Moisés Barrio, letrado del Consejo de Estado, asegura en el II AI Ciber Security Forum que “una IA responsable es aquella que respeta los valores del Derecho europeo y nacional”. El también Doctor en Derecho, profesor y abogado compartió debate con Carmen Muñoz, profesora titular de Derecho Civil (Universidad Complutense de Madrid) y codirectora de la Sección IA Hub España del European Law Institute (ELI), OdiseIA, moderados por Pablo Diaz, Data Protection Officer, de CaixaBank.
Para Moisés Barrio, asesor de Estados y de la UE en regulación digital, experto internacional en Derecho digital y director del posgrado en Legal Tech y transformación digital de la Universidad Complutense de Madrid, una inteligencia artificial responsable supone “hablar de IA que respeta los requisitos que establece el Derecho europeo y nacional aplicable: cumpliendo el Reglamento Europeo de IA (RIA), naturalmente, pero también el resto de las normas que sean aplicables en razón del ámbito afectado por el uso del sistema de IA en cuestión”.
Este jurista, uno de los expertos que participó en el grupo de trabajo que dio lugar al Libro Blanco, origen del RIA, admite que “es lógica la flexibilización de la entrada en vigor del RIA, para permitir que los operadores jurídicos tengan margen suficiente para estudiar las nuevas reglas y ver la mejor forma de llevar a cabo su cumplimiento normativo. En ese escenario el sandbox español será clave para testar dichas tecnologías”.
Pregunta: ¿cuáles son los principales desafíos que están generando la irrupción de la IA y su regulación normativa?
Respuesta: Los desafíos son ya bien conocidos. El propio preámbulo del Reglamento europeo de inteligencia artificial (RIA o AI Act) hace una buena síntesis de los mismos y nos advierte cómo la IA también “puede generar riesgos y menoscabar los intereses públicos y los derechos fundamentales que protege el Derecho de la Unión”, causando perjuicios físicos, psíquicos, sociales o económicos. A mi juicio, los más importantes son los tres que cito a continuación.
Primero, los temas de responsabilidad, especialmente a medida que los sistemas son más autónomos y la supervisión humana está ausente o es meramente formal.
Segundo, los problemas de mala calidad del dato y amplificación de sesgos y discriminaciones: los sistemas de IA pueden perpetuar o amplificar sesgos presentes en los datos de entrenamiento, afectando a minorías y grupos vulnerables.
Tercero, el exceso de recopilación de datos y vigilancia 24x7x365 aumentan las tentaciones de vigilancia masiva y control social.
¿Le parece bien la entrada progresiva del Reglamento de IA?
Durante los trabajos previos en el grupo de expertos que elaboramos el Libro Blanco, origen del RIA, insistí mucho en evitar los errores del RGPD y evitar un “café para todos” en la imposición de obligaciones. Una manifestación de esta flexibilización es precisamente una aplicación progresiva de las disposiciones del Reglamento, para permitir que los operadores jurídicos tengan margen suficiente para estudiar las nuevas reglas y ver la mejor forma de llevar a cabo su cumplimiento normativo.
También quiero citar en este sentido la experiencia del sandbox español de IA, ya en marcha, y uno de cuyos objetivos es precisamente elaborar buenas prácticas sobre las conclusiones obtenidas, así como unas guías técnicas de ejecución y supervisión basadas en la evidencia y la experimentación para buscar la mejor manera de cumplir con el RIA.
¿Cómo debe entenderse el concepto de IA responsable?
Como una IA que respeta los requisitos que establece el Derecho europeo y nacional aplicable: cumpliendo el RIA, naturalmente, pero también el resto de las normas que sean aplicables en razón del ámbito afectado por el uso del sistema de IA en cuestión.
¿Qué espera del anteproyecto del Consejo de Ministros sobre IA ética y responsable? ¿Cree que tiene margen de mejora suficiente en el medio plazo?
La Ley anteproyectada responde fielmente a las habilitaciones del RIA. Sus dos elementos básicos son la designación de las autoridades competentes y el régimen sancionador El Anteproyecto de Ley establece que la futura ley será de aplicación tanto a entidades privadas como del sector público, cuando actúen como operadores, sin apartarse, en cuanto a los detalles de su ámbito subjetivo, de las categorías previstas en la norma europea.
El texto estuvo en audiencia pública para recabar la opinión de los ciudadanos y de las organizaciones más representativas, hasta el 26 de marzo de 2025.A continuación, el texto será informado por los Ministerios y concluirá con el preceptivo dictamen del Consejo de Estado y su aprobación final por el Consejo de Ministros, para su posterior remisión a las Cortes Generales ya como proyecto de Ley.
¿En el Reglamento de IA no dice quién va a gestionarlo en el seno de las empresas, podría ser una nueva obligación del DPO? ¿Quién cree debe ocuparse de ello para lograr esa gestión responsable?
Dependiendo del tamaño de la entidad, el DPO podría asumir las funciones “Chief AI Officer”, aunque la tendencia es crear un puesto independiente porque sus cometidos, en la práctica, van más allá de la supervisión de proyectos tecnológicos. Así viene sucediendo desde varios años en Estados Unidos, tanto en el sector privado como en el público. A nivel comparado, sus grandes responsabilidades son coordinar el uso de IA en la organización, promover la innovación en esta materia y gestionar los riesgos asociados.
¿Cómo valora que en el citado anteproyecto aparezcan distintos reguladores en materia de IA? ‘¿Cómo cree que se van a coordinar AEPD y AESIA en este contexto?
El RIA ha encastrado la regulación de la IA en el ámbito de la seguridad y garantía de los productos, las normas de armonización y el modelo del denominado «Nuevo Marco Legislativo» de 2008.Se trata del marco por el que se establece unas bases comunes para la comercialización, evaluación y vigilancia de productos en la Unión Europea, y el diseño de distintas autoridades de vigilancia del mercado (AVM) es consecuencia del marco europeo establecido en el Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo, de20 de junio de 2019, relativo a la vigilancia del mercado y la conformidad de los productos.
El Anteproyecto tiene que respetar dicha estructura, y hace lo que puede hacer en el marco vigente: crear mecanismos de coordinación que permitan evitar una aplicación diferenciada o incluso contradictoria del RIA. Por eso, es muy positiva la creación de la Comisión mixta de coordinación de autoridades de vigilancia del mercado y la atribución a la AESIA, que es el punto de contacto único con la Comisión Europea, su presidencia, la secretaría y sugestión.
Usted es uno de los creadores de la Carta Derechos Digitales ¿Qué relación vislumbra entre su futuro Observatorio y la irrupción de la IA? ¿Es la IA una amenaza para alguno de los Derechos Digitales de ese documento?
Las tecnologías agrupadas bajo el supra concepto de “inteligencia artificial” ya están mejorando por ejemplo la protección de datos y la privacidad mediante el desarrollo de tecnologías de encriptación más avanzadas, sistemas de anonimización de datos y herramientas de detección de brechas de ciberseguridad. Estas tecnologías pueden ayudar a minimizar los riesgos de exposición de datos personales y asegurar el cumplimiento del principio de minimización de datos del RGPD. Al mismo tiempo, también es crucial asegurar una transformación digital justa y responsable.
Como es natural, el Observatorio de Derechos Digitales tiene que prestar especial atención a los efectos negativos de la IA, y en especial cuando afectan a los derechos fundamentales de los ciudadanos. El objetivo y reto por conseguir es un desarrollo tecnológico alineado con los derechos humanos, la transparencia y el progreso social de todos, no de unos pocos.