La Inteligencia Artificial como objeto de regulación para la protección de los derechos de las personas
En los últimos tiempos se está hablando mucho de Inteligencia Artificial (IA), probablemente muy hilado al éxito de ChatGPT, y sin perjuicio de las iniciativas a nivel estatal enmarcadas en la Estrategia Nacional de Inteligencia Artificial y en el desarrollo del Componente 16 del Plan de Recuperación, Transformación y Resiliencia. A la espera del definitivo Reglamento de Inteligencia Artificial de la Unión Europea, algunas Comunidades Autónomas están avanzando en el diseño de su marco regulatorio.
Es el caso del Decreto-ley 2/2023, de 8 de marzo de medidas urgentes de impulso a la inteligencia artificial en Extremadura, que, según su propia Exposición de Motivos, “tiene por objeto el establecimiento del marco esencial de las medidas destinadas al apoyo, promoción, impulso y desarrollo de los sistemas de inteligencia artificial regulando los ámbitos principales de aplicación de ésta”. Norma que, entre otras cuestiones regulatorias, presenta algunos avances en relación al uso de la IA por parte de la administración pública autonómica.
Con carácter previo a entrar en su análisis y ante la pluralidad de interpretaciones, definiciones y aproximaciones que se formulan cuando se habla de Inteligencia Artificial (IA), debemos comenzar centrando la aproximación conceptual, a cuyos efectos utilizaremos la definición acuñada por el Grupo de Expertos en Inteligencia Artificial de la Comisión Europea, se aplica a aquellos «sistemas que muestran un comportamiento inteligente al analizar su entorno y al realizar acciones, con cierto grado de autonomía, para lograr un objetivo específico». Sin perjuicio del recogido en la Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial, adoptada por la Comisión en el 21 de abril de 2021 (Reglamento de Inteligencia Artificial). según el cual podemos identificar como «sistema de inteligencia artificial» o «sistema de IA»: un sistema concebido para funcionar con elementos de autonomia que, a partir de datos e informacion generados por maquinas o por seres humanos, infiere la manera de alcanzar una serie de objetivos, utilizando para ello estrategias de aprendizaje automatico o estrategias basadas en la logica y el conocimiento, y produce informacion de salida generada por el sistema, como contenidos (sistemas de inteligencia artificial generativa), predicciones, recomendaciones o decisiones, que influyen en los entornos con los que interactua el sistema de IA.
Una vez establecido un marco conceptual fijemos unas líneas básicas, sin perjuicio de las ya citadas. Tendríamos la figura de las actuaciones administrativas automatizadas, de alcance y efectos muy limitadas, recogidas en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que ha dado lugar a los primeros y tímidos avances en la aplicación práctica en la gestión pública.
Será ya un instrumento de soft law la Carta de Derechos Digitales, la que en el año 2021 al reconocer los “Derechos digitales de la ciudadania en sus relaciones con las Administraciones Publicas”, contempla como tales los siguientes:
- Que las decisiones y actividades en el entorno digital respeten los principios de buen gobierno y el derecho a una buena Administracion digital, asi como los principios eticos que guian el diseno y los usos de la inteligencia artificial.
- La transparencia sobre el uso de instrumentos de inteligencia artificial y sobre su funcionamiento y alcance en cada procedimiento concreto y, en particular, acerca de los datos utilizados, su margen de error, su ambito de aplicacion y su caracter decisorio o no decisorio.
La ley podra regular las condiciones de transparencia y el acceso al codigo fuente, especialmente con objeto de verificar que no produzca resultados discriminatorios.
- Obtener una motivacion comprensible, en lenguaje natural, de las decisiones que se adopten en el entorno digital, con justificacion de las normas juridicas relevantes, tecnologia empleada, asi como de los criterios de aplicacion de las mismas al caso. El interesado tendra derecho a que se motive o se explique la decision administrativa cuando esta se separe del criterio propuesto por un sistema automatizado o inteligente.
