La gran batalla de la (necesaria) regulación de la IA

Investigador del Consejo de Investigaciones de Australia en automatización de toma de decisiones —
31 de agosto de 2023 22:21 h

0

En el ya distante febrero de 2014 el entonces ministro de Educación, Cultura y Deporte, José Ignacio Wert, anunciaba la introducción en España de “una regulación pionera en el ámbito europeo”. Hacía referencia a las modificaciones de la ley de propiedad intelectual española que creaban un novedoso derecho de los editores a obtener una “compensación equitativa” por el uso que de sus ediciones hiciesen los agregadores de noticias. La disposición normativa era, esencialmente, una auténtica tasa a Google (hoy Alphabet) y, en concreto, a su servicio de Google News. 

El siguiente capítulo de esta historia es conocido por los usuarios españoles. A los pocos días, Google decidía interrumpir su servicio en España, que no reestablecería hasta la modificación de la norma en 2022, en este caso en aplicación de una directiva europea que establece un principio de negociación bilateral entre agregadores y editores. Básicamente, Google prefirió abandonar el mercado español a cumplir con unas normas que no le resultaban convenientes. El efecto fue una menor distribución de los contenidos de los editores españoles sin ser ello compensado por beneficio económico alguno.

Sirve esta pequeña historia como introducción a una máxima jurídica de vital importancia en el sector tecnológico, que parafrasea el refranero español, y que es de esencial aplicación en el contexto de la inteligencia artificial: no regula quien quiere sino quien puede. Y no muchos entes jurídicos pueden hacerlo. Como veremos en la parte final de este artículo, tan sólo la Unión Europea, Estados Unidos y China parecen capacitados para hacerlo a una escala en la que sus normas puedan generar los efectos deseados, aunque otros estados estén también tratando de crear sus propias reglas.

Esencialmente, para crear normas de obligado cumplimiento –y con consecuencias jurídicas si son desobedecidas– hacen falta tres condiciones. Primero, entender suficientemente la materia regulada. Segundo, tener moderadamente claro qué se persigue como objetivo regulatorio. Y tercero, ser capaz de evitar que los entes regulados simplemente se vayan a otra jurisdicción con normas más ventajosas.

Esto es así, porque, aunque hablemos de regular la inteligencia artificial, en abstracto, lo que estamos intentando conseguir es influir en las decisiones de personas, empresas y entes públicos para que el desarrollo y uso de los sistemas de inteligencia artificial se realicen conforme a ciertos objetivos sociales, como respetar los derechos humanos o garantizar la seguridad de las personas que usan esos sistemas o sufren sus consecuencias. Sin embargo, son esos mismos entes los que están desarrollando una tecnología que tiene el potencial de revolucionar nuestra calidad de vida y es deseable que puedan tomar decisiones adecuadas que favorezcan ese desarrollo tecnológico.

Ese es el motivo de que sean muchas las voces que no son partidarias de regular la inteligencia artificial. Al menos, de momento. Es cierto que muchas empresas y grupos de influencia defienden públicamente esta posición respondiendo a motivos puramente crematísticos o, incluso, mucho más espurios, pero las razones para esta postura son varias y, hasta cierto punto, justificadas. 

En general, la idea subyacente es que aún no entendemos correctamente lo que puede hacer la inteligencia artificial y que, por lo tanto, es mejor ser precavido y retrasar la intervención estatal o adoptar otras vías como, por ejemplo, confiar en la autorregulación de las empresas o establecer sistemas voluntarios o de alianza público-privada, donde el Estado pueda negociar directamente con las empresas implicadas en los cambios normativos. 

¿Razones para no intervenir?

Esta corriente cuenta con una larga tradición académica y política –especialmente en Estados Unidos y otros países anglosajones– que defiende la necesidad de ser conservador en la regulación de tecnologías disruptivas para evitar retrasar avances tecnológicos y sociales. Este contexto explica también perfectamente, la máxima de Silicon Valley –y en particular de Facebook, hoy Meta– de “moverse rápido y romper cosas”.

Frente a las críticas de aquellos que piensan que esta idea desprotege a la ciudadanía ante los intereses particulares, los defensores del mínimo intervencionismo se afanan en explicar que nuestros sistemas jurídicos ya tienen mecanismos adecuados para responder a los daños que la inteligencia artificial pueda causar. Al menos los más graves. 

