Ha pasado casi un año desde que la Comisión Europea dio a conocer el borrador de lo que bien podría ser uno de los marcos legales más influyentes del mundo: la Ley de IA de la UE. Según la Fundación Mozilla, el marco aún está en proceso y ahora es el momento de participar activamente en el esfuerzo para dar forma a su dirección.
La misión declarada de la Fundación Mozilla es trabajar para garantizar que Internet siga siendo un recurso público abierto y accesible para todos. Desde 2019, la Fundación Mozilla ha centrado una parte importante de sus programas de creación de movimientos de salud en Internet en la IA.
Nos reunimos con el director ejecutivo de la Fundación Mozilla, Mark Surman, y con el investigador principal de políticas, Maximilian Gahntz, para analizar el enfoque y la postura de Mozilla sobre la IA, los datos clave sobre la Ley de IA de la UE y cómo funcionará en la práctica, así como las recomendaciones de Mozilla para mejorarla y las formas para que todos se involucren en el proceso.
La Ley de IA de la UE está en camino, y es un gran problema, incluso si no tiene su sede en la UE.
En 2019, Mozilla identificó la IA como un nuevo desafío para la salud de Internet. La razón es que la IA toma decisiones por nosotros y sobre nosotros, pero no siempre con nosotros: puede decirnos qué noticias leemos, qué anuncios vemos o si calificamos para un préstamo.
Las decisiones que toma la IA tienen el potencial de ayudar a la humanidad pero también de dañarnos, señala Mozilla. La IA puede amplificar el sesgo y la discriminación históricos, priorizar el compromiso sobre el bienestar del usuario y consolidar aún más el poder de Big Tech y marginar a las personas.
«La IA confiable ha sido clave para nosotros en los últimos años porque los datos y el aprendizaje automático, y lo que hoy llamamos IA, son un tejido empresarial técnico y social central de lo que es Internet y cómo se cruza con la sociedad y todo lo demás». nuestras vidas», señaló Surman.
A medida que la IA impregna cada vez más nuestras vidas, Mozilla está de acuerdo con la UE en que es necesario un cambio en las normas y reglas que rigen la IA, escribe Gahntz en la reacción de Mozilla a la Ley de IA de la UE.
Lo primero que se debe tener en cuenta sobre la Ley de IA de la UE es que no se aplica exclusivamente a organizaciones o ciudadanos con sede en la UE. La onda expansiva se puede sentir en todo el mundo de manera similar al efecto que tuvo el RGPD.
La Ley de IA de la UE se aplica a usuarios y proveedores de sistemas de IA ubicados dentro de la UE, proveedores establecidos fuera de la UE que son la fuente de la comercialización o puesta en servicio de un sistema de IA dentro de la UE, y proveedores y usuarios de sistemas de IA establecidos fuera de la UE cuando los resultados generados por el sistema se utilicen en la UE.
Eso significa que las organizaciones que desarrollan e implementan sistemas de IA tendrán que cumplir con la Ley de IA de la UE o retirarse de la UE por completo. Dicho esto, hay algunas formas en las que la Ley de IA de la UE es diferente del RGPD, pero hablaremos de eso más adelante.
Otro punto clave sobre la Ley de IA de la UE es que todavía es un trabajo en progreso y llevará un tiempo antes de que entre en vigencia. Su ciclo de vida comenzó con la formación de un grupo de expertos de alto nivel que, como señaló Surman, coincidió con el enfoque de Mozilla en la IA confiable. Mozilla ha estado siguiendo de cerca la Ley de IA de la UE desde 2019.
Como señaló Gahntz, desde que se publicó el primer borrador de la Ley de IA de la UE en abril de 2021, todos los involucrados en este proceso se han estado preparando para participar. El Parlamento de la UE tuvo que decidir qué comités y qué personas de esos comités trabajarían en él, y las organizaciones de la sociedad civil tuvieron la oportunidad de leer el texto y desarrollar su posición.
El punto en el que estamos ahora es donde comienza la parte emocionante, como dijo Gahntz. Aquí es cuando el Parlamento de la UE está desarrollando su posición, considerando los aportes que recibe de los comités designados, así como de terceros. Una vez que el Parlamento Europeo haya consolidado lo que entiende bajo el término IA confiable, presentará sus ideas sobre cómo cambiar el borrador inicial.
Los Estados miembros de la UE harán lo mismo, y luego habrá una ronda final de negociaciones entre el Parlamento, la Comisión y los Estados miembros, y ahí es cuando la Ley de IA de la UE se convertirá en ley. Es un camino largo y sinuoso y, según Gahntz, estamos contemplando un horizonte de un año como mínimo, más un período de transición entre la aprobación de la ley y su entrada en vigor.
Para GDPR, el período de transición fue de dos años. Por lo tanto, probablemente no será antes de 2025 hasta que la Ley de IA de la UE entre en vigencia.
Definición y categorización de sistemas de IA
Antes de entrar en los detalles de la Ley de IA de la UE, debemos detenernos y preguntarnos a qué se aplica exactamente. No existe una definición ampliamente acordada de IA, por lo que la Ley de IA de la UE proporciona un Anexo que define las técnicas y enfoques que caen dentro de su alcance.
Como señaló el Instituto de Ética de la IA de Montreal, la Comisión Europea ha optado por una definición amplia y neutral de los sistemas de IA, designándolos como software «que se desarrolla con una o más de las técnicas y enfoques enumerados en el Anexo I y puede, para un determinado conjunto de objetivos definidos por humanos, generan resultados tales como contenido, predicciones, recomendaciones o decisiones que influyen en los entornos con los que interactúan».
