El RGPD, por supuesto, pero también los derechos de autor, el derecho de la competencia, el derecho laboral... Las soluciones de IA no escapan a la normativa vigente. Lo cierto es que, a pesar de sus evidentes particularidades, todavía no están sujetas a ninguna ley específica. Es a lo que la Unión Europea quiere poner fin con su Ley de IA, cuya publicación se ha retrasado un poco. Francia intentó frenar la adopción del texto, pero Alemania finalmente votó a favor, seguida por Italia. Así pues, el reglamento fue finalmente aprobado el viernes 2 de febrero, antes de ser devuelto al Parlamento Europeo.

La ley sobre inteligencia artificial pretende definir los sistemas de inteligencia artificial (IA), sus niveles de riesgo en función de sus usos, pero también el grado de responsabilidad de todos los diferentes actores de la cadena. Para ello, clasifica a las organizaciones en siete categorías en función de su papel en la cadena y les asigna las responsabilidades adecuadas: proveedor, importador, distribuidor, implementador (es decir, la empresa usuaria), operador, fabricante y persona afectada. "La ambición de la ley sobre IA es centrarse en toda la cadena, aunque los proveedores, distribuidores e implementadores estén especialmente en el punto de mira", explica Nadège Martin, socia del bufete de abogados de negocios Norton Rose Fulbright, un bufete que recientemente organizó una mañana dedicada al tema.

El proveedor es quien diseña o desarrolla el servicio de IA, lo pone en servicio bajo su propio nombre y lo comercializa. El implementador, o la organización usuaria, adquiere el sistema de IA para utilizarlo, ponerlo a disposición de sus empleados o clientes, en el marco de sus usos. Pero cuidado, la pertenencia a una categoría no es inmutable. "En el marco de sus proyectos, las empresas deben asegurarse constantemente de que su calificación no cambia", insiste Nadège Martin, "y de que no se vean conducidas, de implementador, a convertirse en proveedor". Y, por tanto, a cambiar su nivel de responsabilidad. Esto puede ocurrir si la empresa "fija su nombre o marca a un SIAHR (sistema de IA de alto riesgo) ya en el mercado o si realiza una modificación sustancial" en él, precisa la firma Norton Rose Fullbright.

Definición de sistemas de IA y motores de IA

"La ley de IA adopta un enfoque proporcional basado en el riesgo, mediante el cual define las obligaciones en relación con el nivel de riesgo generado por la IA", añade Nadège Martin. De este modo, aplica cuatro niveles de riesgo habituales: riesgo mínimo o nulo, riesgo limitado, riesgo elevado y riesgo inaceptable, todos ellos vinculados a los casos de uso. Pero añade un quinto riesgo transversal vinculado al uso general de la IA. "Los elementos reglamentarios presentados en noviembre definen las obligaciones para los modelos de base y, de manera más amplia, la IA generativa. A partir de ahora, hablamos de manera más general de un sistema de IA de propósito general (AIS)". Este último responde a una diversidad de propósitos para el uso directo o la integración en otros AIS. Esta es la solución final, con su interfaz de usuario y sus API, por ejemplo, pero se basa en un "modelo de IA de propósito general" también definido en la ley de IA, como el núcleo real del sistema, que "demuestra una gran generalidad" y es capaz de realizar una amplia gama de tareas distintas. El término "amplio" aquí es un eufemismo, ya que estaríamos hablando de al menos mil millones de tareas.

Las obligaciones son numerosas. Todos los proveedores de modelos de IA de uso general deberán, por ejemplo, “preparar y mantener documentación técnica sobre el modelo, el proceso de entrenamiento y prueba, los resultados de su evaluación y el consumo de energía” y transmitirla a los proveedores de soluciones que lo operarán. Los implementadores de IA de uso general deberán informar a los usuarios finales sobre el uso de una IA o la presencia de contenido generado por IA. También deberán indicar si el modelo fue entrenado con datos protegidos por derechos de autor. Entre las obligaciones adicionales que se aplican esta vez a los proveedores de AIS de alto riesgo, encontramos el establecimiento de un sistema de gestión de riesgos y calidad a lo largo de todo el ciclo de desarrollo o el seguimiento posterior a la comercialización, con la conservación de registros, por ejemplo.

