Gonzalo F. Gállego Higueras, Socio Hogan Lovells.
Las instituciones de la Unión Europea se encuentran actualmente ultimando un nuevo Reglamento destinado a regular algunos aspectos sobre el uso de Inteligencia Artificial (IA). La nueva norma (popularmente conocida como ‘AI Act‘) adopta un enfoque basado en el riesgo de forma tal que ‘carga’ con mayores requisitos (e incluso los prohíbe, en algunos casos) a los modelos de IA en función de la incidencia que los mismos pueden tener en la integridad de las personas, bienes o infraestructuras, causar discriminación, atentar contra la privacidad, etc.
Sucede que no todos los modelos de IA son utilizados con la misma intensidad por los diversos sectores productivos y, de hecho, existen modelos que casi podríamos decir que son únicos para algunos de ellos. Este hecho, unido a que, como decimos, la AI Act establece requisitos distintos para los modelos de IA en función de su riesgo, permite identificar igualmente a aquellas empresas (o áreas dentro de empresas) para los que las restricciones de la AI Act resultan más relevante. Seguidamente veremos una lista de los modelos de IA que se ven más afectados por la AI Act, y correlativamente, de las empresas o sectores que mayor atención tienen que prestar a esta nueva norma:
Dentro de los sistemas de IA de ‘alto riesgo’, la AI Act sitúa aquellos que se usan en relación con productos, servicios y/o actividades que, si bien son muy dispares entre ellos, tienen un elemento en común: el riesgo que un defecto o mal funcionamiento, tiene para la integridad de las personas o cosas.
En los sistemas IA de ‘alto riesgo’, la AI Act sitúa los relacionados con productos, servicios y/o actividades con un mal funcionamiento y el riesgo que tienen para la integridad de las personas o cosas
Se trata, en general, de productos, servicios o actividades ya de por sí muy regulados precisamente para gestionar y reducir tal riesgo. ‘Delegar’ en un modelo de IA la adopción de decisiones en este tipo de entornos donde un mal funcionamiento puede producir consecuencias desastrosas, es obvio que precisa de cautelas importantes y es por ello lógico que la nueva normativa se fije en ellos.
Entre los productos, servicios o actividades que entran dentro de este grupo (y sin ser exhaustivos ya que la lista es muy larga), podemos citar: juguetes, embarcaciones, ascensores y elevadores, explosivos, equipos de radio, teleféricos, combustibles de gas, dispositivos médicos, aviación aérea, vehículos de motor, equipos de navegación, sistemas ferroviarios, sistemas de seguridad de infraestructuras críticas digitales, circulación por carreteras o el suministro de agua, gas, calefacción y electricidad.
La capacidad de identificar a personas de forma biométrica y a distancia, tiene un gran potencial en diversos ámbitos como la seguridad o el análisis del comportamiento de clientes. Sin embargo, también plantea riesgos relevantes para las personas, especialmente en lo que respecta a la privacidad (dada la facilidad que existe para realizar un seguimiento estrecho de la actividad de una persona identificada) y la discriminación (errores en el modelo de IA pueden dar lugar a resultados sesgados).
La AI Act es consciente de estos peligros y, por ello, sujeta a los modelos de IA que se usan para la identificación biométrica a distancia, a requisitos severos.
La AI Act sujeta a los modelos de IA que se usan para la identificación biométrica a distancia, a requisitos severos
Conviene en todo caso hacer dos aclaraciones. Los modelos de identificación biométrica que no actúan a distancia, no se consideran de ‘alto riesgo’ y no están sujetos a requisitos tan estrictos. La falta de distancia permite mucho mayor control por parte del individuo analizado, y ello reduce los peligros señalados.
En sentido opuesto, la utilización de sistemas de identificación biométrica a distancia en tiempo real en espacios de acceso público por parte de autoridades policiales (o asimiladas) con fines de hacer cumplir la ley, quedan completamente prohibidos, salvo en casos puntuales expresamente previstos en la norma como, por ejemplo, la búsqueda de víctimas de crímenes. El uso excesivo de estos sistemas -de evocación tan Orwelliana- se considera una situación sumamente intrusiva que puede afectar a la vida privada de gran parte de la población, provocar una sensación de vigilancia constante y disuadir indirectamente del ejercicio de la libertad de reunión y de otros derechos fundamentales.
