La Inteligencia Artificial (IA) responsable: una asignatura clave para las empresas

Concretar el enfoque de la empresa en la ética y el cumplimiento normativo

En este sentido, del reciente informe de KPMG España relativo a las “Claves de la agenda del Consejo de Administración y de la Comisión de Auditoría para 2022”, se infiere precisamente la necesidad de concretar el enfoque de la empresa en la ética y el cumplimiento normativo, -con especial atención a la ética digital-, pues los costes para la reputación empresarial derivados de un fallo ético, o de cumplimiento normativo en el mercado en el que operan son más elevados que nunca, amén de las importantes sanciones que pueden recaer en estos supuestos.

De hecho, esta realidad no es ajena a los inversores y otros grupos de interés quienes, por su relevancia, ya incluyen en su lista de comprobación la diligencia debida por las empresas en términos de IA responsable, por los importantes riesgos legales y financieros asociados a las inversiones que realizan, así como también por la estrecha relación de estos aspectos con la adecuada observancia de los indicados de ESG (Enviromental, Social y Governance), en lo relativo al pilar de gobernanza y de ética de los negocios (ética digital).

Adicionalmente, diversas organizaciones relevantes han promovido igualmente la importancia de estas materias. Por ejemplo, la OCDE ha establecido sendos “Principios de IA” para promover el uso legal y ético de esta tecnología. Asimismo, ciertas organizaciones internacionales, como la Alianza de Acción Global de IA del Foro Económico Mundial, han establecido grupos de trabajo y esquemas para traducir estos principios en mejores prácticas, programas de certificación y herramientas de control y cumplimiento. Resulta destacable también la reciente “Recomendación sobre la Ética de la Inteligencia Artificial”, que se erige como el primer marco internacional en este ámbito, habiendo sido suscrito por los 193 Estados miembros de la Conferencia General de la UNESCO.

De igual forma, el Parlamento Europeo en su reciente “Informe sobre la inteligencia artificial en la era digital” ha destacado la necesidad de aplicar un enfoque basado en principios para atender a los aspectos éticos de la IA, a fin de que se atienda al desarrollo de una IA centrada en el ser humano, pero también de una IA sostenible, por coherencia con la Agenda 2030 para el Desarrollo Sostenible de las Naciones Unidas.  Además, este Informe pone también de relieve la importancia clave de liberar los datos y de fomentar el acceso y la compartición de estos, no sólo para el desarrollo y el uso de la IA en Europa, sino también para impulsar el mercado único digital y el tejido empresarial, y la generación de nuevas empresas, sectores y ecosistemas emergentes.

En coherencia con lo anterior, la UE ha desarrollado un nuevo marco regulador en torno a la Inteligencia Artificial (Reglamento del Parlamento Europeo y del Consejo, por el que se establecen normas armonizadas en materia de inteligencia artificial (en adelante, “Ley de Inteligencia Artificial” o “Ley de IA”), habiendo aprobado también directrices sobre cómo avanzar en modelos de IA Confiable.

Lo que se pretende con la Ley de IA es, en definitiva, poder aprovechar esta tecnología, que se desarrolle y, sobre todo, animar a las empresas a aplicarla, eso sí, de acuerdo con los valores, los derechos fundamentales y los principios de ética aplicables (tecnologías centradas en las personas).

Al respecto, la Ley de IA contempla algunos objetivos específicos:

• Garantizar que los sistemas de IA introducidos y usados en el mercado sean seguros y respeten la legislación vigente en materia de derechos fundamentales y valores de la Unión (en el caso del mercado de la UE, al menos).
• Mejorar la gobernanza y la aplicación efectiva de la legislación vigente en materia de derechos fundamentales y los requisitos de seguridad aplicables a los sistemas de IA.
• En definitiva, hacer un uso legal, ético, seguro y fiable de las aplicaciones y sistemas de IA.

 Este Reglamento europeo se desarrolla bajo un enfoque basado en el riesgo, estableciendo una estructura regulatoria que prohíbe algunos usos de la IA, impone determinadas obligaciones a los usos de alto riesgo y menos a los sistemas de IA que presentan riesgo bajo o mínimo. Concretamente, delimita el uso de la IA en cuatro grupos: IA prohibida, IA de alto riesgo, IA de riesgo bajo o IA de riesgo mínimo. Debido al enfoque basado en el riesgo que presenta la Ley de IA, la mayoría de las obligaciones y requisitos descritos en la normativa se refieren a la IA de alto riesgo.

