"ReDCE núm. 41. Enero-Junio de 2024"
|
|
En la Unión Europea cada Estado miembro comparte un mayor o menor acercamiento a una cultura común, pero en algunos temas, como los que tienen que ver con la sociedad digital, se impone la búsqueda de una normativa compartida. De este modo, el contexto geopolítico sirve para la determinación de un Reglamento, que uniforme las actividades que superan el marco estatal, y cuya influencia es muy importante, no solo en el aspecto mercantil o de intercambio, sino en todos aquellos que afectan a los derechos fundamentales de las personas.
Es en ese sentido, en el que puede comprenderse como la consecución de un texto común, con relación a la IA, ha necesitado del tiempo suficiente que le permitiera aunar los criterios, que finalmente han culminado en la aprobación de esta norma.
Hay que tener en cuenta que, como se ha puesto de manifiesto por parte del constitucionalismo contemporáneo, la externalización de la actividad económica, desde fuera y al margen del Estado, fuerza la relación entre constitución y economía a la ajenidad del derecho, y produce un desplazamiento de la constitución económica en lo que se ha llamado la tercera globalización. La sociedad digital forma también parte de la sociedad del mercado, de manera que los datos interfieren en cada actividad humana que esté dirigida a la comercialización o al tráfico comercial[01].
Así, lo que se ha llamado la constitución del algoritmo crea unos efectos en el ejercicio de los derechos fundamentales, que interfieren en ámbitos de la intimidad que no solamente no estarían consentidos por el sujeto, sino que este ni siquiera tendría conocimiento de su manipulación, por parte de empresas dedicadas a la gestión digital de los datos.
Y de ahí se deriva también una realidad, aquella de que pueda ser inútil regular la IA, si no se regulan también los procedimientos para hacer efectivos los derechos de afectación; por lo que cualquier regulación supraestatal exige en este caso importantes refuerzos para el acomodo constitucional de algunos derechos estatales especialmente protegidos[02].
De hecho, los Estados han seguido con atención este proceso, adelantándose a la propuesta de Reglamento, publicando ––como en nuestro caso–– normas como las del RD 817/2023, de 8 de noviembre, que establece un entorno controlado de pruebas, para el ensayo del cumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen las normas armonizadoras en materia de IA.
En su Exposición de Motivos dice este decreto, que la valoración positiva de los avances que permite la IA no evita la necesidad de que los Estados se provean de mecanismos jurídicos, que faciliten el conocimiento técnico de la IA, ensayando fórmulas garantistas para su aplicación.
También la Carta de Derechos Digitales, que responde al trabajo llevado a cabo por el Grupo Asesor de expertos, nombrado por la Secretaria de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital, e igualmente un número significativo de leyes[03].
La invocación que hace esta Carta al art. 10 CE sitúa los derechos digitales en el ámbito del reconocimiento constitucional de la dignidad y el libre desarrollo de la personalidad, como principios constitucionales de nuestro ordenamiento. Su naturaleza no alcanza el nivel normativo, pero constituye un antecedente importante para la reflexión y el alcance de una normativa futura; como la necesidad del reconocimiento a la identidad, de ser informados del tratamiento de nuestros datos y su consentimiento, o la protección por parte de la autoridad de control.
Se reconoce el derecho a la herencia digital, a la igualdad y no discriminación, al acceso digital, a internet, a la protección de las personas menores, a la neutralidad de los contenidos, el ejercicio de la libertad de expresión, a la veracidad de la información, a la participación ciudadana, a la educación digital y a un entorno empresarial y laboral que garantice los derechos fundamentales de las personas que trabajen en esas empresas. En el ámbito científico se relacionan el derecho de acceso a los datos, y los principios de transparencia, confidencialidad, y otros capaces de crear un entorno respetuoso con estos derechos.
Llama la atención sobre la doble función de la IA, que es el cambio tecnológico y su impacto en las vidas humanas, pero también una trasformación de la sociedad y la economía de modo que los logros científicos de un transhumanismo incipiente no interfieran con la ética y la dignidad constitucional de los Estados[04].
En materia de selección de personal y articulación del derecho laboral, ya desde las primeras aproximaciones al uso de la IA, se detectaron importantes afectaciones en materia de selección de personal, por los sesgos que podrían producirse en relación con los factores de clase, etnia, y fundamentalmente de la variable de sexo. Desde la doctrina laboralista se puso especialmente el acento en la relación entre la selección de los datos y la resultante en materia de selección de personal, teniendo en cuenta que algunos de estos datos podrían venir condicionados por prejuicios de género[05]. Los algoritmos pueden no advertir estas particularidades y decidir de manera arbitraria, por lo que la cautela en el proceso debe ser suficiente como para detectar estas situaciones[06].