Existe una clara correlación entre la educación y la formación y el desarrollo de las personas. Por ello, es necesario asegurar un adecuado acceso de los individuos a los recursos formativos, entendiéndose por ‘adecuado’ un acceso desprovisto de sesgos que puedan violar el derecho a la educación así como el derecho a no ser discriminado.
En este contexto, los modelos de IA utilizados en los procesos de acceso y admisión de personas a instituciones o programas educativos a todos los niveles o para evaluar los resultados del aprendizaje de las personas, se consideran también «alto riesgo» y se someten a requisitos relevantes.
El uso de IA en los procesos de selección, evaluación y promoción de trabajadores así como en despidos, constituye un área particularmente sensible.
Modelos de IA incorrectamente diseñados y/o entrenados pueden perpetuar patrones históricos de discriminación, por ejemplo respecto de mujeres, grupos de edad, personas con orígenes raciales o étnicos u orientación sexual. Junto a ello, sistemas de IA utilizados para controlar el rendimiento y el comportamiento de los trabajadores también pueden afectar a sus derechos a la protección de datos y a la privacidad.
La nueva AI Act establece controles y requisitos para reducir el riesgo de que ello ocurra.
Otros modelos de IA que merecen atención especial son los utilizados para evaluar la solvencia financiera y crediticia de las personas. Estos sistemas operan como una suerte de ‘filtro’ para el acceso a servicios que se consideran esenciales para que las personas -algunas vulnerables- puedan participar plenamente en la sociedad o mejorar su nivel de vida, tales como electricidad, gas, telecomunicaciones, financiación, etc.
La AI Act se preocupa de que estos modelos de IA sean diseñados y entrenados con especial cuidado para evitar sesgos que den lugar a la discriminación de personas o grupos o permiten perpetuar pautas históricas de discriminación o crear nuevas formas de impacto discriminatorio.
Relacionados con los sistemas abordados en el apartado previo, encontramos los modelos de IA utilizados para el análisis actuarial, para la selección de riesgos y tarificación en seguros.
La AI Act es bastante específica a la hora de determinar los requisitos y se centra únicamente en dos tipos de seguros: los de vida y los de salud. La norma considera que este tipo de seguros tienen especial relevancia desde el punto de vista del desarrollo de las personas, por lo que la utilización de modelos de IA incorrectos, puede tener particular incidencia a la hora de excluir y discriminar a personas y afectar igualmente a la salud.
Finalmente, querríamos referiros a una categoría amplia de sistemas de IA que tienen como denominador común el de situarse en una posición donde los humanos nos mostramos particularmente vulnerables, debido a la gran potencia de los modelos de IA y su capacidad para interpretar nuestro comportamiento o ‘engañarnos’.
La AI Act intenta someter a los sistemas que interactúan con humanos a requisitos de trasparencia de forma tal que su existencia y funcionamiento se hagan aparentes para el humano
La AI Act regula de forma singular estos sistemas si bien de manera menos intensa que los tratados hasta ahora. De forma general, la norma intenta ‘igualar fuerzas’ sometiendo a dichos sistemas a requisitos de trasparencia de forma tal que su existencia y funcionamiento se haga aparente para el humano que, a partir de allí, puede tomar las medidas que estime oportunas.
En principio, todas las empresas usuarias o que participan en el diseño, fabricación comercialización de los modelos de IA hasta ahora tratados o de sistemas que se basen en ellos, se encuentran especialmente concernidas por la AI Act y sería recomendable que analizasen desde este momento cómo les afecta la norma.
Aunque la AI Act no sea aún aplicable, no debe olvidarse que los modelos de IA son ‘activos vivos’ que evolucionan y mejoran a medida que se utilizan y aprenden. Una empresa que entrene modelos de IA usando criterios no compatibles con una AI Act aun no aplicable, puede llevarse la desagradable darse sorpresa de encontrarse con que tales modelos no pueden ser utilizados una vez que la norma sea de aplicación, y ello por resultar de un entrenamiento que se produjo con criterios no adecuados. Adoptar políticas alineadas con la AI Act, es algo que no debe ni puede esperar.