Las técnicas mencionadas en el Anexo de la Ley de IA de la UE incluyen enfoques de aprendizaje automático y enfoques basados en la lógica y el conocimiento. Son muy amplios, hasta el punto de suscitar críticas por «proponer regular el uso de la estimación bayesiana». Si bien navegar entre las necesidades comerciales y de investigación y las preocupaciones de los ciudadanos es muy delicado, tales afirmaciones no parecen captar la esencia de la filosofía de la legislación propuesta: el llamado enfoque basado en el riesgo.
En la Ley de IA de la UE, los sistemas de IA se clasifican en 4 categorías según el riesgo percibido que plantean: Los sistemas de riesgo inaceptable están completamente prohibidos (aunque se aplican algunas excepciones), los sistemas de alto riesgo están sujetos a reglas de trazabilidad, transparencia y solidez, los sistemas de bajo -los sistemas de riesgo requieren transparencia por parte del proveedor, y los sistemas de riesgo mínimo para los que no se establecen requisitos.
Entonces, no se trata de regular ciertas técnicas, sino de regular la aplicación de esas técnicas en ciertas aplicaciones de acuerdo con el riesgo que presentan las aplicaciones. En cuanto a las técnicas, el marco propuesto señala que pueden ser necesarias adaptaciones a lo largo del tiempo para mantenerse al día con la evolución del dominio.
Quedan excluidos del ámbito de aplicación de la Ley de IA de la UE los sistemas de IA desarrollados o utilizados exclusivamente con fines militares. Las autoridades públicas de terceros países y las organizaciones internacionales que utilizan sistemas de IA en el marco de acuerdos internacionales de cooperación policial y judicial con la UE o con uno o más de sus miembros también están exentos de la Ley de IA de la UE.
Las aplicaciones de IA que manipulan el comportamiento humano para privar a los usuarios de su libre albedrío y los sistemas que permiten la puntuación social por parte de los Estados miembros de la UE se clasifican como riesgos inaceptables y están totalmente prohibidos.
Los sistemas de IA de alto riesgo incluyen identificación biométrica, gestión de infraestructura crítica (agua, energía, etc.), sistemas de IA destinados a la asignación en instituciones educativas o para la gestión de recursos humanos, y aplicaciones de IA para el acceso a servicios esenciales (créditos bancarios, servicios públicos, servicios sociales). beneficios, justicia, etc.), uso para misiones policiales así como gestión migratoria y control de fronteras.
Sin embargo, la aplicación de la identificación biométrica incluye varias excepciones, como la búsqueda de un niño desaparecido o la localización de sospechosos en casos de terrorismo, trata de seres humanos o pornografía infantil. La Ley de IA de la UE dicta que los sistemas de IA de alto riesgo deben registrarse en una base de datos mantenida por la Comisión Europea.
Los sistemas de riesgo limitado incluyen en su mayoría varios bots. Para ellos, el requisito clave es la transparencia. Por ejemplo, si los usuarios están interactuando con un chatbot, deben ser informados de este hecho, para que puedan tomar una decisión informada sobre si continuar o no.
Finalmente, según la Comisión, los sistemas de IA que no supongan un riesgo para los derechos de los ciudadanos, como los filtros de spam o los juegos, están exentos de la obligación regulatoria.
La Ley de IA de la UE como una forma de llegar a una IA confiable
La idea principal detrás de este enfoque basado en el riesgo para la regulación de la IA recuerda un poco al enfoque aplicado para etiquetar los dispositivos eléctricos domésticos en función de su eficiencia energética en la UE. Los dispositivos se clasifican en función de sus características de eficiencia energética y se les aplica una etiqueta que va de la A (mejor) a la G (peor).
Pero también hay algunas diferencias importantes. Lo más destacado es que, si bien las etiquetas energéticas están destinadas a ser vistas y tenidas en cuenta por los consumidores, la evaluación de riesgos de los sistemas de IA no está diseñada con el mismo objetivo en mente. Sin embargo, si Mozilla se sale con la suya, eso puede cambiar para cuando la Ley de IA de la UE entre en vigencia.
Dibujar analogías siempre es interesante, pero lo que es realmente importante aquí es que el enfoque basado en el riesgo está tratando de minimizar el impacto de la regulación en quienes desarrollan e implementan sistemas de IA que son de poca o ninguna preocupación, dijo Gahntz.
«La idea es centrar la atención en las partes donde se complica, donde se introduce un riesgo para la seguridad, los derechos y la privacidad de las personas, etc. Esa es también la parte en la que queremos centrarnos porque la regulación no es un fin en y de sí mismo.
Queremos cumplir con nuestras recomendaciones y nuestro trabajo de incidencia en torno a esto. Las partes de la regulación que se enfocan en mitigar o prevenir la materialización de los riesgos se fortalecen en la Ley final de IA de la UE.
Hay muchas analogías que se pueden establecer con otros enfoques basados en el riesgo que vemos en la legislación y la regulación europeas en otros lugares. Pero también es importante observar los riesgos que son específicos para cada caso de uso. Eso básicamente significa responder a la pregunta de cómo podemos asegurarnos de que la IA sea confiable”, dijo Gahntz.
Gahntz y Surman enfatizaron que las recomendaciones de Mozilla se han desarrollado con cuidado y la debida diligencia que se necesita en este proceso para garantizar que nadie resulte perjudicado y que la IA termine siendo un beneficio neto para todos.
Continuaremos con una elaboración de las recomendaciones de Mozilla para mejorar la Ley de IA de la UE, así como la filosofía subyacente de IA confiable y la Teoría del cambio de IA y cómo participar en la conversación en la parte 2 de este artículo.