¿Hasta dónde se puede usar la IA? Prácticas prohibidas y riesgos en las empresas

El pasado domingo 2 de febrero marcó un antes y un después en la regulación de la Inteligencia Artificial (IA). Ese día comenzaron a aplicarse las primeras disposiciones del Reglamento de Inteligencia Artificial de la Unión Europea (en adelante, “RIA”), la primera normativa a nivel mundial que establece un marco legal específico para el desarrollo y uso de la IA.

Concretamente, ya son plenamente aplicables el Capítulo I, que recoge las disposiciones generales, y el Capítulo II, que establece las prácticas de IA prohibidas. Asimismo, la Comisión Europea publicó el pasado 4 de febrero unas directrices que aportan un poco más de claridad acerca del alcance y la interpretación de dichas prácticas de IA prohibidas (en adelante, las “Directrices”).

Prácticas prohibidas: ¿qué no se puede hacer con la IA a partir de ahora?

En particular, y de acuerdo con el artículo 5 del RIA, estará prohibida la fabricación, comercialización o utilización de un sistema de IA para alguna de las siguientes finalidades:

• Se sirva de técnicas subliminales o manipuladoras o engañosas, siempre y cuando trasciendan la conciencia de una persona y tengan el objetivo o efecto de alterar de manera sustancial su comportamiento y haciendo que tomen una decisión que de otro modo no habrían tomado;
• Explote vulnerabilidades derivadas de la edad, discapacidad o situación económica-social de una persona o de un determinado colectivo, con la finalidad o el efecto de alterar de manera sustancial su comportamiento y provocar perjuicios a esa persona o a otra;
• Puntúe socialmente, siempre y cuando provoque un trato perjudicial o desfavorable para una persona en contextos sociales que no guarden relación con los contextos donde se generaron inicialmente o que sea injustificado o desproporcionado;
• Evalúe o establezca predicción de que una persona cometa un delito basado únicamente en perfiles o en rasgos y características de su personalidad (no aplica para investigaciones relacionadas con hechos objetivos y verificables relacionadas con una actividad delictiva concreta);
• Cree o amplíe bases de datos de reconocimiento facial no autorizado mediante la extracción no selectiva de imágenes de Internet o circuitos cerrados de televisión;
• Infiera emociones en el lugar de trabajo y/o centro educativo (se exceptúan cuando se necesario por motivos de salud o seguridad);
• Categorice biométricamente y clasifique a personas por datos inferidos como raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, vida u orientación sexual. No incluye el filtrado de bancos de imágenes válidamente adquiridos ni la categorización realizada para la prevención, la investigación, la detección o el enjuiciamiento de delitos o la ejecución de sanciones penales, incluidas la protección frente a amenazas para la seguridad pública y la prevención de dichas amenazas, por quienes detentan estas funciones;
• Identifique biométricamente de manera remota y en tiempo real, en espacios de acceso público excepto cuando se realice por las fuerzas y cuerpos de seguridad para la búsqueda selectiva de víctimas o desaparecidos, la prevención de amenazas para la vida y la seguridad inminentes o localización de sospechosos de determinados delitos y solo bajo determinadas bajo autorización previa excepto en casos de urgencia.

En nuestra opinión y teniendo en cuenta lo anterior, se puede dar el caso de que se haga un uso ilícito de un sistema de IA que no estuviera prohibido conforme a su finalidad prevista. Esta circunstancia se produciría siempre que una empresa utilice un sistema con un propósito diferente al diseñado por el fabricante (finalidades no previstas) cuando dicho uso consista en una de las prácticas prohibidas mencionadas. En este caso, deberíamos considerar responsable a la empresa que usa el sistema indebidamente, es decir, de forma distinta a la finalidad prevista, y no al fabricante (proveedor).

Por ejemplo, imaginemos que una empresa adquiere un sistema de IA para mejorar la productividad de sus empleados. Dicho sistema está diseñado (finalidad prevista) para analizar patrones de comportamiento digital, como el uso del correo electrónico, la actividad en aplicaciones de trabajo y la interacción en reuniones virtuales y no para la la inferencia de emociones. Aunque el proveedor especificase en las condiciones de uso que dicho sistema está destinado únicamente para el análisis de eficiencia operativa y no para la inferencia de emociones, la empresa usuaria podría configurar la solución o usarla para determinar el estado emocional de sus empleados, con el objetivo de identificar posibles signos de desmotivación o estrés; incurriendo así en una práctica prohibida y siendo el único responsable de la misma.

Si bien esta responsabilidad de los usuarios (responsables del despliegue) en el uso de la IA como práctica prohibida podía ya deducirse del RIA, consideramos que las Directrices aprobadas por la Comisión dejan claro que esta debe ser la interpretación correcta. Esto no significa, todo lo contrario, que los proveedores no deban facilitar información precisa sobre los usos indebidos razonablemente previsibles de sus sistemas (como exige el RIA), pero exige a los responsables del despliegue una mayor diligencia en las comprobaciones internas dentro de su organización

Por todo ello, creemos que resulta imprescindible que todas las empresas que estén adoptando o permitiendo el uso de la IA en su organización cuenten con controles, políticas y procesos claros que eviten este tipo de situaciones. Disponer de estas políticas y procedimientos permitirá, cuanto menos, minimizar el riesgo de que puedan darse situaciones en las que por “ignorancia”, se utilicen sistemas para estos fines lo que al fin y a la postre permitirá evitar la imposición de sanciones por este motivo.