- Que la adopcion de decisiones discrecionales quede reservada a personas, salvo que normativamente se prevea la adopcion de decisiones automatizadas con garantias adecuadas.
A los que añade la necesaria evaluacion de impacto en los derechos digitales en el diseno de los algoritmos en el caso de adopcion de decisiones automatizadas o semiautomatizadas.
Un año después, se publica la Ley 15/2022, de 12 de julio, integral para la igualdad de trato y la no discriminación, que introduce la primera regulación positiva de la inteligencia artificial en España, alineada con las Directrices europeas. Conforme al artículo 23 de la mencionada norma, las administraciones públicas que utilicen algoritmos para la toma de decisiones, están obligadas a favorecer la puesta en marcha de mecanismos para que dichos algoritmos tengan en cuenta criterios de minimización de sesgos, transparencia y rendición de cuentas, siempre que sea factible técnicamente. Para ello, en estos mecanismos se incluirán su diseño y datos de entrenamiento, y abordarán su potencial impacto discriminatorio, mediante la realización de evaluaciones de impacto que determinen el posible sesgo discriminatorio.
Finalmente, debemos poner de relieve, a la espera de la aprobación del Reglamento europeo de IA, la Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital (2023/C 23/01) y la aprobación y entrada en vigor en noviembre de 2022 de dos Reglamentos UE muy trascendentes en este campo: el Reglamento de servicios digitales y el de Mercados digitales.
Medidas de impulso a la inteligencia artificial: el Decreto-ley 2/2023, de 8 de marzo, de Extremadura: algunos elementos a destacar
La norma resultará de aplicación al sector público autonómico, pero debemos tener en cuenta su carácter informador para el conjunto de las entidades del sector público, sobre las cuales procede poner el foco en determinados aspectos, comenzando por la apuesta por la alfabetización y formación en materia de inteligencia artificial. Todos somos conscientes de la existencia de una profunda brecha digital, en todas sus dimensiones, brecha que, en términos de IA, se multiplicará y que debe reducirse en un futuro en el que las actuaciones administrativas se basen en tecnología de IA, para lo cual es preciso actuar en una triple línea:
- Adopción de medidas para la alfabetización de la sociedad en materia de inteligencia artificial basándose en el aprendizaje, uso y aplicación de las herramientas de la inteligencia artificial, promoviendo el desarrollo de capacidades emprendedoras, creativas, sociales y culturales.
- Promoción de actuaciones de formación de trabajadores y trabajadoras en materia de inteligencia artificial e impulso a medidas de apoyo a las empresas que desplieguen planes de formación y capacitación en la materia.
- Acciones formativas para los empleados públicos.
La norma contempla la importancia de la colaboración público-privada en este ámbito y para ello potenciará mecanismos de colaboración público-privada para el desarrollo de herramientas, tecnologías y servicios en torno al uso de la inteligencia artificial, así como la transferencia de conocimiento a la sociedad, de sus aplicaciones y usos, que se ven reforzadas con las “Iniciativas de inversión de inteligencia artificial de interés general y prioritario”.
Y precisamente por lo innovador del uso de la IA y el factor disruptivo que supone, apuesta por la creación de Sandboxes: espacios controlados de pruebas para la inteligencia artificial, en los que se podrán probar y evaluar sistemas de inteligencia artificial, antes de ser lanzados al mercado, para garantizar su seguridad y eficacia, minimizando el riesgo de daños a terceros. Espacio controlado de pruebas que, en coherencia con la inclusión de la colaboración público-privada, estará a disposición de empresas y administraciones públicas y organizaciones que desarrollen sistemas de IA en su ámbito territorial, así como de aquellos que quieran probar sistemas ya existentes, simulando entornos reales de uso.
Posibilidades de uso de la inteligencia artificial en el marco de la gestión pública: sistemas de IA en la toma de decisiones
El Capítulo IV del Decreto-ley se destina específicamente a regular la “Utilización de la inteligencia artificial por parte de la Administración pública autonómica”, con una premisa de partida: que dicha utilización favorezca la eficacia y eficiencia en la gestión de los servicios públicos.