2.1. Procedimiento.
En el primer semestre de 2024 se ha dado un importante avance en materia de IA con la aprobación del Reglamento Europeo, cuya elaboración ha sido muy laboriosa y detallada, especialmente en relación con su grado de complejidad y la dificultad de alcanzar un acuerdo, dados todos los factores implicados en su elaboración.
Con la creación primero del Libro Blanco, y el debate a que ha sido sometido desde que en 2016 se iniciaron los primeros estudios, la tramitación de estas normas ha sido compleja y ha estado sometida a diferentes versiones y aportaciones por parte de la doctrina académica y de los Estados parte, hasta llegar a la versión definitiva.
Solo recientemente se acordó, en estos primeros meses del año 2024, la norma europea que reviste mayor importancia en materia digital, que constituye este Reglamento de la Inteligencia Artificial, que pretende dar respuesta a las exigencias de la tutela y la defensa de los derechos fundamentales concernidos por el actual funcionamiento del mundo digital.
La propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de Inteligencia Artificial (Ley de Inteligencia Artificial) y se modifican determinados actos legislativos de la Unión estuvo en trámite de propuestas y reformas desde que se formuló por la Comisión Europea, hasta el 13 de marzo pasado, en que el Parlamento Europeo aprobó una última versión.
El acuerdo al que se llega por parte del Consejo y el Parlamento Europeo el 11 de diciembre de 2023, y que desbloquea la ley después de varias jornadas de negociación, permite ahora que la llamada Inteligencia Artificial pueda desarrollarse con las garantías que el Reglamento establece, y que serán de obligado acatamiento para los Estados miembros, que vendrán obligados a garantizar los derechos fundamentales en la utilización del sistema, en el respeto a un estándar europeo.
En la Exposición de Motivos se justifica la IA, por los beneficios económicos y sociales que puede proporcionar el uso de esta tecnología y, al mismo tiempo, se muestra la preocupación por sus riesgos en el orden personal, en su posible afectación a los derechos fundamentales.
Desde la publicación del Libro Blanco de la IA de 19 de febrero de 2020, por la Comisión Europea, se han venido haciendo aportaciones para la mejora legislativa, en orden a proporcionar una normativa segura. En 2017, el Consejo Europeo se pronunció acerca de las exigencias de seguridad, en la reserva del tratamiento de los datos y, en 2019, sobre los altos riesgos de su uso.
Igualmente, el Parlamento Europeo llamó la atención acerca de estos riesgos y, en octubre de 2020, aprobó distintas resoluciones acerca de la necesidad de tener en cuenta las garantías precisas en cualquier legislación al respecto.
El Reglamento parte del art. 114 del Tratado de Funcionamiento de la Unión Europea (TFUE), como fundamento de la normativa de la IA y exigencia de sometimiento a algunos principios, como el de subsidiariedad y proporcionalidad.
En el proceso de regulación del Reglamento, se llevó a cabo una consulta pública en relación con los riesgos y ventajas de la utilización de la IA, que fue seguido por instituciones europeas y estatales, y grupos y particulares que pudieron realizar aportaciones que mayoritariamente expresaron su inquietud sobre el riesgo de su uso, y la necesidad de regular controles que lo evitaran.
Igualmente, la evaluación de impacto a que se sometió fue examinada por el Comité de Control Reglamentario de la UE, que efectuó un importante número de recomendaciones para su uso.
Como instrumentos de control se señalaron algunas importantes soluciones: los códigos éticos, la exigencia de seguridad jurídica en la normativa de aplicación y el respeto a los derechos fundamentales reconocidos en la Carta Europea. Estos se concretan en la dignidad humana, intimidad, vida privada y familiar, protección de datos, no discriminación, libertad de expresión, reunión, tutela efectiva, y algunos otros de consideración colectiva.
Además, en el orden procedimental, se consideró importante regular la exigencia de participación humana en los procesos en los que interviniera la IA, de manera que algunas prácticas de la IA estén expresamente prohibidas, en función de tres grados de riesgo: el riesgo inaceptable, el riesgo alto y el riesgo bajo o mínimo. Se considera alto el riesgo para la salud, la seguridad o la violación de los derechos fundamentales de las personas físicas.
2.2. Contenido.
El Reglamento regula en su art. 1 el objeto de la norma, como la puesta en funcionamiento de la IA, la prohibición de determinadas prácticas de su uso, los requisitos en supuestos de alto riesgo, la exigencia de transparencia, y la de control y vigilancia del mercado.
