La implementación del CHATGPT abre de nuevo el debate sobre los riesgos legales de la Inteligencia Artificial

El grupo de reguladores detrás de la normativa europea de inteligencia artificial (IA), presentada en 2021 y, por el momento, pendiente de aprobación, han compartido una carta abierta en la que se comprometen, entre otras cuestiones, a añadir nuevas reglas a la legislación que estarán «confeccionadas específicamente» para controlar todas esas herramientas que son capaces de generar texto, imágenes o vídeos a partir de un puñado de palabras.

La carta ha sido elaborada a instancias del comunicado firmado por miles de empresarios, académicos y humanistas hace escasas semanas. En esta se apuntaba la necesidad de una paralización en los nuevos desarrollos de inteligencia artificial generativa.

Por su parte en unas recientes declaraciones, la secretaria de Estado de Digitalización e Inteligencia Artificial, Carmen Artigas, ha avisado de que se podría bloquear el acceso a ChatGPT si el servidor incumple las leyes de protección de datos europeas, y ha considerado que «ha saltado demasiado rápido de la fase de investigación a la fase comercial».

Mientras la Agencia Española de Protección de Datos (AEPD) estudia a fondo la herramienta CHATGPT y ha abierto un debate en el Comité Europeo de Protección de datos, desde el Gobierno se indica que el objetivo es impedir que los sistemas de IA tengan acceso a datos delicados: «Las empresas podrán tener responsabilidad sobre un software que es una caja negra para saber si tienen filtraciones o no», ha detallado Artigas.

Un debate abierto intenso

Francisco Pérez Bes, socio de Ecix Group y exsecretario general de INCIBE, no le sorprende el debate abierto sobre el uso de la IA y su implementación: “Hace ya tiempo que vienen manteniéndose debates entre expertos del sector sobre la IA y su impacto en la sociedad”.

“Sin embargo, lo habitual es que cuando la tecnología se visibiliza y se democratiza, como es el caso, los debates y las opiniones se generalizan porque se percibe la cercanía de la implementación de soluciones que van a tener un gran impacto en muchas facetas (técnica, legal, ética, económica, militar…)”, indica Pérez.

A su juicio, “no obstante, esta ocasión la preocupación social sí parece estar justificada, a la vista de las previsiones que se hacen con respecto al impacto que puede tener la IA en el mundo actual, algunas de las cuales llegan a plantear la extinción de la humanidad, y de lo que estamos viendo ya con todas estas herramientas que no dejan de aparecer”.

Francisco Perez Bes, socio derecho digital de Ecix Group y exsecretario general de INCIBE (Foto: E&J)

Para José Leandro Núñez, socio de Audens y miembro de la junta directiva de ENATIC, “este tipo de debates suele suceder con todas las tecnologías que irrumpen en el mercado. Al principio hay cierto respecto o temor a su implementación. Así ha pasado con la IA. El debate está abierto, lo que preocupa son las decisiones que se están tomando quizás demasiado precipitadas. No es tanto prohibir el uso de la innovación que es necesaria para el progreso que, una buena regulación que respete el ordenamiento jurídico y los derechos fundamentales de los ciudadanos”.

Por su parte, Virginia Rodríguez, Directora de Cybersoc de CaixaBank y miembro del Board de ISMS Forum participó en el “XV Foro de la Privacidad de ISMS Forum”, celebrado recientemente en Madrid, debatiendo acerca de la ciberseguridad y el compliance.

A este respecto, Rodríguez comentó que las empresas deben desarrollar modelos proactivos para cumplir con la normativa de protección de datos y supervisar su cadena de suministro de tal forma que los proveedores tengan unos ratios de cumplimiento similares a los suyos.

A su juicio, el compliance ayuda a resolver esa problemática en materia de ciberseguridad donde es necesario contar con herramientas y personal especializado adecuado.

Sobre los riesgos de la IA a nivel de implementación, la directora de Cybersoc señala que “aún no hemos empezado a explotar las posibilidades de la IA, así que gran parte de los riesgos y debates aún no nos vienen a la mente”.

Reglamento IA, un salvavidas

En este contexto, la aparición del Reglamento Europeo de la IA ya en la fase final de su aprobación puede ser un elemento que dé más tranquilidad a este debate que ahora mismo estamos inmersos.

Así lo explica Perez Bes que subraya que “la aparición de una regulación siempre calma los ánimos o, por lo menos, deriva el foco de atención, pasando a aspectos más concretos de técnica normativa, y alejándose de aspectos más prácticos e indeterminados”.

“En esta ocasión, la rapidez en la expansión de la tecnología unido a la lentitud en la tramitación de la norma ha provocado un incremento de preocupación adicional, ante el temor de que por culpa de la IA se desarrollen situaciones que todavía no encuentran una regulación específica, lo que suele generar inseguridad jurídica”, destaca.

