Cecilia Danesi es una abogada argentina especializada en tecnología; analizó el impacto que la nueva reglamentación de implementación de inteligencia artificial afectará a las compañías que estén fuera de la Unión Europea
- 8 minutos de lectura'
El 13 de marzo, el Parlamento Europeo ratificó la primera ley de inteligencia artificial (IA) del mundo. Así, una vez más, la Unión Europea (UE) es pionera (lo fue en su momento con el GDPR, el Reglamento General de Protección de Datos). Se trata de una regulación en la que se viene trabajando y discutiendo desde hace 4 años.
Si bien faltan algunos pequeños pasos legales, es un hecho. La ley entrará en vigencia en 2026 y a través de un reglamento, que será obligatorio para todos los estados miembros de la UE, clasifica a la IA en 4 niveles: sistemas prohibidos, sistemas de alto riesgo, sistemas de riesgo limitado y sistemas de riesgo neutro.
La entrada en vigor será por fases, comenzando por los sistemas prohibidos. ¿A qué se refiere? Algunos ejemplos (con excepciones): sistemas de identificación biométrica remota “en tiempo real” en espacios de acceso público con fines de aplicación de la ley; o sistemas que predicen la probabilidad de que una persona física cometa una infracción penal basándose únicamente en la elaboración del perfil de una persona física o en la evaluación de los rasgos y características de su personalidad.
Si bien la ley prohíbe la vigilancia masiva en espacios públicos, permite a las fuerzas de seguridad (con autorización judicial) usar cámaras con sistemas biométricos para prevenir, por ejemplo, amenazas terroristas. La implementación entonces comenzará con esta etapa más dura.
Pero esto es tan solo una parte de un reglamento extenso que las compañías, entre otros jugadores, deberán comprender y aplicar. En este sentido, son muchas las empresas que exportan sistemas de inteligencia artificial para que sean usadas en Europa. ¿Qué cambiará? ¿Cómo deberán trabajar en los próximos años estas empresas extranjeras para evitar multas millonarias en Europa?
Cecilia Danesi, autora de El imperio de los algoritmos” e investigadora de IA, responde a estas y otras preguntas desde Estrasburgo (Francia). Allí, el Parlamento Europeo ratificó la ley. LA NACION conversó con esta abogada argentina especializada en tecnología para entender cómo deberán trabajar en los próximos años profesionales y empresas de tecnología de todo el mundo para cumplir con la ley europea.
-El reglamento tiene 500 páginas y es fácil perderse en la información. ¿Cuáles son los aspectos más importantes?
-Creo que el valor más grande del reglamento es el tinte preventivo, no busca en un primer momento sancionar, sino más bien prevenir el daño. Tengamos en cuenta que la capacidad de un sistema de IA de procesar enormes cantidades de datos en segundos puede convertirlo en un enorme peligro si el modelo está sesgado. Entonces, es sumamente importante evitar este tipo de situaciones y para ello, la única manera de hacerlo es a través del cumplimiento de los requisitos y la evaluación de los algoritmos, sobre todo los que son considerados de alto riesgo. Las prohibidas, como por ejemplo modelos como el sistema de crédito social que se utiliza en China, directamente no van a poder ser utilizadas. Luego, están los de alto riesgo (el acceso o la admisión de personas físicas a centros educativos o la contratación laboral). Aquí, en mi opinión, están las mayores complejidades. Por un lado, por la dificultad de determinar cuándo es de alto riesgo o no; por el otro, por la correcta interpretación y cumplimiento de todos los requisitos. Son muchos. También está la categoría de riesgo limitado (creación de contenido sintético de imagen/video) que deberán cumplir obligaciones de transparencia principalmente, y la de riesgo mínimo o nulo (como los filtros spam), que no tienen obligaciones extra. Por último, los grandes modelos de IA también tienen un régimen aparte.
-¿Cómo deberán prepararse las empresas que venden soluciones de IA a Europa?