Cookie | Duración | Descripción |
---|---|---|
__cf_bm | 1 hour | This cookie, set by Cloudflare, is used to support Cloudflare Bot Management. |
_GRECAPTCHA | 6 months | Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks. |
cookielawinfo-checkbox-advertisement | 1 year | Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category. |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie. |
csrftoken | 1 year | This cookie is associated with Django web development platform for python. Used to help protect the website against Cross-Site Request Forgery attacks |
opt_out | 1 year | This cookie is used for preventing the installation of third party advertiser or other cookies on the browser. |
PHPSESSID | 24 minutes | This cookie is native to PHP applications. The cookie stores and identifies a user's unique session ID to manage user sessions on the website. The cookie is a session cookie and will be deleted when all the browser windows are closed. |
rc::a | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::b | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::c | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::f | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
ts | 1 year 1 month | PayPal sets this cookie to enable secure transactions through PayPal. |
usprivacy | 1 year 1 month | This is a consent cookie set by Dailymotion to store the CCPA consent string (mandatory information about an end-user being or not being a California consumer and exercising or not exercising its statutory right). |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
wordpress_test_cookie | session | WordPress sets this cookie to determine whether cookies are enabled on the users' browsers. |
Cookie | Duración | Descripción |
---|---|---|
cX_G | 1 year 1 month | Cxense sets this cookie for storing the global ID, mapping different ids together into one ID. |
v1st | 1 year 1 month | The v1st cookie is set by TripAdvisor to collect details about how visitors use the website, by displaying user reviews, awards and information received on the TripAdvisor community. |
yt-player-headers-readable | never | The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience. |
yt-remote-cast-available | session | The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player. |
yt-remote-cast-installed | session | The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video. |
yt-remote-connected-devices | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-device-id | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-fast-check-period | session | The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos. |
yt-remote-session-app | session | The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player. |
yt-remote-session-name | session | The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video. |
ytidb::LAST_RESULT_ENTRY_KEY | never | The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future. |
Cookie | Duración | Descripción |
---|---|---|
_gat | 1 minute | Google Universal Analytics sets this cookie to restrain request rate and thus limit data collection on high-traffic sites. |
dmvk | session | The dmvk cookie is set by Dailymotion to record data of visitor behaviour on the website. |
Cookie | Duración | Descripción |
---|---|---|
_fbp | 3 months | Facebook sets this cookie to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising after visiting the website. |
_ga | 1 year 1 month 4 days | Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors. |
_gid | 1 day | Google Analytics sets this cookie to store information on how visitors use a website while also creating an analytics report of the website's performance. Some of the collected data includes the number of visitors, their source, and the pages they visit anonymously. |
cX_P | 1 year 1 month | Cxense sets this cookie for site-specific user sessions - across sessions. |
Cookie | Duración | Descripción |
---|---|---|
guest_id | 1 year 1 month | Twitter sets this cookie to identify and track the website visitor. It registers if a user is signed in to the Twitter platform and collects information about ad preferences. |
test_cookie | 15 minutes | doubleclick.net sets this cookie to determine if the user's browser supports cookies. |
VISITOR_INFO1_LIVE | 6 months | YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface. |
VISITOR_PRIVACY_METADATA | 6 months | YouTube sets this cookie to store the user's cookie consent state for the current domain. |
YSC | session | Youtube sets this cookie to track the views of embedded videos on Youtube pages. |
yt.innertube::nextId | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
yt.innertube::requests | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
Cookie | Duración | Descripción |
---|---|---|
__cflb | 1 day | This cookie is used by Cloudflare for load balancing. |
_awl | 1 year 1 month | No description available. |
_pcid | 1 year 1 month | Description is currently not available. |
_pctx | 1 year 1 month | Description is currently not available. |
gckp | 1 year | This cookie is set by the provider Cxense. This cookie is used for building user profile information across all sites in the Cxense network. |
itsec-hb-login-27e4caa2b0fb20a2dee118de04e9de77 | 1 hour | Description is currently not available. |
ntvSession | session | Description is currently not available. |