El ámbito de aplicación se extiende a proveedores y usuarios que actúen en la UE o terceros países, con exclusión del ámbito militar o prestadores intermediarios.
El art. 5 regula las prácticas de la IA y sus prohibiciones. Estas últimas se refieren a las técnicas subliminales, la utilización en grupos vulnerables, o la identificación biométrica salvo cuando sea estrictamente necesaria y justificada.
El art. 6 establece las reglas de clasificación de sistemas de IA de alto riesgo, que se refieren al tratamiento de sistemas de seguridad o el producto sea de seguridad, y cuando se puedan producir daños en la salud de las personas.
En los artículos sucesivos se regulan los requisitos para la utilización de la IA de alto riesgo. En primer lugar, la creación de un sistema de gestión, que llevará el control continuado del cumplimiento de los requisitos durante el uso de esa IA, empezando por la previsión de estos riesgos con anterioridad a su uso, y la adopción de las medidas a llevar a cabo en los casos necesarios. Igualmente, en los casos de recopilación y utilización de datos, se deberán controlar su recogida, validación y prueba, de manera que no puedan utilizarse para usos no expresamente previstos.
Se mantendrá un registro de los datos utilizados, con expresión de su trazabilidad durante todo el ciclo de vida de esa IA, de su uso, y de las personas físicas que estuvieran implicadas en esas operaciones.
La vigilancia humana de las actividades tiene que estar garantizada de manera que los controles se puedan llevar a cabo con solvencia, y la precisión, solidez y ciberseguridad se deben garantizar con las medidas adecuadas y pertinentes.
En el art. 16 se regulan las obligaciones de los proveedores y usuarios de la IA, y el 18 la obligación de elaborar una documentación técnica sobre el propio sistema conforme a un anexo del Reglamento. Otros requisitos, como la evaluación de conformidad, y las medidas correctoras intentan reforzar la seguridad de que se salvaguarden los derechos de las personas afectadas.
El art. 30 exige que cada Estado miembro nombre una autoridad responsable que responda de la corrección de los procesos, los problemas que puedan surgir en la evaluación de los sistemas, y otras situaciones como los conflictos de interés o el correcto funcionamiento de las actividades.
Mas allá de las exigencias de este capítulo se presume la conformidad de los sistemas de IA con la normativa del Reglamento salvo prueba en contrario, lo que se podrá comprobar a petición de la Comisión, que estará facultada por el art. 43.6 para intervenir o comprobar todos estos extremos.
Otra obligación importante de los proveedores será la de garantizar la transparencia de los sistemas, que deberán explicitar con mayor intensidad los actos que afecten a los derechos de imagen, libertad de expresión o los derechos de terceras personas. Y en lo que se refiere al tratamiento ulterior de los datos, también se exige un control intenso de que no puedan ser puestos en riesgo de publicidad, impidiendo su transmisión a terceros, obligando a los Estados miembros a que faciliten a las empresas los medios que garanticen la confidencialidad.
En lo que se refiere a los organismos de control europeo, se constituye un Comité Europeo de Inteligencia Artificial, en el art. 56 del Reglamento, que tiene las funciones de asesoramiento y asistencia a las autoridades de supervisión, de coordinación entre las autoridades nacionales de supervisión y la Comisión, y de ayuda para una aplicación correcta del Reglamento. El Comité estará compuesto por las autoridades nacionales de supervisión, y representada por un jefe de ese grupo y el Supervisor Europeo de Protección de Datos. Se regirá por un Reglamento de funcionamiento aprobado por la mayoría simple de sus componentes, y estará presidido por la Comisión, que convocará las reuniones y elaborará el orden del día. Entre sus funciones estarán las de compartir conocimientos técnicos sobre IA, uniformar los procesos y prácticas entre los Estados, y emitir dictámenes y recomendaciones a los Estados miembros.
Igualmente, cada Estado nombrará las autoridades nacionales de supervisión, proporcionará los recursos financieros y humanos, y responderá ante la Comisión de la suficiencia de la competencia profesional de estos. Cada uno de los Estados elaborará un informe anual, que transmitirá a la Comisión, y ésta al Comité para su debate y posibles recomendaciones.
El art. 60 prevé la creación de una base de datos europea para sistemas de IA de alto riesgo, accesible al público, de cuyo funcionamiento será responsable la Comisión.