-La norma se aplica a los proveedores que estén radicados en la UE, y también a aquellos que estén ubicados afuera, pero introduzcan en el mercado europeo sistemas de inteligencia art. También se aplica cuando la información de salida generada esa herramienta sea utilizada en Europa; a los importadores y distribuidores, o cuando las personas afectadas por los resultados de un sistema estén en Europa. Como medida inicial, tienen que consultar a expertos en la materia, que estén especializados en la legislación europea: no se trata solo del reglamento, sino de un ordenamiento jurídico entero. En primer lugar, lo más importante es determinar en qué categoría entra el sistema que comercializa la empresa. Este aspecto es esencial porque cambia radicalmente de un caso a otro. En segundo lugar, ver en qué categoría de “sujeto” se encuentra, ya que el reglamento prevé obligaciones para proveedores, importadores, distribuidores, responsables del despliegue, etc. Otro aspecto importante es la necesidad de nombrar, mediante un mandato escrito y antes de comenzar a comercializarlo, a un representante autorizado que esté establecido en la Unión para el caso de los proveedores de sistemas de alto riesgo, o de un modelo de IA de uso general que estén fuera de Europa.
-¿Se venían preparando las compañías?
-Las empresas están realizando distintos caminos. Algunas ya están consultando con expertos sobre cómo adaptarse. Esto incluye un trabajo de diagnóstico previo para comprender desde qué punto parten. Otras, tal vez más precavidas, ya venían trabajando en el tema, entonces tienen parte del camino transitado. Por otro lado, las empresas cuyo giro comercial gira en torno a desarrollos de IA, están interesadas en incorporar perfiles que manejen el área de manera global, es decir, tener consultores especializados que no solo aborden la regulación sino también la gobernanza ética de la IA, que es un paraguas más macro que aborda distintas áreas. Lo que es cierto es que existe una gran incertidumbre acerca de los alcances y la forma de implementación de la ley.
-¿Y qué deberán hacer los gigantes tecnológicos para evitar multas?
-La legislación europea se caracteriza por diferenciar a las empresas basándose en el riesgo o el impacto que pueden generar. Un ejemplo es la Digital Services Act (Ley de servicios digitales) que incluye a los intermediarios y las plataformas en línea. Si éstas llegan a más del 10% de los 450 millones de consumidores europeos, se consideran plataformas en línea o motores de búsqueda de muy gran tamaño, por lo tanto plantean riesgos especiales en cuanto a la difusión de contenidos ilícitos y nocivos para la sociedad. Por ello, tienen que cumplir con medidas adicionales, tendientes a paliar los riesgos y permitir la supervisión, como por ejemplo, transparencia, evaluación de riesgos, etc. Esto está estrechamente vinculado con la IA y ya se está aplicando. En el caso del AI Act, se habla de modelos de inteligencia artificial de uso general, que se caracterizan por entrenarse usando grandes volúmenes de datos y a través de diversos métodos, como el aprendizaje no supervisado, autosupervisado, o por refuerzo. El reglamento se aboca a los modelos de uso general que entrañan riesgos sistémicos, y las obligaciones a cargo de los proveedores de esos modelos comienzan una vez que se introducen en el mercado. Los que ya están funcionando, deben comenzar desde ahora con los requisitos que establece la norma para, cuando entre en vigor, estar en conformidad. En pocas palabras, tienen que empezar a trabajar desde hoy mismo.
-¿Cómo fue la experiencia de estar en Estrasburgo en un día histórico?
-Fue muy emocionante ver que se concluía un camino de tantos años de trabajo y a su vez sentir, en ese mismo instante, que se estaba abriendo un nuevo desafío: la implementación del reglamento y la regulación de la IA en otras latitudes, que tomarán el modelo de la UE como ejemplo. El clima en Estrasburgo era de festejo, porque verdaderamente se trabajó muchísimo en esto y hubo muchas idas y venidas. Es difícil conseguir consensos de tantos estados que tienen una gran diversidad y distintas realidades, y a su vez, en una materia sobre la que se ejerce un lobby inimaginable. Cuando ya estaba por aprobarse, salió ChatGPT y hubo que volver a barajar. Ahora llegaron con lo justo, porque en junio hay elecciones en el Parlamento y el objetivo era que salga durante el periodo de los delegados actuales, que fueron quienes trabajaron arduo, como los eurodiputados Brando Benifei y Dragos Tudorache, los relatores del Reglamento. La conversación en la UE ahora gira en torno a la implementación y el rol de la Oficina de IA que creó la Comisión Europea. Ya estamos trabajando en ello, principalmente, en las auditorías algorítmicas y en una guía de aplicación del reglamento para sector privado.