atención cómo en una normativa se habla de algoritmos y en otra de sistemas o mecanismos de decisiones automatizadas (que pueden ser IA o no)", valoraba el abogado. En pocas palabras: "Estamos en un Derecho que se está construyendo desde 2021". Y aunque todavía queda, López-Amo ya advierte que "en los próximos meses entrarán en vigor muchas normas", sobre todo con influencia de la parte sancionadora. "De hecho hay una unidad de control que inspeccionará y sancionará en cada caso", avanzó. "Y cuando empiecen las multas (de hasta 30 millones de euros) empezarán los llantos".

Auditor'IA'

Para evitar el 'tecno-marrón', empresas como Humanitics tratan de ubicar a todo aquel que se pueda ver expuesto a esas revisiones por trabajar con inteligencia artificial. Lo primero, diferenciar qué clase de IA estamos usando: situada (vinculada a una infraestructura física concreta, por ej.: industria) o no situada (en la web; como Chat GPT). Ahora mismo, aunque sea esta última la que más 'asusta', es la que menos valor aporta a un mercado que factura ya unos 400.000 millones de euros a nivel mundial.

De esa parte, unos 175.000 millones pertenecen a la IA no situada, y el resto a la que tendremos, por ejemplo, vinculada a nuestros vehículos. "Robótica e instalaciones industriales, ahí es donde está el meollo", advertía López-Amo. Ahora bien, como apuntaba esa primera preocupación sobre cómo puede influir la IA en su entorno, todo dependerá de para qué usemos ese sistema inteligente.

Por ejemplo, la Ley que ya modifica el Estatuto de los Trabajadores en España (artículo 64.4.d) señala que, aquellas empresas que usen la IA para "incidir en las condiciones de trabajo, el acceso y mantenimiento del empleo, incluida la elaboración de perfiles", tendrán que dar parte de los "parámetros, reglas e instrucciones" de sus algoritmos. Por eso ambos expertos insistían en la importancia del origen del dato (sesgos raciales, religiosos, sexuales) y del porcentaje de acierto del modelo: "Dependiendo de la tarea, si tenemos un sistema con un acierto del 63%, lo que tenemos es un problema legal".

Entonces, ¿todos los empresarios que diseñen, comercialicen, usen o exploten -sí, los usuarios- sistemas de IA en sus procesos de negocio, estarán obligados a cumplir la normativa? ¿Y está ya en vigor? Ninguna de las dos. El Reglamento Europeo se prevé para finales de año o principios del siguiente, apuntó el abogado. Y sólo afectará a quienes usen sistemas de IA clasificados como "prohibidos" o "de alto riesgo"; aunque también se incluyen los de "riesgo medio" que, por sus aplicaciones "puedan llegar a impactar e incluso vulnerar Derechos fundamentales". Pero, en suma, lo importante es el fin de la IA: si impacta o arriesga los derechos civiles y fundamentales, "tendrá que rendir cuentas".

Guías y 'Deep fakes'

La cuestión es cumplir con los requisitos que prepara la UE, que permiten tener un sistema de IA de calidad. España "está siendo el conejillo de indias de la UE en la implantación del marco regulatorio" con pruebas del futuro 'sello de calidad', similar al de las webs (casi 5 millones de presupuesto). Un sistema de alto riesgo tendrá que ser: transparente, con un sistema de gestión de riesgos ("mapa" de posibles problemas), con gobernanza de datos -datos limpios-, bien documentado, que permita la trazabilidad de su funcionamiento, y que tenga siempre una vigilancia humana. Además poder probar que tu IA es precisa, tiene un sistema operativo sólido y no tiene apenas brechas de seguridad -no tener ninguna es imposible hoy en día-.

La ISO 38507, la ISO 23894, o la ISO 42001 son las tres normas paraguas que se han establecido en paralelo para certificar. Se centran tanto en la propia definición de la IA como en la forma de entrenar ese modelo, "y cada una tiene unos cuarenta puntos de control", abundó López-Amo dando la medida del asunto. ¿Y eso me lo tengo que inventar? "No, ya existen normas que sirve de guía para lograr esa implantación" y tener el visto bueno en la comercialización y uso de dicho algoritmo.

De todas formas, la batalla por regular esta tecnología no ha hecho más que empezar, y de hecho el artículo 52 de ese reglamento habla de una cúspide que difícilmente puede coronarse ahora mismo: las llamadas 'ultra falsificaciones' o deep fakes. Una aplicación que puede clonar tu voz en un minuto puede usarse, por ejemplo, para pedirle a un familiar que te envíe dinero para una emergencia. "La parte penal de clonar voz e imagen se está extendiendo como una mancha de aceite y de forma imprevista", concedía el abogado. "Nos centrábamos en los sesgos de las bases de datos para seleccionar personas para una u otra cuestión de forma automatizada, pero la realidad nos supera permanentemente".

En la parte generativa "siempre se irá por detrás a nivel regulatorio". A nivel informático "hay mecanismos", sí, pero necesitan de un análisis forense para aprender a prevenir y controlar, y son a posteriori. "A nivel técnico poco podemos hacer". El reciente caso de Almendralejo pone de manifiesto la dificultad manifiesta, como explicó López-Amo:

"El problema es que esto se desarrolla tan rápido que, aunque generas un mecanismo para controlar que los chavales no usen fotos para desnudar a compañeras, no te vale para no falsificar la voz"; no se puede replicar. "Estamos en esa situación". Eso a nivel técnico. A nivel legal el problema es que también se pueden hacer esos 'falseos' desde cualquier parte del mundo. "Me pueden poner palabras de apoyo a Putin desde Singapur", ejemplificaba López-Amo.

Crear personajes ficticios con apariencia de identidades reales para afectar a campañas políticas, para radicalizar la opinión pública (denominada 'erosión epistémica’)... todo eso "está sucediendo ya", aseveraba el letrado. Frente a ella ¿hay solución informática? "Sí... pero es poner puertas al campo".

Galería de imágenes

El abogado Álvaro López-Amo durante la webinar de la Alumni+ CEF.- UDIMA.