El seguimiento de la comercialización de las tecnologías de la IA se llevará a cabo mediante un plan de seguimiento (que será reforzado en los casos de alto riesgo, quedando obligados los proveedores a notificar cualquier incidente grave o fallo de funcionamiento) y la actuación de la Comisión, que elaborará orientaciones específicas que se publicarán, en un plazo no superior a doce meses, a partir de la entrada en vigor del Reglamento.
Finalmente es importante subrayar los códigos de conducta que se proponen en el Reglamento, y que se regulan en el art. 69. Se prevé que tanto la Comisión como los Estados miembros de la Unión fomenten y faciliten la elaboración de un código de conducta destinado a promover su aplicación voluntaria en los sistemas de IA, que no sean de alto riesgo, con lo que se pretende que no se llegue a un nivel contencioso, y esos códigos sean respetados por los proveedores. Se deja a los Estados miembros la determinación del régimen de sanciones, incluidas las multas administrativas, de las que solo se exige que sean efectivas, proporcionadas y disuasorias. Las multas podrán alcanzar los 30.000.000 de euros o el 6% del volumen de negocio de la empresa multada, en los casos más graves, y hasta 10.000.000 o el 2% si las faltas son más leves.
El último título del Reglamento se dedica a la modificación de la normativa anterior buscando la concordancia con este, y los anexos detallan algunos aspectos de su normativa clarificando algunos conceptos.
De este modo, el Reglamento ha puesto un especial cuidado en el detalle de los procesos llevados a cabo por medio de la IA y ha intentado recoger las exigencias que desde la doctrina se estaban ya señalando como ineludibles en una regulación[07].
2.3. Valoración.
Pese al esfuerzo, no se puede decir que el Reglamento haya conseguido un texto garante de los derechos tan necesitados de protección como los que regula.
En cuanto a los sesgos que se muestran en los datos, que pueden ser de sexo, género, raza, y que llevan a la necesidad de establecer sistemas de control sin la invasión de la privacidad de las personas cuyos datos se utilizan; la cuestión es que, el hecho de que el Reglamento exija en la implementación de la IA unos principios básicos, como el respeto por la autonomía humana, la prevención del daño, la justicia y la explicabilidad no consigue crear las garantías de su cumplimiento, porque aún cuando es verdad que el Reglamento suponga un importante avance sobre la ausencia de regulación, los instrumentos que se relacionan aquí no satisfacen la exigencia de una seguridad jurídica mínima, en relación con la tutela de los derechos a los que afecta.
Lo que se establece en el texto en tanto que constituye una mera enunciación, son principios meramente dialécticos, que no tratan específicamente condiciones ni requisitos, sino que son solo la enunciación de exigencias de cumplimiento que, en caso de producir lesiones concretas, no podrán ser reparadas a las personas afectadas.
El respeto a la autonomía consiste en no ejercer coacción sobre los sujetos, lo que tiene una imprecisión que lo invalida, igual que la justicia, que es un principio inconcreto, o la explicabilidad, cuyo estándar es igualmente impreciso, y respecto a la prevención del daño, igualmente resulta jurídicamente muy indeterminado[08].
El último requisito, sobre la necesidad de explicabilidad, es justamente la exigencia de hacer comprensible el algoritmo utilizado, pero eso es una exigencia de transparencia difícil, en cuanto exige un conocimiento científico y técnico que excede mucho de la formación media de la ciudadanía, lo que no permite su control.
Igual podríamos decir de la trazabilidad como proceso de creación de un sistema de IA, o de la necesidad de rendir cuentas después de su utilización, porque esa necesidad de explicitación no se satisface tampoco con la mera enunciación, sino que precisa de un desarrollo concreto, necesariamente determinable por un procedimiento que en el Reglamento no está regulado.
Igual consideración cabe hacer respecto de las calificaciones de alto riesgo, que tampoco aparecen explicitadas, de manera que cuando se habla de ese riesgo y se detallan algunos ejemplos, tampoco se entiende bien como se arbitraran las formas de control.
Los supuestos que se detallan como exigentes de explicación son:
- La identificación biométrica y la categorización de las personas físicas.
- La gestión y el funcionamiento de las estructuras esenciales.
- La educación y la formación profesional.
- El empleo, la gestión de los trabajadores y el acceso al autoempleo.
- El acceso y el disfrute de los servicios públicos y privados esenciales y sus beneficios.
- Los asuntos relacionados con la aplicación he la ley.
- La gestión de la emigración.
- La administración de justicia y los procesos democráticos.
Estos serían los supuestos en los que habría que explicar el uso de la IA, pero esta selección no está desarrollada ni justificada, ni se sabe si obedece a algún criterio que permita excluir algunos otros supuestos.