Así, la regulación genérica de los contratos (para productos y servicios contratados por un usuario) y la responsabilidad extracontractual (para otros daños fuera de un contrato) serían suficientes para que los desarrolladores y usuarios profesionales de sistemas de IA fuesen cautelosos con lo que ponen en circulación. Por ejemplo, una aseguradora que desee utilizar un sistema comprado a un desarrollador (normalmente una gran empresa del sector tecnológico) para determinar el riesgo de muerte o accidente de un usuario, deberá asegurarse que su producto no es discriminatorio, ni viola la legislación sobre la protección de datos de carácter personal y que, además, cumple con los requisitos de transparencia exigidos por el derecho de consumo. 

Visto así cabría pensar que el riesgo generado por sistemas de inteligencia artificial no es tan significativo como cupiese pensar y que, en cierta manera, tal vez no sean necesarias nuevas normas. Y, sin embargo, no es cierto. Desde mi punto de vista hay tres razones que desmontan estas posiciones antirregulatorias. 

¿De quién es la culpa si el sistema no funciona bien? ¿Del desarrollador inicial del algoritmo? ¿De la empresa que lo adapta a esa función?

En primer lugar, la opacidad interna de los sistemas de inteligencia artificial y la complejidad de la cadena de responsabilidad requieren normas diferenciadas que consideren esos problemas. Por ejemplo, la misma aseguradora mencionada antes es formalmente la usuaria (profesional) del sistema de IA y, por ello, quien podría ejercitar las acciones contractuales, pero no quien sufriría sus consecuencias. Si, por ejemplo, un sistema de IA desarrollado por un tercero sugiere no asegurar a una persona porque el modelo adjudica a su perfil un alto riesgo de fraude, ¿de quién es la culpa si el sistema no funciona adecuadamente? ¿Del desarrollador inicial del algoritmo? ¿De la empresa que lo adapta a esa función? ¿O de la aseguradora que probablemente carece de la capacidad técnica para entender por qué el sistema aconseja esa opción? 

Segundo, existe en este campo un serio riesgo de ‘monocultivo’ en el que una empresa o un número muy reducido de ellas acabarán ocupando –si no lo están ya– todo el mercado. Ello se debe a una serie de causas, pero la principal es que frente a la teoría económica general de que en todo sector hay un punto de rendimientos decrecientes de escala, en el que el último euro invertido genera un valor menor de un euro, en los modelos de inteligencia artificial parece –al menos por el momento– que a mayor tamaño y mayor número de datos, mejor y más útil es el modelo. Ello implica la necesidad de enormes inversiones para entrenar a esos modelos, una tarea que ha alcanzado hoy de manera común las decenas de millones de euros, pero que podría llegar a exigir más de mil millones. A esto coadyuva que, una vez entrenado, ese modelo general puede extenderse a otro uso análogo sin grandes costes, generando así una serie de sistemas derivados de un solo modelo creado por una sola empresa. Así, volviendo a la aseguradora, si un sistema demuestra que es provechoso para una empresa, otras incorporarán versiones de ese mismo sistema en su toma de decisiones, llegando tal vez a un punto en el que la persona erróneamente considerada de alto riesgo en el ejemplo anterior, no tendría ninguna opción para asegurarse.

Tercero, y para mí el más preocupante de todos ellos. Muchos sistemas de inteligencia artificial están capacitados para seguir aprendiendo –ya en funcionamiento– en base a nuevos datos que van incorporando a su modelo. Y eso quiere decir que cualquier prueba de laboratorio anterior, o fase de pruebas en condiciones reales, puede ser inútil una vez que el sistema vaya añadiendo nuevos datos y modificando los resultados y acciones que genera. 

Este mecanismo desafía incluso a nuestros sistemas jurídicos actuales de regulación del riesgo, donde utilizamos bases históricas de datos para determinar el nivel de riesgo y, por tanto, los costes de, por ejemplo, un seguro que podemos imponer legislativamente (pensemos en los seguros de responsabilidad civil de profesionales sanitarios o abogados). Si no tenemos datos sobre el comportamiento previo de un sistema de inteligencia artificial, o si los que tenemos pueden modificarse en el futuro sin motivo aparente, el mercado de seguros no podrá funcionar.

Niveles de riesgo

Estos tres factores han generado que las tendencias regulatorias recientes se centren por ello en intentar determinar niveles de riesgo aceptables para estos sistemas. La consideración de qué es aceptable estará normalmente determinada por el campo en el que actúan y en el nivel de intervención del sistema en el mundo real. Por ejemplo, dos sistemas de IA compitiendo en una partida de ajedrez virtual entre ellos, que no es observada por ningún humano, no tendría repercusión jurídica, pero sí la tendría si se hiciese en una competición retransmitida en la red en la que se aceptasen apuestas.

