Por Ernesto Suárez Puga

En Europa padecemos una pulsión reguladora de toda forma de actividad económica. Las que generan innovaciones y avances tecnológicos no se escapan a la intervención del legislador. Baste con señalar algunos ejemplos como la regulación de las plataformas digitales por la popularmente conocida como Digital Markets Act (DMA) en la que los empresarios titulares de estas plataformas pueden ser considerados gatekeepers de servicios como navegadores o buscadores de internet (art.5 Directiva sobre mercados disputables y equitativos en el sector digital) o la inclusión la de las técnicas de mutagénesis Clustered Regularly Interspaced Short Palindromic Repeats (CRISPR) como organismos modificados genéticamente (OMG) cuya incorporación a variedades de plantas requiere que se hayan adoptado todas las medidas necesarias para evitar efectos adversos para la salud humana y el medio ambiente (art. 4 Directiva referente al catálogo común de las variedades de las especies de plantas agrícolas).

La inteligencia artificial tampoco se ha librado de este afán regulatorio. Aunque recientemente, la Comisión Europea ha decidido no seguir tramitando la propuesta de directiva sobre responsabilidad civil extracontractual de la inteligencia artificial, el diseño, creación y uso del conjunto de técnicas que constituye la inteligencia artificial ya está sometida en el ámbito comunitario al Reglamento de Inteligencia Artificial(en adelante, el Reglamento IA), conocido como IA Act. En el ámbito nacional, el Gobierno también ha aprobado ya un anteproyecto de ley Anteproyecto de Ley para el buen uso y la gobernanza de la Inteligencia Artificial, que parece una copia del Reglamento IA en versión de norma nacional

Uno de los objetivos declarados de estas normas es apoyar la innovación. Sin embargo, la única medida sustancial de fomento que prevén son los entornos de prueba o sandboxes (art. 57 y ss. del Reglamento IA). Estos son programas pilotos que, a cambio de que las autoridades públicas supervisen específicamente la actividad de los empresarios participantes, eximen parcial o totalmente de cumplir con los deberes y responsabilidades que el Reglamento IA establece, con carácter general, para los operadores que desarrollen, usen o distribuyan sistemas IA.

El resto de “medidas” de fomento o bien son complementarias ―derecho de acceso prioritario a los sandboxes para las startups con domicilio o establecimiento en la UE y formación y asesoramiento sobre la regulación― (art. 62 del Reglamento IA), o simplemente facultan para establecer un régimen simplificado de IA Act compliance para las micropymes (art. 63 del Reglamento IA).

Limitarse a ofrecer sandboxes regulatorios a los potenciales innovadores es una medida insuficiente para fomentar el desarrollo de la IA en la UE. No solamente porque los programas públicos de prueba no están exentos de costes sociales (distribución de recursos públicos para estos programas en detrimento de la supervisión general, riesgo de captura del supervisor o distorsión de la libre competencia hasta el punto de que no sean estrictamente las preferencias de los consumidores y usuarios las que decidan los ganadores y perdedores en el mercado) sino porque presuponen la existencia de un régimen regulatorio cuyo cumplimiento supone un coste fijo inevitable para todo aquel que se decida a innovar en la industria de la IA.

Ese coste es el de cumplir con el estatuto de deberes, obligaciones y responsabilidades que el Reglamento impone a todo el que  diseñe, use o distribuya sistemas IA en la UE. Esto nos obliga a examinar los motivos del legislador para incidir de esta manera en la libertad de empresa y si la manera en que lo ha hecho es la más idónea o proporcional. Esto es, si está justificado y es asumible el daño que supone desincentivar la innovación en este ámbito.

¿Fundamento de la regulación y respeto del principio de proporcionalidad?

La justificación del legislador es que la IA podría generar daños con afectación valores de la Unión de respeto de la dignidad humana, la libertad, la igualdad, la democracia y el Estado de Derecho y de los derechos fundamentales consagrados en la Carta de los Derechos Fundamentales de la Unión Europea (vid. entre otros, el considerando 28 del Reglamento IA).

Como adelantaba Alejandro Huergo, para minimizar este riesgo, el legislador ha sometido las diferentes aplicaciones de la IA a los siguientes regímenes en función de su potencial grado de afectación a dichos valores y derechos (criterio de la proporcionalidad): (i) prohibición, (ii) sujeción a autorización administrativa previa y (iii) sujeción a cumplimiento normativo y declaración responsable respecto de la adecuación de la aplicación.