Establece también que los mecanismos para que la utilización de sistemas de IA redunde en beneficio de la función de los empleados públicos, expresión que podría entenderse no del todo afortunada por la doble lectura que podría tener, si bien su interpretación debe realizarse en el sentido de que facilite también su eficacia y eficiencia en el desempeño de sus tareas y funciones.
Uno de los aspectos más controvertidos en el ámbito de la gestión pública se produce en el uso de los sistemas de IA en la toma de decisiones en el marco de un procedimiento administrativo, que deberá realizarse de acuerdo con los Derechos digitales de la ciudadanía en sus relaciones con las Administraciones Públicas, conforme al marco descrito.
Para ello, añade una serie de exigencias a los requisitos previstos en el artículo 41 LRJSP para la utilización de las AAA, como cualquier acto o actuación realizada íntegramente a través de medios electrónicos por una Administración Pública en el marco de un procedimiento administrativo y en la que no haya intervenido de forma directa un empleado público, que requiere el previo establecimiento del órgano u órganos competentes, según los casos, para la definición de las especificaciones, programación, mantenimiento, supervisión y control de calidad y, en su caso, auditoría del sistema de información y de su código fuente. Asimismo, se indicará el órgano que debe ser considerado responsable a efectos de impugnación.
En dicho sentido y para promover la conocida transparencia algorítmica, el Decreto-ley exige la publicidad de una serie de datos que garanticen la debida transparencia:
- Del mecanismo de decisión
- De las prioridades asignadas en el procedimiento de evaluación y de la toma de decisiones,
- Así como de todos los datos que puedan impactar en su contenido.
En todo caso, y de conformidad con el apartado 1 del artículo 23 de la Ley 15/2022, de 12 de julio, deberán favorecer la puesta en marcha de mecanismos para que los algoritmos involucrados en la toma de decisiones que utilice tengan en cuenta criterios de minimización de sesgos, transparencia y rendición de cuentas siempre que sea factible técnicamente. En estos mecanismos se incluirán su diseño y datos de entrenamiento, y abordarán su potencial impacto discriminatorio.
A tal fin, se promoverá la realización de evaluaciones de impacto que determinen el posible sesgo discriminatorio, como examinaremos en el siguiente apartado, de la mano de las primeras auditorías en el uso gubernamental de los algoritmos.
Garantías para la utilización de la IA en los procedimientos administrativos: el resultado de las primeras auditorías
Una de las grandes preocupaciones, que representa un vector permanente en los trabajos para la elaboración del Reglamento Europeo, es conseguir que la IA sea fiable mediante el cumplimiento de tres características: lícita, ética y robusta (Directrices éticas para una IA fiable). A dichos efectos, y en el contexto de la actuación de las entidades del Sector Público, la norma recoge en su art. 12 una serie de garantías para la utilización de la IA en los procedimientos administrativos.
Impacto del uso de sistemas de inteligencia artificial en la prestación de los servicios públicos
La regulación de los respectivos procedimientos administrativos deberá contener referencia expresa al impacto del uso de sistemas de IA en la prestación de los servicios públicos que, en su caso, soporten la asistencia en la presentación de solicitudes, declaraciones responsables o comunicaciones, la comprobación o verificación de los requisitos de los interesados, así como la toma de decisiones. Nos encontramos ante uno de los usos más comunes en la gestión pública, mediante técnicas de Robotic Process Automation (RPA).
Validación y gestión de riesgos
La información es un elemento clave, de ahí que en el Inventario de Información Administrativa, será necesario dejar constancia sobre las validaciones realizadas por el órgano responsable de los procedimientos administrativos respecto del proceso lógico diseñado para la realización de los actos, los riesgos que implica y cualesquiera otros aspectos que garanticen los derechos de los interesados.