De la misma manera una recomendación errónea del algoritmo de Netflix sobre la siguiente película que deberíamos ver difícilmente nos causará un daño mayor que unas horas perdidas de nuestra vida. Al contrario, un algoritmo de recomendación sobre qué medicación tomar –que puede estar basado exactamente en el mismo modelo fundacional y conllevar los mismos errores y sesgos en su diseño– será una preocupación mucho mayor para el legislador.

Teniendo en cuenta todo ello, ¿qué puede hacer entonces el Estado para intervenir en esos casos a través de su regulación y evitar que esos riesgos se conviertan en daños?

Simplificando la arquitectura internacional, en este momento podemos observar tres modelos, todos ellos basados en esta idea de control de riesgo. El modelo europeo, representado singularmente por la propuesta de reglamento para la inteligencia artificial presentada en abril de 2021 –y ahora a debate en el Parlamento y Consejo de la Unión Europea– trata de regular estos sistemas ex ante [basados en estimaciones, no en resultados reales] tratando de someterlos a un proceso de conformidad antes de ser puestos en el mercado. La idea, común a otros sectores de la regulación europea, es que para que un sistema obtenga el sello ‘CE’ y pueda ser comercializado en Europa, deberá pasar una serie de controles que garanticen que el riesgo es aceptable. 

Estándares voluntarios

De manera general esos controles no serán específicos para cada sistema, sino que requerirán un certificado de que se hayan pasado los controles técnicos relevantes y que el sistema ha sido desarrollado conforme a los estándares técnicos aplicables en la industria. Lamentablemente, a estas alturas, dichos estándares no existen.

Justamente, el desarrollo de esos estándares parece la piedra angular de la política regulatoria estadounidense, si bien manteniendo su carácter puramente voluntario. En enero de este mismo año una agencia pública de ese país publicó su marco de gestión del riesgo para sistemas de inteligencia artificial (AI RMF en sus siglas en inglés). De igual manera las compañías estadounidenses están centradas en el codesarrollo de otros estándares técnicos a nivel doméstico e internacional. Una organización estadounidense (ANSI) lidera un oscuro grupo conjunto de la Comisión Electrotécnica Internacional y la Organización Internacional para la Estandarización centrada en el desarrollo de los estándares técnicos para la IA. El rasgo común es que, en todos los casos, los estándares desarrollados tienen (explícitamente) carácter voluntario para la industria, con lo que logra desligar en la práctica a sus empresas de cualquier atadura regulatoria en este sector.

China, ¿futura potencia regulatoria?

Más complejo es el caso de China, donde junto con un sofisticado plan para ser la potencia regulatoria de referencia para la IA en 2025 –que implica una brutal actividad en el desarrollo de estándares técnicos– el poder central ha creado también una serie de laboratorios por todo el país, donde diferentes provincias tiene el mandato de desarrollar sus propios marcos político-regulatorios en sectores específicos. Así, por ejemplo, Heifei se centrará en robótica y reconocimiento del habla, mientras que en Deqing, las autoridades y empresas desarrollarán un marco propio para conducción autónoma, agricultura inteligente y gobernanza inteligente al nivel local. Estas medidas se han visto acompañadas por intervenciones regulatorias directas en otros campos como la directiva sobre sistemas de recomendación en Internet, que prohíbe sistemas de IA que generen recomendaciones disruptivas del orden social o que exploten la vulnerabilidad de los ancianos.

Junto con estos mega-reguladores, otros estados se han centrado en cuestiones más modestas. Por ejemplo, Canadá ha sido el primer país del mundo en regular de manera comprensiva el uso de sistemas de toma de decisiones automatizados en el sector público, sometiéndolos a un control previo, similar al previsto en la norma europea. Otros, como Singapur o Australia, siguen anclados en la idea de operacionalizar mandatos éticos, mientras que el Reino Unido trata de buscar su espacio propio con un registro general para el uso de algoritmos en el sector público.

En cualquier caso, en esta carrera regulatoria es probable que el primero que sea capaz de imponer sus normas a los grandes proveedores de sistemas de IA sea quien ocupe el espacio y fije los límites del futuro, ya que otras iniciativas internacionales como un borrador de acuerdo en el Consejo de Europa (entidad diferente a la Unión Europea) parece estancado tras un 2021 de progresivos avances en su texto. Así, no es de extrañar que la iniciativa regulatoria más agresiva –la propuesta de reglamento europea– sea ahora objeto de intenso activismo por parte de centros de pensamiento, empresas y académicos apoyados por las grandes tecnológicas. Como decíamos al principio, no regula quien quiere, sino quien puede.

Este artículo forma parte de la revista 'Inteligencia Artificial. Riesgos, verdades y mentiras', exclusiva para socios y socias de elDiario.es. Recibe en casa uno de los últimos ejemplares en papel de regalo con un año de elDiario.es