De todos los posibles sistemas de control social de la IA, el de la explicabilidad parece el más importante, por la exigencia de un derecho de información de la ciudadanía, y la obligación por parte de los poderes públicos de facilitarla. Es esta la objeción que debe solventarse en el futuro, si se quiere que este derecho pueda servir a la IA como sistema de control de una posible manipulación tecnológica, y así ha sido considerado por la doctrina.
De manera que el paso adelante que constituye en estos momentos la regulación europea de la IA debe progresivamente desarrollarse para superar los déficits de seguridad jurídica que presenta en su práctica, en relación sobre todo con las garantías de respeto a los derechos fundamentales relacionados con la intimidad, la igualdad de género y las posibilidades de exigir la rectificación por parte de las empresas de esas infracciones. De nada sirve afirmar que han de respetarse algunos derechos, e incluso que pueden establecerse sanciones por su incumplimiento, si finalmente las personas no tienen la posibilidad de acceder al ejercicio de acciones procesales eficaces.
De manera que la valoración positiva global, y el avance que presenta este Reglamento, debe relacionarse con la necesidad de controlar su desarrollo mediante las posibilidades del ejercicio efectivo de la posibilidad de exigir su cumplimiento.
Resumen: El repaso semestral de la normativa de la Unión, se concentra en esta ocasión en la inteligencia artificial y, específicamente, en el Reglamento que la ordena. Se atiende a su procedimiento de elaboración y contenido, aportando finalmente una valoración personal.
Palabras claves: Algoritmo, Unión Europea, Inteligencia artificial.
Abstract: The midterm review of the Union's legislation focuses on this occasion on artificial intelligence and, specifically, on the new Regulation. It pays attention to its procedure and content, finally providing a personal assessment. that regulates it. It looks at how it was drafted and its content, and finally provides a personal assessment.
Key words: Algorithm, European Union, Artificial intelligence.
Recibido: 12 abril de 2024
Aceptado: 30 abril de 2024
______________________________________
[01] F. BALAGUER CALLEJÓN, La constitución del algoritmo, Fundación Gimenez Abad, Zaragoza. 2023, pp. 57 y ss.
[02] Ibíd., pp. 196 y ss.
[03] La legislación española en materia derecho digital ha venido orientada por las directivas europeas. Desde la LO 15/1999, de 13 de diciembre de protección de datos de carácter personal que recepciona la directiva 95/46/CE, hasta su sustitución en 2018, en la que hará lo propio con la Directiva de 2016. En este caso además de la LO 3/2018 de protección datos, la LO 7/2021 sobre protección de datos derivados de procedimientos penales y la LO 10/21 sobre el trabajo a distancia.
[04] M. COECKELBERGH, Ética de la inteligencia artificial, Cátedra. Grupo Anaya, Madrid. 2021, pp. 21.
[05] María Luz Vega Ruiz pondrá de manifiesto la necesidad de que detectar los estereotipos que puedan llevar a desigualdades inconstitucionales en los derechos laborales, mediante la utilización de estos datos digitales. M. L. VEGA RUIZ, «La salud como derecho fundamental en el trabajo de la era digital», en: M. LUZ RODRÍGUEZ (Dir.), Tecnología y trabajo: el impacto de la revolución digital en los derechos laborales y la protección social, Aranzadi. 2021, pp. 62 y ss.
[06] Sobre las formas de control desde el ordenamiento comunitario y su preocupación por el control de los datos utilizados por la IA de parte de los Estados y la propia UE, véase: R. FERNÁNDEZ FERNÁNDEZ, Selección de trabajadores y algoritmos: desafíos ante las nuevas formas de reclutamiento, Aranzadi, 2022, pp. 25. Igualmente, respecto de la evaluación algorítmica, se recomienda que esta se combine con otras formas de conocimiento más directo. Ibíd., p. 53.
[07] Ortiz de Zárate señala cuatro principios éticos en la exigencia de la IA, que son la justicia, el respeto por la autonomía humana, la previsión del daño y la explicabilidad. L. ORTIZ DE ZÁRATE ALCARAZO, «Explicabilidad de la inteligencia artificial»,Eunomía. Revista en Cultura de la Legalidad, núm. 22, pp. 328-344, pp. 328 y ss.
[08] La gobernanza algorítmica, como mediación entre la ciudadanía y las administraciones, en los trámites burocráticos, mejoran la eficacia, pero plantea problemas de ética en el respeto de los derechos fundamentales. Sobre todo, de opacidad, falta de transparencia de los datos utilizados, sesgos y determinismo tecnológico, que se producen en el proceso de elaboración del diseño o en los mismos datos. Ibíd., p. 330.