La UE limitará el uso de la inteligencia artificial en ciberseguridad

La Unión Europea (UE) apuesta por la ola verde y digital para transformar la economía europea y uno de los elementos claves será el desarrollo y el uso de la Inteligencia Artificial, que ofrece un “potencial enorme” en ámbitos como la salud, el transporte, la energía, el turismo o la ciberseguridad pero que entraña riesgos para la privacidad y los derechos fundamentales y mucha desconfianza. Para responder a este desafío y regular este ámbito, la Comisión Europea ha propuesto un nuevo reglamento que incluye la prohibición de la mayoría de sistemas de vigilancia masiva, incluida la identificación biométrica remota, y controles reforzados para los usos de “alto riesgo”.

El reglamento es el resultado de tres años de consultas y discusiones y se aplicará a todos los actores públicos y privados, tanto dentro como fuera de la UE, cuando los sistemas de inteligencia artificial estén ubicados en la UE o su utilización afecte a los ciudadanos que residen en los 27. El plan, el primero que Bruselas plantea en este terreno con el objetivo de establecer estándares internacionales en el sector y reforzar la posición europea, se basa, según ha explicado la vicepresidenta, Margrethe Vestager, en un enfoque basado en el riesgo. “Cuanto mayor sea el riesgo que puede conllevar la inteligencia artificial a nuestras vidas más firme y estricta será la norma”, ha explicado durante la presentación.

En el peldaño más elevado del riesgo se encuentran un número limitado de aplicaciones de inteligencia artificial que, según Bruselas, esconden un “riesgo inadmisible” y por tanto estarán prohibidas. Esta consigna se aplicará a todos los sistemas que se consideren una amenaza clara la seguridad y los derechos fundamentales. Esto incluye desde sistemas que sirvan para manipular el comportamiento humano –por ejemplo, juguetes que utilicen asistencia vocal para incitar comportamientos peligrosos entre los menores- hasta sistemas de puntuación social como los que utiliza China para controlar a sus ciudadanos y otras técnicas subliminales. "No hay lugar para la vigilancia masiva en nuestra sociedad", ha advertido Vestager.

Identificación biométrica remota

La propuesta también contempla la prohibición del uso en espacios públicos de sistemas de inteligencia artificial que permitan la identificación biométrica remota por parte de las autoridades policiales a través del reconocimiento facial, que serán considerados de “alto riesgo” aunque en este caso con excepciones. Se podrá utilizar, por ejemplo, cuando sea estrictamente necesario para la búsqueda de un menor desaparecido, para prevenir una amenaza terrorista concreta e inminente o detectar, localizar, identificar o enjuiciar a un sospechoso de un delito grave. Su uso, no obstante, “estará sujeto a la autorización de un órgano judicial u otro organismo independiente” que establecerán “límites” de tiempo, alcance geográfico y de las bases de datos exploradas.

En el segundo nivel se encuentran los usos considerados de “alto riesgo” que estarán sometidos a obligaciones muy estrictas. En esta categorías se encuentran por ejemplo sistemas utilizados para filtrar los curriculums de candidatos en procedimientos de contratación, los sistemas de calificación crediticia para la obtención de un crédito en un banco, la comprobación de la autenticidad de los documentos de viaje en controles migratorios o los sistemas entre otros. Todos estos sistemas estarán sujetos a una serie de “obligaciones estrictas” antes de poder comercializarse: una evaluación adecuada de y mitigación de riesgos, garantías de la utilización de datos de alta calidad para evitar la discriminación, registro de la actividad, documentación detallada así como medidas apropiadas de supervisión humana.

Riesgo limitado

En el tercer nivel de riesgo el reglamento sitúa a los sistemas de riesgo limitado a los que proponen imponer una serie de obligaciones en materia de transparencia. Se trata, por ejemplo, del uso de robots o bots en conversaciones con usuarios y el 'deep fake'. Quienes utilicen este tipo de inteligencia artificial tendrán que garantizar que los usuarios son conscientes de que están interactuando con una máquina para que pueda tomar una decisión informada de continuar o no. Por último, el reglamento no establece ningún requisito para las aplicaciones o sistemas de “riesgo mínimo o nulo” como videojuegos o filtros de correo basura. Se trata de una categoría, según la Comisión, en la que entran la inmensa mayoría de los sistemas de inteligencia artificial.

La propuesta, que todavía debe ser negociada con la Eurocámara y el Consejo, aboga porque sean las autoridades nacionales de vigilancia del mercado quienes controlen la aplicación de las nuevas normas aunque proponen crear códigos de conducta voluntarios para los sistemas que no entrañen riesgos. El reglamento, que no se aplicará a tecnologías de uso militar, también contempla sanciones para las empresas que incumplan el reglamento que podrían alcanzar el 6% del volumen de negocio anual (30 millones de euros) en el caso de los proveedores de servicios reincidentes.