El Reglamento sobre Inteligencia Artificial de la UE mejora la protección de los consumidores

El Parlamento Europeo ha aprobado su posición sobre el Reglamento de Inteligencia Artificial que prepara la Unión Europea con 499 votos a favor, 28 en contra y 93 abstenciones. Con esta norma se pretende reforzar la protección de los consumidores. El texto es el primer conjunto de reglas en el mundo sobre sistemas de IA. Una vez pasado este trámite, pueden comenzar las negociaciones entre el Parlamento y los gobiernos nacionales.

El Parlamento Europeo votaba cuestiones como la prohibición del uso de identificación biométrica en tiempo real en espacios de acceso público o el reconocimiento facial por parte de autoridades públicas y entidades privadas en espacios de acceso público.

Al mismo tiempo, se ratificaba prohibir la calificación social por parte de entidades privadas, que es cuando un sistema de IA evalúa a un individuo en función de su comportamiento social o sus preferencias. Es una práctica demasiado invasiva y arbitraria para ser utilizada en las personas consumidoras, argumentan.

Otras cuestiones que se prohibirán son los sistemas de categorización biométrica que utilizan características sensibles, como por ejemplo género, raza, etnia, estado de ciudadanía, religión, orientación política) y lo sistemas policiales predictivos (basados en perfiles, ubicación o comportamiento delictivo pasado).

Entre los derechos que se reconocen a los consumidores están poder solicitar una reparación colectiva cuando un sistema de IA haya causado daños a un grupo de personas, el derecho a ser informados cuando se está sujeto a una decisión de un sistema de IA de alto riesgo, a presentar una reclamación ante una autoridad sobre un sistema de IA y el derecho a llevar ante los tribunales a una autoridad de control si falla a la hora de tomar acción.

Y al mismo tiempo, se somete la IA generativa, como ChatGPT, a reglas específicas, como la obligación de los desarrolladores de IA de identificar, reducir y mitigar los riesgos para la salud, la seguridad y los derechos fundamentales antes de colocar un sistema en el mercado.

Se v a prohibir el reconocimiento facial por parte de autoridades públicas y entidades privadas en espacios de acceso público. (Foto: E&J)

España puede posicionarse en la IA

Francisco Pérez Bes, socio de Derecho Digital en Ecix Tech, cree que este nuevo Reglamento llega en un buen momento para España, que lleva tiempo preparándose para posicionarse en Europa como referencia en este aspecto, tanto por la Estrategia Nacional de Inteligencia Artificial, como con la creación de la autoridad especializada y la próxima normativa sobre entorno de pruebas o sandboxing.

Sin embargo, con respecto a la Agencia Española de Supervisión de la Inteligencia Artificial, algunos expertos alertan de la eventual complejidad que pueda tener la convivencia con la Agencia Española de Protección de Datos, con la que puede tener fricciones a la hora de regular el uso de datos por parte de la inteligencia artificial.

Sin perjuicio de lo que vaya a ocurrir en España en los próximos meses, el Reglamento europeo es una apuesta clara por la defensa de los derechos y libertades de los ciudadanos europeos, buscando un difícil equilibrio con el fomento de la innovación de las empresas europeas.

Este experto considera que el espíritu de la nueva norma mantiene la tendencia del resto de regulación europea, en el sentido de basar la responsabilidad en una aproximación al riesgo y en la diligencia del usuario.

Sin embargo, el alto componente tecnológico de la IA lleva a abordar esta cuestión desde la óptica del riesgo que las funcionalidades de cada tecnología pueden tener para los derechos fundamentales de las personas, estableciendo límites claros en cuanto al uso de Inteligencia Artificial con fines que puedan afectar de manera grave a las libertades y derechos de los consumidores.

Reto normativo importante

No obstante, para este experto, el rápido desarrollo de esta tecnología, unido a su alto nivel de disrupción, supone un reto para la norma, en tanto en cuanto es previsible que en los próximos meses salgan al mercado nuevas tipologías que puedan no encajar bien en la regulación prevista por el Reglamento, tal y como ha demostrado, por ejemplo, la irrupción de ChatGPT y los modelos de generación de contenidos (LLM por sus siglas en inglés).

A juicio de Francisco Pérez, hay que tener en cuenta el largo periodo de vacatio legis, que va a plantear grandes necesidades para las empresas a la hora de conocer el impacto de la tecnología en las compañías españolas, de poder identificar qué usos se están llevando a cabo en los proyectos empresariales, de qué manera se van a poder controlar los usos y cumplimientos por parte de los proveedores o, incluso, cuál va a ser el nivel de responsabilidad de los administradores de las empresas, y de las propias empresas, una vez comiencen a implementar inteligencia artificial en sus procesos.