Por su parte Núñez ha resaltado que, “es posible que se apacigüen los ánimos. La clave en todo caso tendrá que ver con el contenido de dicho Reglamento de IA. Si se siguen por estos niveles de riesgo de los que se hablaba inicialmente y su clasificación de esos riesgos, que sean inocuos, altos o riesgo soportable, será lo que marque en cada aplicación de la IA. Lo que no podemos olvidar es que esto es una tecnología y las tecnologías dependen del uso que se les den. Las tecnologías son neutras. Lo que no es neutro es el uso que se haga de dicha tecnología”, apunta.

José Leandro Núñez, socio de Audens y miembro de la junta directiva de ENATIC (Foto: E&J)

Sobre esta cuestión Rodriguez indica que “he de confesar que, para responder a esta pregunta, le he preguntado a mi vez a ChatGPT, cuyo resumen final es que representa un paso adelante y promoverá mayor confianza en la inteligencia artificial y el modo que se protegerán los derechos de los individuos. Sin embargo, aún está pendiente ver cómo el reglamento va a ser implementado en la práctica y si permite un balance adecuado entre la necesidad de innovación y la protección de los usuarios”.

Desde su punto de vista “el principal reto es que hay muchos actores que seguro están haciendo inversiones muy grandes en aprovechar las capacidades de Inteligencia Artificial a los que las leyes no les importan, por lo que estoy segura de que intentarán aprovechar esta ventaja competitiva para ir por delante de nosotros encontrando vías de fraude”.

Polémica sobre CHATGPT

Para estos expertos, la polémica sobre el uso del CHATGPT hay que verla en su justo contexto sin posiciones extremas.

Francisco Pérez cree que “hay que analizarlo con la normalidad de que es función de las autoridades de control vigilar que la rápida implementación de una tecnología que no ha sido diseñada para respetar la protección de los datos personales de los ciudadanos europeos se difunda de manera respetuosa con las leyes que le van a resultar de aplicación. En el caso de ChatGPT, la protección de datos puede ser un problema grave. Pero no sólo esta materia debe preocuparnos. Creo que es una cuestión que afectará a muchos derechos humanos”.

Por su parte Leandro Núñez, no oculta que es “un tema complejo, estamos hablando de tecnología disruptiva que sobre todo ha dado un salto muy grande con respecto a tecnologías anteriores de IA que se habían utilizado a efectos de lenguaje natural”. Desde su punto de vista “el salto esta principalmente en que se expresa como un ser humano y una sensación de credibilidad muy alta. No podemos olvidar que la versión que se ha puesto a disposición de la gente es una versión que está en pruebas y que la propia empresa que lo ha publicado señala que su función principal es de evaluación y testeo”.

A su juicio, “la versión que ha utilizado la mayoría de la gente es una aplicación que está en pruebas. Como todo lo que está en pruebas, no puede utilizarse para el tratamiento de datos. El problema es que los usuarios han metido datos personales a esta IA, lo que hace la tecnología es aprender. Creo que al final se ha sacado de contexto cómo se ha hecho y el papel de ciertas autoridades europeas no ha sido muy razonable”.

Para este jurista el tema no es tanto prohibir la herramienta como recordar que su uso no es adecuado para tratamiento de datos personales. “Hay que darse cuentas que muchas de las cosas no es que sean exactas, es que se las inventa. El ChatGPT es un procesador de lenguaje natural no es una base de datos o una Wikipedia”, declara.

En este contexto nuestro interlocutor indica que la reacción de la AEPD sobre esta cuestión “me parece más sensata que la italiana. La italiana ha optado por prohibir, la española por llevarlo al Comité Europeo de Protección de Datos que es donde se tienen que hablar estas cosas. Allí han tomado decisiones sobre otras tecnologías, como fue el caso en su día de Google Maps, que era disruptivo porque sacaba las imágenes de las calles. Allí se logró una solución de consenso para su uso”.

Virginia Rodríguez nos confiesa para contestar a esta cuestión que, “de nuevo, le he preguntado a ChatGPT y en nuestra conversación me ha hecho reflexionar sobre que no debemos de mezclar la tecnología, con el uso que se hace de la misma y lo que es importante es reflexionar sobre la intención de las normas y encontrar modos de ser transparentes con los usuarios y entender muy bien (para poder explicarlo) cómo se procesa y quien tiene acceso (capacidad de aprendizaje) a los mismos”.

Virginia Rodríguez, Directora de Cybersoc de CaixaBank y miembro del Board de ISMS Forum (Foto: CaixaBank)

Riesgos de la IA

Respecto a los riesgos que genera el uso de la IA, Pérez Bes explica que “la rápida aceptación de esta tecnología por parte de ciudadanos y empresas está generando riesgos a la seguridad de las empresas y de su información”. “De nuevo la sensibilización y la concienciación se convierten en protagonistas, porque el usuario se lanza a utilizar una nueva tecnología sin haberse podido analizar cuál puede ser el impacto de su utilización dentro de las organizaciones”, apunta.

A su juicio, “esa es uno de los motivos por los que posicionamiento de las autoridades de control, como en el caso del garante italiano, crean tanto revuelo y abren tantos debates”.

