Rafael García del Poyo, socio de Osborne Clarke: “El uso de procedimientos internos de IA evita los riesgos y su mal uso”

Tras una carrera exitosa en destacados despachos nacionales, el abogado Rafael García del Poyo, socio responsable del área de nuevas tecnologías de la firma británica en sus tres sedes de Madrid, Barcelona y Zaragoza, afronta el reto de asesorar 360º a las empresas que lo demanden en la implementación de la inteligencia artificial (IA) y en su Reglamento, que entró en vigor a primeros de agosto.

Esta práctica del Derecho de las Tecnologías de la Información y de la Propiedad Intelectual es una de las más destacadas de esta firma internacional, que para García del Poyo “en nuestro sector la práctica se llama TMC —Tecnología Media y Comunicaciones— que es muy transversal y nos obliga a trabajar con otros sectores de la economía, como es el mundo de la energía y sus aplicaciones. Hay que conocer muy bien tanto la tecnología emergente como su propia regulación jurídica. De apoyo contamos con nuestra red internacional, donde compañeros alemanes o británicos pueden aportarnos más en cuanto al apoyo tecnológico”.

Para este jurista que ha vivido en primera persona los avances en tecnología y normativa exigente como el Reglamento General de la Protección de Datos (RGPD) europeo, las sentencias sobre derecho al olvido del Tribunal de Justicia de la Unión Europea (TJUE) o las directivas NIS 1 y NIS 2, y que ya prepara a las empresas para asimilar Dora, reglamento para impulsar la resiliencia de las entidades financieras en materia de ciberseguridad, “estamos ante un cambio tecnológico de primer orden con la IA, porque imita bien la forma de creación del ser humano y su uso da lugar al replanteamiento de muchos conceptos jurídicos”.

Jurista de primer nivel y docente, este experto cree que las empresas deben crear protocolos internos para el uso de la IA. (Imagen Osborne Clarke)

A su juicio, “hablamos de IA de forma laxa. Hay diferentes tipos de IA, lo que ha ocurrido en los últimos años ha sido que se ha producido la ‘tormenta perfecta’. Desde 1956 ya se hablaba de ello. Hay una conferencia famosa que es la de la Universidad de Dartmouth, con sede en Hanover, Nuevo Hampshire, Estados Unidos, donde se habló ya de la habilidad de los ordenadores para pensar y escribir como los seres humanos”.

Respecto a este asunto, nuestro interlocutor recuerda que “estamos en una sociedad de la información que necesita básicamente tres elementos: capacidad de almacenamiento, capacidad de procesamiento y capacidad de comunicar esa información. La primera se ha ido ganando con la evolución tecnológica, la información estaba ahí y se ha ido incrementando a lo largo de los años, lo cual ha servido para entrenar algoritmos. De repente, una compañía como Open AI populariza su tecnología y en poco más de dos años todos estamos trabajando con lo que ahora denominamos IA generativa”.

Desde su punto de vista, “este escenario ha dado lugar al replanteamiento de muchos conceptos en materia jurídica, por ejemplo, el propio derecho de la competencia, el derecho relacionado con la protección de datos de carácter personal, o el derecho a la intimidad. La IA plantea un nuevo revulsivo en materia de propiedad intelectual y, clarísimamente, también en materia de responsabilidad civil y de producto, de esos productos y servicios que se prestan basándonos en IA. Son estas las áreas que se verán mas afectadas y van a surgir nuevos cambios en la normativa tanto de la Unión Europea (UE) como de los Estados miembros”.

El impacto de la IA y su asimilación ha hecho que despachos como Osborne Clarke, con una tradición de casi trescientos años como firma, haya ido adoptando esta tecnología de manera progresiva: “Siempre es complejo cambiar la mentalidad de los profesionales. Se trata de una tecnología que empiezas a utilizar en tu casa, pero que al final la quieres utilizar también en tu puesto de trabajo. Sobre todo, el cambio, lógicamente, está siendo más laborioso para aquellos profesionales con cierta resistencia a lo tecnológico”.