Una política de regulación proporcional al riesgo de la IA es a priori y, en abstracto, más razonable que prohibir su desarrollo, uso y distribución (política de riesgo cero).  Sin embargo, la concreta plasmación del Reglamento IA no parece que se haya ajustado estrictamente a esa proporcionalidad que preconiza y esto genera el riesgo de acabar con la innovación en la UE en esta industria. Varios son los motivos en los que basamos nuestra crítica.

En primer lugar, una visión pesimista de la inteligencia artificial en la que los riesgos por su mal funcionamiento lejos de ser inciertos y remotos parecen muy previsibles y catastróficos. Digamos que el legislador ha hiperbolizado los riesgos más extremos y a priori menos probables. Esto contrasta con la falta de toma en consideración de los potenciales beneficios que puede tener el uso extensivo de la IA. Téngase en cuenta, por ejemplo, la aceleración ya constatada en el ámbito de la biomedicina con la experimentación autónoma asistida por el machine learning (ML) de los que se ha llegado a afirmar que pueden realizar en días lo que científicos expertos solamente pueden alcanzar en años. Sin la valoración adecuada de riesgos y de expectativas de beneficios difícilmente puede haberse regulado esta tecnología de manera proporcional.

En nuestra opinión, este ejercicio habría permitido manejar mejor el principal riesgo que tienen las inteligencias artificiales generativas que es el de error. Una IA generativa es un modelo sobre cómo funciona el mundo a partir del cual realizar predicciones sobre como este evolucionará. Y como cualquier modelo predictivo puede ser más o menos acertado sobre el estado futuro del mundo.

Con libre competencia, los empresarios que desarrollen estos modelos tienen incentivos suficientes para reducir su margen error y mejorar su capacidad de predicción porque aquellos que se demuestren más erráticos serán expulsados del mercado. Por esto, creemos que el legislador debería limitarse a asegurar que el diseño y la aplicación de estos modelos excluyen en todo caso  lo que denominaremos como “error jurídicamente intolerable”. Por ejemplo, que la racionalidad aplicada la IA no pondrá nunca en peligro grave, de manera concreta y directa la vida de los seres humanos o sus principales bienes jurídicos (integridad, dignidad, libertad, autonomía). Piénsese en el ejemplo del sistema IA que para eliminar de manera más eficaz la pobreza o el sufrimiento humano predice y actúa que el mejor curso de acción es acabar con todos los seres humanos.  Para esto, habría bastado al legislador comprobar que el primer y único deber de los desarrolladores y distribuidores de sistemas de IA es evitar el daño de tercero (primum non nocere). Como no hay reputación que aguante el daño de los errores más graves (piénsese en lo que sucedería con las máquinas que asesinan o lesionan gravemente a sus usuarios), al legislador le basta con comprobar si el ordenamiento jurídico ya contiene normas que desincentiven suficientemente que los desarrolladores y explotadores no asuman riesgos menos graves que previsiblemente no aceptarían asumir los usuarios (máquinas que divulgan información privada de las personas sin que estas lo autoricen o lo conozcan, vehículos de conducción autónoma que no reducen el riesgo de accidente por debajo del que genera la conducción humana).

Como los ordenamientos jurídicos avanzados ya tienen normas específicamente dirigidas a impedir este tipo de conductas antijurídicas especialmente graves (p.ej., códigos penales, ilícitos concurrenciales desleales con consumidores y usuarios o normas de protección de la privacidad y el honor) y mecanismos para reparar patrimonialmente sus consecuencias (p.e. la responsabilidad civil por daños), creemos que el legislador no ha demostrado que fuese necesario el Reglamento IA para mantener un grado de riesgo socialmente tolerable en esta actividad.  Esto es, que el coste de cumplimiento con esa nueva norma justifique el sacrificio en innovación que este conlleva.

Nos parece muy reveladora de esta poca utilidad el hecho de que el propio Reglamento IA admita que debe aplicarse horizontalmente junto a las restantes normas del ordenamiento jurídico: “el Reglamento debe entenderse sin perjuicio del Derecho vigente de la Unión, en particular en materia de protección de datos, protección de los consumidores, derechos fundamentales, empleo, protección de los trabajadores y seguridad de los productos, al que complementa el presente Reglamento”. El legislador europeo debería haber demostrado indubitadamente la insuficiencia de los mecanismos generales del ordenamiento para contener los riesgos que implica la IA y, en ese caso, parecería claro que el Reglamento debía ser claramente una lex specialis, de aplicación preferente y excluyente.

No creemos que la falta de previsibilidad de la IA o el carácter secreto de parte de los modelos en los que se basa sean elementos que impidan mantener un grado de riesgo tolerable y socialmente deseable para los valores de la UE con la mera aplicación de las normas generales aplicables a cualquier actividad empresarial. Por ejemplo, no necesitamos una prohibición específica de la publicidad o la comercialización de productos a través de técnicas subliminales porque ya están proscritas por las normas de competencia desleal o de publicidad ilícita (arts. 5 de la Ley de Competencia Desleal y 3 de la Ley General de Publicidad).