Este tema resulta clave, tal y como se ha podido comprobar en la experiencia de Países Bajos, donde tras la auditoría realizada por el Tribunal de Cuentas sobre 9 algoritmos utilizados por el Gobierno holandés, el resultado no ha sido demasiado satisfactorio: 6 algoritmos no cumplen, pues se ha detectado un control inadecuado del impacto del algoritmo, filtraciones de datos y accesos no autorizados.
El uso responsable de los algoritmos por parte de las agencias gubernamentales es posible, pero no siempre es el caso en la práctica. El Tribunal de Cuentas de los Países Bajos descubrió que 3 de los 9 algoritmos que auditó cumplían con todos los requisitos básicos, pero los otros 6 no lo hicieron y expusieron al gobierno a varios riesgos: desde un control inadecuado sobre el rendimiento y el impacto del algoritmo hasta sesgos, fugas de datos y accesos no autorizadados
Como consecuencia de esta auditoría, el Tribunal formulaba una serie de recomendaciones:
- Analiza el caso de que los algoritmos se subcontraten o se compren a un proveedor externo, supuesto en el que se requiere la debida documentación los acuerdos sobre su uso y haga arreglos efectivos para monitorear el cumplimiento de manera continua.
- Es preciso asegurar que los algoritmos y los datos necesarios para su funcionamiento estén protegidos por controles generales de TI efectivos.
- Para prevenir el riesgo de sesgo en el modelo o como resultado de su uso, aconseja verificar regularmente, tanto durante el diseño como durante el uso de los algoritmos, para detectar sesgos, a fin de evitar cualquier variación sistémica indeseable en relación con individuos o grupos de individuos específicos.
Como vemos, pone el acento en los aspectos que vienen preocupando con carácter general, como es la posible “captura” por proveedores externos, los riesgos de sesgos y la falta de garantías de los derechos de las personas.
Conclusiones: la necesaria regulación de la garantía de los derechos digitales en la disrupción tecnológica
A la espera de la necesaria regulación europea en el ámbito de la IA se están sucediendo diferentes movimientos a nivel regulatorio, como el analizado Decreto-ley extremeño, que pueden desenfocar el verdadero valor de la IA en la gestión pública o generar desigualdades en función de aquellos territorios que cuentan con un marco legal a aquellos que no. Sin olvidar que todavía no ha culminado, en muchos casos, el proceso de transformación digital, piedra angular para seguir avanzando en la introducción de la IA en la gestión pública.
Un ejemplo muy reciente, es la prohibición realizada por el Garante per la Protezione dei Dati Personali en Italia, la autoridad de protección de datos italina, de usar ChatGPT por infringir el Reglamento Europeo de Protección de Datos (RGPD), por entender que carece de base jurídica que justifique “la recopilación y el almacenamiento masivo de datos personales para entrenar los algoritmos de CahtGP”, que abre el debate al conjunto de Estados miembros de la Unión Europea, al basar su decisión en una norma común.
Como hemos analizado, en España contamos con un instrumento general, como es la Carta de Derechos Digitales, que suponiendo un gran avance, necesita un desarrollo normativo, el propio instrumento, cuando en garantía de los derechos en los entornos digitales, establecía el deber de promover mecanismos de autorregulacion, control propio y procedimientos de resolucion alternativa de conflictos, con la prevision de incentivos adecuados para su utilizacion con arreglo a la normativa vigente y la evaluacion de las leyes administrativas y procesales vigentes a fin de examinar su adecuacion al entorno digital y la propuesta en su caso de reformas oportunas en garantia de los derechos digitales. Con una última prescripción de gran relevancia, cuando recoge el mandato al Gobierno de adoptar las disposiciones oportunas, en el ambito de sus competencias, para garantizar la efectividad de la Carta.
Mientras tanto, esperamos contar pronto con el Reglamento Europeo de IA que ofrezca un marco común regulador, al fin y al cabo la opción de un Reglamento frente a Directiva, nos permite advertir la necesidad de contar con una herramienta regulatoria que garantice los derechos de las personas en un entorno la disrupción tecnológica, expuesto a constantes e impredecibles cambios y, en consecuencia, de difícil encaje en normas de corte tradicional.