Cuenta atrás para la IA no permitida

Sin embargo, Rafael García del Poyo aclara que “en Osborne Clarke hemos realizado un planteamiento de vanguardia en materia de la IA. Siempre hemos deseado estar en la cresta de la ola. Eso ha hecho que desde nuestra empresa de soluciones tecnológicas OC Solutions hayamos desarrollado nuestra propia herramienta tecnológica denominada OC GPT, aunque también tenemos herramientas de uso común y seguimos trabajando con los modelos desarrollados por empresas tecnológicas y de diversos buscadores para distintas funcionalidades”.

«OC GPT permite a los equipos de abogados hacer sus preguntas en formato de chat o voz utilizando lenguaje natural y recibir respuestas en tiempo real. De esta manera, la herramienta entiende mejor a sus usuarios a medida que pasa el tiempo. La eficiencia de la herramienta ahorra tiempo y recursos importantes. Al mismo tiempo, el acceso a la información es más fácil, lo que proporciona a los equipos de abogados más tiempo para tratar cuestiones más complejas. Todo ello se ha potenciado mediante la puesta en marcha de programas formativos internos del uso adecuado del prompting, que nos permite hacerla más accesible”, señala.

En la actualidad, los abogados expertos en TMC de Osborne Clarke han señalado con rojo la fecha del 2 de febrero del 2025 en la que algunas categorías del Reglamento de IA estarán prohibidas. El incumplimiento de la retirada de estos sistemas de IA en la UE podría implicar que, desde dicha fecha, las autoridades nacionales de los países de la UE puedan imponer multas de hasta 35 millones de euros o el 7% de la facturación global (lo que sea mayor), según lo establecido en el artículo 99.3 de la recién aprobada Ley de IA.

Rafael García del Poyo, socio director del departamento de derecho de IT/IP en Osborne Clarke España, aclara que «dados los plazos establecidos en el Reglamento europeo de IA, resulta esencial que las empresas pongan en marcha de forma inmediata procesos dirigidos a analizar cualquier herramienta de IA que pueda entrar en conflicto con las disposiciones aplicables del Reglamento”.

El pasado mes de agosto el Parlamento Europeo aprobó el Reglamento de IA tras duros meses de negociaciones. (Imagen: UE)

A su juicio, “resulta esencial que las empresas no sólo eliminen dentro de los plazos previstos las herramientas de IA consideradas prohibidas, sino que también implementen procedimientos internos destinados a abordar la gestión de los riesgos derivados del uso de cualquier tipo de herramientas de IA y a dotarlas de la transparencia necesaria para cumplir con estas nuevas obligaciones legales”.

En su opinión, “el Reglamento de IA no sólo redefine el marco general de cumplimiento normativo, sino que también viene a establecer un nuevo régimen de responsabilidad sobre la utilización del software y los productos tecnológicos por parte de las empresas y organizaciones».

Prohibiciones según el artículo 5 de la Ley de IA

García del Poyo relata que “las aplicaciones de IA prohibidas incluyen aquellas que supongan riesgos inaceptables para la salud, la seguridad o los derechos fundamentales. Con esos procedimientos internos que recomendamos a las empresas que los implementen se pueden reducir los riesgos inherentes al uso de estas herramientas de IA”.

En ese artículo 5 del Reglamento de IA se definen esas aplicaciones prohibidas que citamos a continuación:

• Sistemas de IA que utilicen técnicas subliminales, manipuladoras o engañosas para distorsionar significativamente el comportamiento de las personas, causando daño grave.
• Sistemas que exploten vulnerabilidades relacionadas con la edad, la discapacidad o circunstancias socioeconómicas para influir en el comportamiento y causar daño significativo.
• Puntuaciones sociales basadas en características personales que resulten en un trato discriminatorio.
• Creación de bases de datos de reconocimiento facial mediante web scraping no autorizado o uso de imágenes de CCTV.
• Sistemas de inferencia emocional en entornos laborales o educativos, salvo por motivos médicos o de seguridad.
• Categorización biométrica que utilice datos sensibles, como raza, religión u orientación sexual, salvo excepciones para la aplicación de la ley.
• Sistemas de IA utilizados para predecir delitos basándose únicamente en perfiles o características de personalidad.
• Reconocimiento facial remoto en tiempo real en espacios públicos, con excepciones limitadas.