Cabe resaltar que la consideración como alto o bajo riesgo dependerá de la finalidad específica, de las funciones que lleve a cabo y de las modalidades para las que se utilice el sistema de IA. Los tipos de IA que son considerados de alto riesgo actualmente son:

1. Aquellos diseñados como componentes de seguridad de productos.
2. Aquellos enfocados en la identificación biométrica y categorización de personas físicas.
3. Aquellos empleados en infraestructuras críticas que pueden poner en riesgo la vida y la salud de la sociedad.
4. Aquellos enfocados en la formación educativa o profesional cuando pueden determinar el acceso a la educación y la vida profesional de una persona (como puede ser la calificación de un examen o la selección de un candidato al centro).
5. Aquellos dirigidos a la gestión de los trabajadores y el acceso al empleo.
6. Aquellos dirigidos al acceso y disfrute de servicios esenciales públicos y privados.
7. Aquellos que de cualquier forma pueden interferir directa o indirectamente en los derechos fundamentales.
8. Aquellos destinados a la gestión de la migración, el asilo y el control de fronteras.
9. Aquellos utilizados en la administración de justicia y los procesos democráticos.

Las sanciones por incumplimiento de la Ley de IA pueden suponer, en los casos más graves, la imposición de multas administrativas de hasta 30.000.000 euros o, si el infractor es una empresa, de hasta el 6 % del volumen de negocio total anual mundial del ejercicio financiero anterior.

En cuanto al estado y siguientes pasos de la Propuesta de Ley de IA, tras la propuesta de la Comisión en abril de 2021, la Ley de IA podría entrar en vigor en los próximos meses, siendo aplicable tras un período de transición. El segundo semestre del año 2024 es la fecha más temprana en la que la Ley de IA podría ser de aplicación obligatoria.

A nivel nacional, son varias las referencias a esta tecnología, destacando la reciente mención en el ya derogado Real Decreto-ley 9/2021, de 11 de mayo, por el que se modifica el texto refundido de la Ley del Estatuto de los Trabajadores (ET), aprobado por el Real Decreto Legislativo 2/2015, de 23 de octubre, para garantizar los derechos laborales de las personas dedicadas al reparto en el ámbito de plataformas digitales (este Real Decreto-ley se entiende tácitamente sustituido por la Ley 12/2021, de 28 de septiembre, por la que se modifica el texto refundido de la Ley del Estatuto de los Trabajadores, aprobado por el Real Decreto Legislativo 2/2015, de 23 de octubre, para garantizar los derechos laborales de las personas dedicadas al reparto en el ámbito de plataformas digitales). A través de estas normas, se introduce una nueva letra d) en el artículo 64.4 del ET, relativa a la información a brindar al Comité de Empresa, con la siguiente redacción: «d) Ser informado por la empresa de los parámetros, reglas e instrucciones en los que se basan los algoritmos o sistemas de Inteligencia Artificial que afectan a la toma de decisiones que pueden incidir en las condiciones de trabajo, el acceso y mantenimiento del empleo, incluida la elaboración de perfiles.».

Asimismo, en España se deberá tener en consideración la Carta de los derechos digitales, donde se incluyen nuevos derechos en el ámbito de la IA. Si bien esta Carta no tiene carácter normativo, sí que es un marco de referencia interpretativo para la acción de todos los poderes públicos, y es la guía para el desarrollo de futuros textos legislativos. En particular, en relación con los derechos ante la Inteligencia Artificial, el texto recoge que esta deberá:

• Asegurar un enfoque centrado en las personas y su inalienable dignidad
• Garantizar el derecho a la no discriminación
• Garantizar condiciones de transparencia, auditabilidad, explicabilidad, trazabilidad, supervisión humana y gobernanza.
• En todo caso, la información facilitada deberá ser accesible y comprensible. Deberán garantizarse la accesibilidad, usabilidad y fiabilidad.
• Asegurar el derecho de las personas a solicitar una supervisión e intervención humana y a impugnar las decisiones automatizadas tomadas por sistemas de inteligencia artificial que produzcan efectos en su esfera personal y patrimonial.