En opinión de Núñez “la toma de decisiones automatizada desde hace años la reflejó ya el legislador en la LORTAD del 1992, es un tema que viene de lejos y que ha sido tratado en profundidad tanto por el Consejo de Europa como por la UE y las propias autoridades de control nacional de cada país”.

Desde su perspectiva “la clave en este aspecto es tener claro los usos que se les da y los riesgos que se incurre con ellos.  Si la toma de decisiones que vas a realizar es mostrar un anuncio u otro de una página web, e un riesgo bajo, pero si son decisiones que impactan sobre los derechos y libertades de la gente como denegar una hipoteca o prohibir la entrada en un país, ahí tiene que haber un control”.

Por eso volvemos a lo que antes comentábamos “no es tanto la tecnología en sí, sino para que vas a aplicarla dicha tecnología basada en IA”.

En el caso de Rodriguez, ella apunta que, “por suerte, el procesado de información (incluso en inteligencia artificial) no se realiza en el éter por lo que hemos aprendido mucho de cómo protegerla”. “Resumiría las claves en: (i) colaboración continuada entre los expertos en seguridad/privacidad para entender todo el flujo de procesamiento de los datos y diseñar una adecuada protección; (ii) Desarrollar una estrategia de minimización de datos; (iii) desarrollar una estrategia de validación continua de controles; y (iv) formar a nuestros empleados y usuarios”, destaca.

Sobre el uso de los algoritmos en la IA y que éstos generen sesgos, estos expertos no creen que la intervención humana sea la única solución a esta cuestión que preocupa y mucho.

“El ser humano es imperfecto. Y salvo que se diseñen procesos de eliminación de sesgos, esas imperfecciones se trasladarán a la tecnología. Lo vimos con los buscadores, con los algoritmos de redes sociales, y lo volvemos a ver ahora”, comente Pérez Bes.

Desde este punto de vista cree que “la intervención humana no es una solución definitiva, precisamente por esa existencia de sesgos intrínseca al ser humano. Pero sí que resulta una medida de control adicional que reduce la probabilidad de que una decisión automatizada pueda provocar daños en las libertades y derechos de las personas afectadas”.

Este jurista reconoce que “adicionalmente, parece inevitable plantearse incrementar la formación y conocimientos en aspectos éticos y filosóficos, a riesgo de no poder encontrar el sentido a esta nueva revolución tecnológica, y seguir innovando sin control.”

A su juicio considera que “una vez visto que la tecnología es capaz de autogenerar código o de crear, asimismo, nueva tecnología, sí que quizás deba preocuparnos el que, en algún momento, acabemos perdiendo el control de la creación de la tecnología”.

(Foto: E&J)

Para José Leandro Núñez “ahora mismo la intervención humana es la única que se utiliza para frenar esos sesgos. SI dejas que la IA aprenda sola va a generar otros sesgos porque existen en la sociedad. El problema esta ahí. La intervención humana es la mejor medida. Se ha identificado como eficaz, sin perjuicio que puedan existir otras que ahora no se conocen”.

Otra cuestión que preocupa a expertos y empresas tiene que ver con los fallos del funcionamiento de estas herramientas de IA, que puede generar en vía judicial cierto tipo de responsabilidad civil que habrá que ver como se cuantifica.

A este respecto, Perez Bes cree que “es pronto para poder disponer de doctrina y jurisprudencia exclusiva de este campo, si bien sí comienzan a vislumbrarse nuevos asuntos relacionados con demandas por daños. En España ya ha habido controversias vinculadas al uso de algoritmos y a la discriminación que su mal uso puede provocar”.

Desde su punto de vista, “Lo que sí podemos esperar es que la generalización del uso de este tipo de tecnologías sin contar con el conocimiento y la formación necesarias, además de sin los procesos adecuados, seguro que irá acompañada de un incremento de la conflictividad, que vaya construyendo una teoría de la responsabilidad clara. Eso lleva tiempo, y no parece que tengamos demasiado”.

Por su parte, Núñez, destaca que “es lo que antes comentábamos, cuando la herramienta se equivoca y da lugar una reacción adecuada puede generar una serie de daños y perjuicios que se pueden exigir en vía civil. A este respecto será fundamental el informe pericial que tengamos para poder acreditar y cuantificar dichos daños”.

Con respecto a los sesgos, esta experta considera que “la respuesta más completa nos la puede decir el propio chat GPT, al que he preguntado y resumo su conclusión en usar datos diversos a la hora de entrenarlo; realizar un análisis de los datos (guiados por expertos) para identificar preventivamente estos sesgos; establecer un proceso de reaprendizaje; utilizar tecnología adecuada anti sesgos; y monitorizar el comportamiento regularmente”.

En cuanto a la relación entre Ciberseguridad e IA, Virginia Rodriguez, cree que las claves para definir una estrategia de ciberseguridad que proteja a este tipo de tecnologías disruptivas pasan por “entender bien el procesado que se realiza los datos y acompañar a los proyectos. Par otro día espero que podamos charlar sobre los usos malintencionados del IA y cómo intentar ir por delante”.