Rafael García del Poyo y Carmen Artigas, en el Congreso de los Diputados hablando de IA y de transformación digital. (Imagen: Congreso Diputados)

Desde su punto de vista, “lo más importante es que tengamos claro para qué utilizamos esas herramientas de IA, si utilizamos alguna para manipular el comportamiento de las personas ahí tenemos un problema, o si la aplicación es para el reconocimiento facial en espacios públicos ya sabemos que está prohibido y que debemos buscar medidas menos invasivas que esta, según nos dice el RGPD y otra normativa española de protección de datos”.

La triple perspectiva de la IA

García del Poyo siempre habla de la triple perspectiva: “ Hay una perspectiva organizativa, la propia organización quiere conseguir algo, otra perspectiva tecnológica en la que esa tecnología impulsa algo y una tercera perspectiva desde la cual se trata de ver jurídicamente que aquello que la organización y la tecnología quieren poner en marcha es lícito, de acuerdo con el derecho aplicable en un determinado lugar. No es lo mismo implantar una determinada tecnología en una organización radicada en China que en una compañía establecida en una ciudad como Madrid”.

Sobre la biometría, recuerda este jurista que “es muy invasiva, por tanto, hay que limitar mucho su uso. El propio articulo 5 habla de la biometría en varios usos. Biometría e IA son dos conceptos que generan funcionalidades y aplicaciones complejas. En este contexto, hay que tener en cuenta que el Reglamento Europeo eIDAS2 se ha visto complementado la semana pasada por cinco reglamentos de ejecución desarrollados por la Comisión Europea y que pretenden empoderar al ciudadano sobre el uso de sus datos identificativos en el entorno digital”.

A su juicio, «la puesta en marcha de forma progresiva del Reglamento de IA es positivo, ya que permite a los ciudadanos y a las empresas que se adapten de manera paulatina al nuevo entorno. En el caso de las empresas, se trata de todas aquellas que —estando o no en la UE— tengan negocios en el continente europeo y quieran cumplir con esta normativa que, como estamos viendo, es compleja. En este escenario, si hay dudas de si una herramienta de IA puede ser lesiva para los derechos de terceros resulta muy recomendable realizar una evaluación de impacto previo a su uso».

El mensaje que lanza este experto en derecho tecnológico ante la llegada de la IA es claro: “Sin prisa, pero sin pausa; y sin alarmismo, pero sin miedo hay que abordar la gestión de los riesgos que se pueda derivar del uso de estas herramientas. Hay que dotarlas de un grado adecuado de transparencia para que sepamos si realmente el algoritmo toma decisiones ‘por su cuenta’. En particular si, por ejemplo, las emplean las administraciones públicas para gestionar la concesión de contratos públicos, los ciudadanos tenemos derecho a conocer la tecnología y los criterios sobre los que se basa esa decisión”.

Junto a ello, señala que también “está el tema de la responsabilidad de los productos y servicios que hay que valorar de forma adecuada en el caso de que puedan generar un daño a terceros. Esto va a suponer que se genere un nuevo régimen de responsabilidad por la utilización del software en esas herramientas de IA por parte de las empresas y organizaciones”.

Finalmente, concluye recordando que «acaba de aprobarse una directiva para actualizar el derecho de la UE sobre productos defectuosos a la era digital, y otra que abordará esa responsabilidad de producto en materia de IA. Es un paso enorme que habrá que estudiar a fondo sobre quién se responsabiliza de los daños causados por nuestros productos o servicios cuando en su diseño o utilización intervenga la IA».