Francisco Pérez Bes, socio de Derecho Digital en Ecix Tech (Foto: E&J)

Perez Bes también destaca las obligaciones de ciberseguridad que el nuevo Reglamento trae consigo, que deberán añadirse al resto de obligaciones de implementar medidas técnicas y organizativas adecuadas y eficaces que ya resultan de aplicación a muchas empresas a través de la regulación DORA, NIS2, ENS, RGPD, etc.

Con respecto a este extremo, señala este profesional, antiguo secretario general del Instituto Nacional de Ciberseguridad de España, que el legislador europeo es consciente del peligro que tienen los ciberataques que puedan dirigirse contra los datos (datasets) que los algoritmos utilicen (inputs) para tomar las decisiones que ofrezcan a sus usuarios (outputs), de manera que al contaminar la fuente de la que beben los algoritmos, los resultados que ofrezca esa inteligencia artificial puedan ser erróneos, inexactos, incompletos y, por lo tanto, no confiables.

Finalmente, concluye este experto, desde la perspectiva de la protección de los consumidores, que el uso de inteligencia artificial en el ámbito del consumo y de la competencia desleal va a plantear nuevos retos regulatorios a la hora de poder aplicar la actual normativa de las prácticas comerciales desleales, en particular en lo que se refiere al uso de chatbots de atención al cliente, de perfilado de los clientes a la hora de decidir las condiciones de contratación, de automatización en la toma de decisiones y, derivado de todo ello, los problemas de publicidad engañosa, las reseñas falsas utilizando IA, los fraudes y, en general, cualquier modo de discriminación o impedimento para el ejercicio de los derechos del consumidor.

Proteger mejor al consumidor

Desde la Federación de Consumidores y Usuarios CECU se valora positivamente la postura adoptada por el Parlamento Europeo sobre el Reglamento de Inteligencia Artificial (IA). Las reglas refuerzan la protección de las personas consumidoras y buscarían garantizar que la IA desarrollada y utilizada en Europa esté en línea con los derechos y valores de la UE, incluyendo la supervisión humana, la seguridad, la privacidad, la transparencia, la no discriminación y el bienestar social y ambiental.

Anabel Arias, experta en derechos digitales de CECU. (Foto: CECU)

Desde CECU resaltan que, a medida que la IA llegue a más áreas de nuestras vidas, las personas consumidoras deben estar protegidas del daño que pueda causar. Las prohibiciones propuestas por el Parlamento sobre el uso del reconocimiento facial en espacios de acceso público, o sobre la calificación social por parte de las empresas, son, a su juicio, “fundamentales para proteger los derechos humanos”. Asimismo, “el reconocimiento de derechos en favor de las personas, como el derecho a ser informado cuando se está sujeto a una decisión de un sistema de IA de alto riesgo, es verdaderamente importante”.

Sin embargo, hay cuestiones que desde CECU consideran negativas. Entienden que “el Parlamento ha debilitado la clasificación de sistemas de alto riesgo al dar a los desarrolladores demasiada discreción para decidir si su sistema se considera de alto riesgo o no y, de esa manera, evitar cumplir con las obligaciones específicas que se prevén para este tipo de sistemas”.

Además, entienden que “los principios de transparencia y equidad, que se vienen pidiendo desde la sociedad civil como aplicables a toda IA sin importar el nivel de riesgo, son sólo voluntarios, lo que limitará su utilidad”.

En última instancia, destacan que “no se prohíbe el reconocimiento de emociones cuando se usa en las personas consumidoras, lo que puede conducir a graves intrusiones en la privacidad y afectar la capacidad de tomar decisiones autónomas.

Anabel Arias, experta en derechos digitales de CECU, sostiene que “el Parlamento Europeo ha impulsado mayores protecciones para las personas consumidoras frente a los sistemas de IA. Esto es importante si se tiene en cuenta que casi no existen protecciones para el consumidor en el borrador de Reglamento propuesto por la Comisión hace dos años y en la postura de los estados miembros de la UE de diciembre del año pasado”.

“Sin embargo, lamentamos que el Parlamento haya mantenido la decisión de otorgar mucha discrecionalidad a las empresas para decidir si su sistema de IA se considera de alto riesgo o no y así escapar de las principales obligaciones del Reglamento”.

En su opinión, “ahora necesitamos que el Parlamento se mantenga firme y pedimos al Gobierno de España que, en su presidencia del Consejo de la UE, se proponga conseguir el texto que mejor proteja los derechos fundamentales de las personas”.