Respecto al margen de error tolerable de estos modelos, debe tenerse en cuenta que los desarrolladores de IA se limitan a poner a disposición de los usuarios el modelo del mundo y, en principio, salvo actuación dolosa o negligente grave en su diseño o vigilancia en su aplicación, teniendo en cuenta el estado de la técnica existente, no deberían responder por las predicciones resultantes que resulten erróneas ni por los daños y perjuicios que estas generen. Por tanto, en línea de principio, el riesgo inexactitud o error de la IA debe ser asumido por los usuarios intermedios o finales que empleen esta tecnología en sustitución o como complemento de otras o de la intervención humana. No obstante, admitimos que la cuestión merece matices en función de circunstancias como la naturaleza onerosa o gratuita del contrato por el cual el usuario accede o incorpora a su actividad un sistema de IA.              

En segundo lugar, porque, el Reglamento impone una serie de deberes a los desarrolladores y distribuidores de sistemas y aplicaciones IA (p.ej., evaluación, conservación de datos, gestión de calidad, supervisión humana, prevención de ilícitos, deberes de transparencia de los modelos en usuarios intermedios o finales, etc.) con el objetivo de evitar que su actividad entrañe un riesgo inaceptable para los usuarios. Cumplir con este “estatuto” no les concede necesaria y automáticamente una exención de responsabilidad por los daños que ocasionase la IA cuando resulte insegura. Ese cumplimiento solamente otorga una presunción de seguridad. Es decir, solamente se excluye la presunción de que un “producto” o “servicio conexo” basado o que incorpore IA se considere defectuoso o falto de seguridad porque no se hayan cumplido las normas de seguridad aplicable. Por tanto, el proveedor IA cumplidor solamente obtiene el beneficio de que la carga  de probar el carácter defectuoso corresponderá a quien reclame daños y perjuicios por ello  (art. 10 .2 Directiva 2024/2853 de Productos Defectuosos). De manera que cumplir con su estatuto no exime al proveedor IA de responder por su falta de seguridad, aunque esto entrañe mayor dificultad probatoria para los usuarios reclamantes. Esto implica que todo innovador en materia de IA debe asumir tanto los costes de compliance regulatorio ex ante como a los contingentes de la responsabilidad civil ex post.

En tercer lugar, porque, al someter las diferentes aplicaciones IA, a intervenciones diferentes ― prohibición, autorización, cumplimiento responsable ―, puede ser muy costoso cumplir para los proveedores de sistemas de IA generalistas. Estos son los que tienen múltiples aplicaciones y que actualmente son los dominantes del mercado. El reglamento podría implicar que las diferentes aplicaciones de un mismo sistema acabe sometida a regímenes regulatorios diferentes y contradictorios. Por ejemplo, un mismo sistema de IA con capacidad de leer y contrastar datos biométricos de personas puede ser apto tanto para comprobar su identidad a efectos de permitir o denegar el acceso de un lugar restringido al público general como para categorizarlas en función de atributos físicos. Es más, para distinguir entre personas autorizadas para acceder a un determinado lugar podría ser preciso categorizarlas en función de sus atributos. Por ejemplo, para distinguir entre mayores y menores de edad en el acceso a un local de apuestas puede ser necesario que el sistema IA las distinga en función de la altura o los rasgos faciales. Para el Reglamento algunas de estas aplicaciones estarían prohibidas y otras sujetas a autorización.

Esta carga de cumplir con el régimen específico de cada aplicación puede empujar a sus desarrolladores a renunciar a determinadas técnicas o funcionalidades y centrarse en las que sean más rentables. Esto puede distorsionar el actual mercado caracterizado por la competencia entre proveedores de sistemas generalistas y favorecer que se generen segmentos de sistemas especializados por funcionalidades o finalidades. Similares efectos puede tener también la multiplicidad de autoridades supervisoras de los diferentes países de la UE.

En cuarto lugar y último lugar, el cumplimiento con esta regulación supone un coste fijo que puede operar de barrera de entrada a la industria IA, favoreciendo el atrincheramiento de los actuales operadores incumbentes en detrimento del bienestar de los usuarios. Este daño no debe omitirse en la valoración de la proporcionalidad puesto que puede implicar renunciar a la enorme expectativa de bienestar que puede provocar la competencia en el campo de la IA.