Asimismo, cabe resaltar en el ámbito de IA, que recientemente el Gobierno de España y la Comisión Europea han presentado un piloto del primer sandbox regulatorio sobre Inteligencia Artificial (IA), que será desarrollado en España y que se activará próximamente. Se espera que estos resultados derivados de este proyecto piloto faciliten la aplicación de las nuevas normas por parte de las empresas.

Por último, cabe destacar que la Comisión ha propuesto también recientemente, por primera vez, una armonización específica de las normas nacionales sobre responsabilidad civil en materia de IA, facilitando así que las víctimas de daños relacionados con la IA obtengan una indemnización. Se trata de la nueva “Propuesta de Directiva del Parlamento Europeo y del Consejo, relativa a la adaptación de las normas de responsabilidad civil extracontractual a la inteligencia artificial (Directiva sobre responsabilidad en materia de IA)”.

Esta nueva propuesta normativa complementa la Ley de IA al facilitar las demandas de responsabilidad civil subjetiva por daños y perjuicios mediante el establecimiento de una nueva norma de confianza en reparaciones. Su objetivo es, en definitiva, establecer normas uniformes sobre el acceso a la información y la reducción de la carga de la prueba en relación con los daños provocados por los sistemas de IA, estableciendo una protección más amplia para las víctimas (ya sean particulares o empresas) y fomentando el sector de la IA mediante mayores garantías. Las nuevas normas facilitarán, por ejemplo, la obtención de una indemnización si alguien ha sido discriminado en un proceso de contratación que implique tecnología de IA.

Por tanto, hoy más que nunca, es crucial trazar una “Estrategia corporativa de Cumplimiento de los Principios Legales y Éticos requeridos en relación a sistemas de IA Responsable y Confiable” (a fin de poder demostrar diligencia debida y cumplimiento proactivo, en términos de fomento de la IA Confiable en la organización), máxime, tras la reciente creación de la nueva Agencia Española de Supervisión de la IA, mediante la Ley 22/2021, de 28 de diciembre, de Presupuestos Generales del Estado para el año 2022 que, entre otras misiones, tendrá la de establecer y supervisar el cumplimiento de las medidas destinadas a la minimización de riesgos significativos sobre la seguridad y salud de las personas, así como sobre sus derechos fundamentales, que puedan derivarse del uso de sistemas de Inteligencia Artificial.

Lo anterior explica que, en la actualidad, muchas de las principales organizaciones y compañías estén desarrollando “Políticas de IA Confiable y Responsable”, así como “Hojas de Ruta de Cumplimiento Proactivo”, poniendo el foco, con carácter básico, en tres aspectos clave:

• Foco de cumplimiento para el mejor control de los riesgos legales y éticos (AI Compliance): Cumplimiento normativo y ético en torno a la estrategias, soluciones y sistemas de IA que desarrollan y/o utilizan (o tienen proyectado desarrollar/utilizar). 

• Foco Reputacional y Competitivo: Usar los marcos de gobernanza, legales y éticos en este ámbito como baza reputacional y competitiva en el mercado (Relación ESG-Ética de los Negocios/Ética Digital; dotar de mayor confiabilidad en la compañía, sus procesos, servicios y productos, etc.). 

• Foco Económico: Acertar en las inversiones en tecnologías emergentes que se están desarrollando ahora a fin de que estas respondan a los criterios de oportunidad y de transformación requeridos por las compañías, al tiempo que tratar de mitigar de forma proactiva y anticipada los posibles riesgos legales y éticos aplicables.

Por lo tanto, y como conclusión, revisar el actual grado de cumplimiento legal y ético de los sistemas de IA en las empresas (sean estas meras usuarias, o desarrolladoras de los mismos, o ambas), se ha convertido en una asignatura pendiente para muchas compañías, despuntando como una de las grandes prioridades estratégicas para los siguientes meses, por su marcado carácter estratégico, competitivo y reputacional. Usar la ley como aliada competitiva y diferencial es posible y este es, justamente, un ámbito de actuación ideal para explorar cómo hacerlo en favor de nuestra empresa.