Sanciones de 7,5 a 35 millones de euros

Del lado de los usuarios de estas SIAHR, el reglamento exige, entre otras cosas, una supervisión humana y un análisis del impacto sobre los derechos fundamentales de las personas en determinados casos. Y como señala Nadège Martin, el riesgo no se evalúa únicamente sobre la base de los módulos de la solución que utiliza la organización, sino sobre "toda la gama de posibilidades" de esta última. Al igual que ocurre con el RGPD, el análisis que determinará si la SIA es una SIAHR tras tener en cuenta el abanico de posibilidades se realizará caso por caso. Las sanciones por incumplimiento del reglamento en lo que respecta a las prácticas de IA prohibidas ascienden a 35 millones de euros o el 7% de la facturación anual mundial o a 15 millones de euros y el 3% de la facturación mundial por incumplimiento de los requisitos de datos, gobernanza y transparencia de las SIAHR. Proporcionar información incorrecta o no proporcionarla supone una sanción de 7,5 millones de euros o el 1% de la facturación mundial.

Tras su votación, la ley de IA se aplicará por etapas, a partir de los 20 días siguientes a la publicación del decreto, probablemente entre el otoño de 2024 y la primavera de 2027, empezando por las SIA que presenten el mayor riesgo. Así, a partir de los 6 meses siguientes a la entrada en vigor del decreto, se prohibirán determinadas prácticas con un riesgo “inaceptable”. Entre ellas se encuentran, por ejemplo, las técnicas subliminales de manipulación, la categorización de personas sobre una base biométrica o la puntuación basada en el comportamiento social. Las obligaciones relativas a los sistemas de alto riesgo de los anexos III (seguridad de productos como ascensores, aviones, vehículos, dispositivos médicos, juguetes, etc.) y II (casos de uso específicos en biometría, gestión de infraestructuras públicas críticas, etc.) entrarán en vigor 24 y 36 meses después de la publicación del texto, respectivamente. “Se trata de elementos que resultan especialmente difíciles de apropiar para las empresas usuarias”, considera Nadège Martin. “La evaluación es más bien responsabilidad de los proveedores”. » Estos autocalificarán sus soluciones en una base de datos que podrá ser consultada por las organizaciones que quieran implementarlas.

¿Demasiado complejo, demasiado disperso en el tiempo?

Uno podría verse tentado a preguntarse si la IA generativa no será esencial para comprender, analizar y, sobre todo, aplicar los principios de la Ley de IA. En opinión de muchos abogados especializados, nos encaminamos hacia una reglamentación tan compleja de entender y cumplir como el RGPD. O incluso peor... Porque exige que las empresas y sus equipos, desde el jurídico hasta el CFO, pasando por RRHH, comprendan los mecanismos de IA aplicados en el contexto de su función. "Si una empresa utiliza un sistema de información de recursos humanos basado en IA para dar una puntuación a los candidatos", subraya Nadège Martin, por ejemplo, "debe ser capaz de explicar a un candidato qué mecanismo le ha llevado a tener una puntuación inferior a la de otro candidato, por ejemplo". Aunque la Comisión Europea promete una guía y una herramienta basadas en el modelo del estudio de impacto de la CNIL, el reto al que se enfrenta una tecnología tan compleja y cambiante parece especialmente importante.

Además, si la ley sigue persiguiendo a la tecnología, ya parece preocupante que la aplicación de la ley de IA -que aún no se ha publicado- tarde más de 3 años. Los impactos del uso de la IA generativa ya son numerosos, y su progreso y el de sus usuarios plantean nuevos interrogantes, en particular cuando esta tecnología se combina con otras IA como la visión artificial o el procesamiento del lenguaje natural. Las violaciones de los derechos de autor o de la privacidad parecen difíciles de detener, en un momento en que incluso el público en general se entrega a los placeres de la IA. Los deepfakes están floreciendo. Ya es posible, por ejemplo, sincronizar la traducción de un discurso en el vídeo de la persona que lo pronunció en su idioma original, por ejemplo.

Por último, ¿cómo se puede atribuir la responsabilidad de un riesgo a un proveedor o usuario de IA cuando no se conocen los mecanismos de la IA? Aunque la ley de IA prevé imponer la documentación, algunas empresas cuya actividad está directamente relacionada con la tecnología, como las empresas de derechos de autor (Sacem en Francia, Gema en Alemania), se están interesando mucho en el tema. Y a diferencia de la futura normativa europea, se centran en la búsqueda de soluciones tecnológicas para descifrar los mecanismos de la IA generativa. De este modo, se permitiría al menos determinar en qué medida se ha utilizado una IA en la creación de una obra y a partir de qué obras potencialmente protegidas se ha generado, y así saber quién es el titular de los derechos.