Medidas alternativas de fomento de la innovación

Llegados a este punto, nos planteamos qué medidas fomentarían realmente la innovación y la competencia en el mercado de la IA. En nuestra opinión, hay dos elementos claves cuyo tratamiento regulatorio podría favorecer la innovación y la competencia en el mercado comunitario de desarrollo y explotación de la IA.

La primera es la seguridad jurídica respecto a la protección del secreto empresarial en los que se basan los modelos de visión y predicción del mundo de la IA generativa. Parece evidente que la feroz competencia actualmente existente entre desarrolladores se basa en la mayor precisión y grado de acierto de sus modelos. En consecuencia, tienen un legítimo interés en mantener secreto sus características. Este interés puede chocar con el deber de los proveedores de modelos de IA de uso general de revelar al público un resumen detallado del contenido de entrenamiento del modelo (art. 53.1 del Reglamento IA). Revelar esta información puede acabar con el carácter secreto (art. 1 de la Ley de Secretos Empresariales) y, por tanto, protegible como un activo intangible de los modelos IA. Creemos que una tutela más equilibrada de los intereses en juego en esta fase incipiente de la industria IA debería basarse en el acceso exclusivo a esta información a autoridades supervisoras y judiciales en el marco de procedimientos administrativos y judiciales en los que existan indicios razonables de riesgo de seguridad o riesgo jurídico intolerable para los usuarios que traigan causa del diseño o entrenamiento del modelo. De esta manera, se reduciría el perímetro de destinatarios de esta información secreta. Así sería más ágil identificar y vigilar a los obligados a conservarla confidencialmente, limitándose su acceso exclusivamente a las autoridades que lo precisamente para evaluar la posible responsabilidad de los desarrolladores. De esta manera, también se reducirían los incentivos para la litigación estratégica e incluso el peligro de que se utilice como alternativa al espionaje industrial.

La segunda sería abaratar el coste al insumo más preciado de los sistemas IA: los datos. Para ello, bastaría con facilitar el tratamiento automatizado de los datos personales que ayudan a estas herramientas a construir su modelo del mundo.

Cabría plantearse si, al menos para el desarrollo inicial de esta tecnología, debe seguirse reconociendo al titular de un dato personal un derecho de propiedad absoluto por el cual no puede ser utilizado sin su consentimiento. Y si es el caso, si la delimitación de lo que es un dato personal debe tener necesariamente una definición tan amplia como para englobar cualquier potencial elemento que permitiese identificar en abstracto a una persona. O también si no sería suficiente con  aplicar técnicas de anonimización, disociación o acumulación en el resultad de las predicciones de la IA para que determinadas categorías de datos ya no pueda presumirse que son atribuibles a personas concretas y  que esto basta razonablemente para su tratamiento por sistemas IA.

En este sentido, resulta especialmente perjudicial para la innovación que el Reglamento IA solamente permita tratar datos personales para el desarrollo y entrenamiento de sistemas IA previamente adquiridos para otra finalidad sujeto a los siguientes requisitos cumulativos: (I) que se realice en el marco de los sandboxes, (ii) en desarrollos realizados por autoridades públicas u operadores privados seleccionados por estas y (iii) solamente para determinadas finalidades de interés público ―seguridad, salud pública, calidad del medioambiente sostenibilidad, etc.― (art. 59.1 del Reglamento IA).  Creemos que habría tenido más sentido adoptar medidas más flexibles para el acceso y uso automatizado de los datos personales que requieren los modelos IA a cambio de que la Administración actuase como protectora y representante de los intereses de los ciudadanos titulares de los mismos. Por ejemplo, cabría plantear un régimen general del desarrollo de la IA más flexible y ofrecer la facultad de legitimar el tratamiento de los datos personales que ya tiene cualquier desarrollador para otras finalidades siempre que voluntariamente se someta a una supervisión pública reforzada tendente a garantizar la tutela de los titulares de esos datos. También cabría pensar en un sistema de compensación equitativa colectiva obligatoria de gestión pública. El interés y valor de los datos están en su conjunto y no en los datos individuales de cada titular. Un sistema de acuerdos voluntarios entre proveedores IA y personas titulares de los datos tiene un coste coordinación muy elevado. Como alternativa, cabría encomendar la gestión de una licencia obligatoria a la Administración que se encargase de gestionar el cobro del canon a los desarrolladores y su pago a los titulares de derechos individuales mediante créditos tributarios.

Por ello, confiamos en que nuestro legislador nacional aproveche la facultad del Reglamento IA para que establezca en un sentido más flexible las bases para el tratamiento de datos personales necesario para desarrollar, probar o entrenar sistemas innovadores de IA o de cualquier otra base jurídica, de conformidad con el Derecho de la Unión en materia de protección de datos personales (art. 59.3 del Reglamento IA).

Foto: Pedro Fraile