Consejos prácticos para adaptar los sistemas de IA al Reglamento Europeo

Cualquier compañía que se proponga adaptarse al nuevo Reglamento Europeo en materia de IA debería plantearse, en primer lugar, si su sistema incorpora o hace uso realmente de esta tecnología: ¿Demasiado obvio tal vez? Desafortunadamente, no. La realidad es que son hoy muchas las empresas desarrolladoras o comercializadoras de software que han incorporado el concepto de IA a su discurso comercial, a veces hasta asumiéndolo como una realidad cuando, técnicamente, es posible que no estén utilizando esta tecnología.

En este sentido, el reglamento establece una definición clara de lo que es un sistema de IA: “aquel que opera con elementos de autonomía y que, basándose en datos y entradas obtenidos de humanos o máquinas, infiere como alcanzar unos objetivos propuestos, usando para ello técnicas basadas en el aprendizaje-máquina o en lógica y conocimiento, y genera como salida contenidos, predicciones, recomendaciones o decisiones que influyen en el entorno con el que el sistema interactúa”.

Lo más importante de esa definición reside precisamente en si el sistema de IA arroja unos resultados que afectan a la toma de decisiones o que influya en el entorno. Y si es así, deberemos dar los siguientes pasos:

1. Analizar el encuadre de nuestro sistema dentro del reglamento

La norma establece una serie de categorías de riesgo con unos requisitos específicos que son acumulativos, es decir, que los sistemas de IA más exigidos deben cumplir los requisitos de los menos:

• Sistemas de IA prohibidos.
• Sistemas de alto riesgo.
• Sistemas de uso general con riesgo sistémico.
• Sistemas de uso general.

2. Adaptarnos a los requerimientos y contemplar las excepciones

Sistemas de IA prohibidos

Entre los sistemas de IA prohibidos podemos citar, entre otros, aquellos que utilicen técnicas subliminales o engañosas para alterar de manera sustancial el comportamiento de una persona. O por ejemplo, un sistema con el potencial de distorsionar notablemente el comportamiento económico del consumidor. También aquellos destinados a alimentar bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales de internet o de circuitos cerrados de televisión.

(Foto: E&J)

No obstante, hay algunas excepciones que merece la pena analizar con un estudio a fondo del reglamento. Por ejemplo, y aunque existe la prohibición de establecer un sistema de IA de identificación biométrica remota ‘en tiempo real’ en espacios de acceso público, se consideran excepciones ciertas situaciones. Por ejemplo, aquellas en las que se esté realizando una búsqueda selectiva de posibles víctimas concretas de un determinado delito (secuestro, trata de seres humanos o explotación sexual de seres humanos), incluidas personas desaparecidas.

Sistemas de IA de alto riesgo

Estos sistemas, que deben cumplir con una serie de exigentes requisitos, se desarrollan en dos anexos del reglamento. En el primero, establece que se encuadran aquí los sistemas diseñados para utilizarse como componente de seguridad en productos que están especificados en la legislación de la UE. En esta categoría entran los productos sanitarios, vehículos de motor o seguridad de los juguetes, entre otros. El segundo anexo identifica los sectores afectados, como la Biometría, las infraestructuras críticas, la educación y formación profesional, la migración, administración de justicia, etc. Un sector particularmente afectado es el de la contratación y evaluación de empleados.

Una vez más, debemos tener en cuenta las excepciones. Se establece, por ejemplo, que los sistemas podrán no considerarse de alto riesgo si la influencia del sistema de IA en la toma de decisiones no es sustancial y se cumple alguna o varias de las siguientes condiciones:

• Lleva a cabo una tarea de procedimiento limitada y mejora actividades humanas previas.
• Detecta patrones de decisión o desviación sin reemplazar la evaluación humana.
• O lleva a cabo tareas preparatorias.

Teniendo en cuenta esto, si nos encontráramos ante un sistema de IA para la contratación de personal que sirve exclusivamente como ayuda en la toma de decisiones (pero que no reemplaza al contratante a la hora de tomarlas), quizás nos encontraríamos ante un supuesto excepcionado.

Otro de los requisitos que tienen estos sistemas y que es aplicable a los sistemas de Uso General es el de la transparencia. Así, el reglamento establece que aquellos que estén destinados a interactuar con personas físicas, informen a las personas afectadas de estar interactuando con un sistema de IA. Además, los que generen contenidos sintéticos de audio, imagen, vídeo o texto, garantizarán que los resultados estén marcados en un formato legible por máquina y detectable como generado o manipulado artificialmente.

Se trata de medidas que pueden suponer un cambio significativo en muchas herramientas muy utilizadas en el día a día para la generación de textos, presentaciones, resúmenes e imágenes.

Sistemas de uso general (con o sin riesgo sistémico)

En cuanto a los sistemas de uso general con riesgo sistémico, nos encontramos con una calificación bastante abierta a interpretaciones. A diferencia de los sistemas de alto riesgo, se considera que hay riesgo sistémico cuando el sistema de IA tenga una gran capacidad de impacto, evaluada sobre la base de herramientas técnicas y metodologías adecuadas (incluidos indicadores y puntos de referencia). Esta capacidad de impacto se evaluará en función de criterios como el número de parámetros, el conjunto de datos, la cantidad de datos para entrenar al modelo, el impacto en el mercado o el número de usuarios registrados.

Los requisitos en esta categoría son menos exigentes, pero no por ellos menos complejos de cumplir. Entre otros, estos sistemas deben notificarse a la Comisión, que los registrará y realizará una evaluación de riesgos, y deben garantizar la ciberseguridad y el mantenimiento de un registro documental, entre otras cuestiones.

Carme Artigas, secretaria de Estado de Digitalización e Inteligencia Artificial, en la rueda de prensa en el Parlamento Europeo tras el acuerdo sobre la «AI Act». (Foto: Parlamento Europeo)

Para aquellos sistemas de uso general que puedan estar en el límite, se podrá presentar, junto con la notificación a la Comisión, argumentos fundamentados para demostrar que, excepcionalmente, el modelo de IA de propósito general no presenta riesgos sistémicos debido a sus características específicas.

Por último, aquellos sistemas considerados de Uso General, no dejarán de cumplir también con requisitos específicos, como son el de transparencia y respecto a la información.

Además, y esto aplica a cualquier sistema de IA, todos los sistemas deberán establecer una política para cumplir la legislación de la Unión en materia de derechos de autor y derechos afines y, en particular, para identificar y cumplir, incluso mediante tecnologías de vanguardia, una reserva de derechos expresada. Asimismo, se deberá elaborar y poner a disposición del público un resumen suficientemente detallado sobre el contenido utilizado para el entrenamiento del modelo de IA.

Por tanto, el Reglamento de IA viene a establecer una serie compleja de requisitos evolutivos que todas las empresas que emplean esta tecnología deben conocer en profundidad. Todo ello para proteger a los consumidores o personas físicas que puedan verse afectadas, pero también para evitar la comisión de infracciones derivadas del uso no consentido de los derechos de autor, quizá uno de los caballos de batalla más complejos del nuevo escenario.