Pablo García Mexía, jurista digital: “La regulación de la IA en Europa busca el equilibrio entre la innovación y los derechos fundamentales de los ciudadanos”

Hace ya algo más de tres años que Pablo García Mexía aceptó el reto de dirigir el área de Derecho tecnológico de la firma internacional Herbert Smith Freehills. Ahora, responde al concepto de jurista digital integral que conoce a fondo todos los retos tecnológicos de la abogacía de los negocios.

En esta entrevista, hablamos de la regulación que se avecina de la Inteligencia Artificial (IA), en la que se cruza el modelo garantista europeo con el norteamericano y el chino, así como de los riesgos inherentes al desarrollo de esta tecnología emergente.

“En una encuesta realizada entre 700 expertos mundiales del sector tecnológico del ámbito de la IA, se les preguntó si realmente el riesgo de estos sistemas podría ser existencial para la humanidad, como podría ser la energía nuclear. Solo el 5% de esos 700 expertos cree que esos riesgos son insalvables. En mi opinión, vamos a poder asumirlos, así que recurrir al fatalismo no me parece lógico”, afirma García Mexía. 

Nuestro interlocutor, uno de los abogados de mayor prestigio en el campo del derecho tecnológico, fue uno de los ponentes de la última Cumbre Europea del ICAM, celebrada recientemente en la capital de España. En su mesa, se abordaron los retos regulatorios que está asumiendo la UE, entre ellos, la regulación de la IA a través de un Reglamento, uno de los asuntos que más expectación está generando en los últimos dos años.

“Hablar de la IA, su desarrollo tecnológico en las organizaciones y la regulación que se avecina es una de las cuestiones que más preocupa a expertos en derecho tecnológico, grandes plataformas, gobiernos y entidades públicas o privadas. Nunca he vivido en el entorno digital, a lo largo de mis 20 años de carrera profesional, una intensidad y una profusión del tratamiento de un tema como es el de la IA”.

En este escenario regulatorio, subraya la posición de China: “allí cualquier regulación que pueda referirse a este tema pasa por un filtro previo, que es el del Partido Comunista. Supone un control de los datos desde el aparato de este Partido y así es su modelo, absolutamente incompatible con el nuestro, pero hay que tomarlo en consideración”.

Su despacho organizó, al más alto nivel en Madrid, un seminario sobre el impacto del futuro Reglamento de IA (Imagen: Herbert Smith Freehills)

Los acontecimientos se precipitan

Desde su punto de vista, uno de los rasgos de este entorno relacionado con la IA que se avecina es la velocidad de los acontecimientos, que se producen tanto desde el punto de vista tecnológico como regulatorio. “Hace dos semanas tuvo lugar en Londres una cumbre sobre seguridad en la localidad de Bletchley y, curiosamente, EEUU publicó la orden ejecutiva del presidente Biden precisamente horas antes de su celebración. EEUU presentaba su modelo y no quería dejarle a Europa el protagonismo de estos temas”.

En dicha cumbre, nuestro interlocutor recuerda que “China estuvo presente y firmará la Declaración Final de esta reunión, en la que se insiste en la cooperación entre los Estados firmantes, especialmente científica y de manera continuada. La próxima cumbre será en Corea del Sur en seis meses y la siguiente en Francia, otros seis meses después”.

Sobre el modelo americano, García Mexía subraya que “está bastante definido en dos puntos de vista muy claros. El primero, es el énfasis en la seguridad, especialmente, en la nacional. “Este es un elemento clave que va a marcar la agenda en los próximos años”. Y, el segundo, es “la voluntariedad, basada, no en normas imperativas desde el Estado, sino en meros códigos de conducta elaborados a escala empresarial, a los que, eso sí, las empresas deben adherirse.”

A su juicio, este modelo de EEUU “probablemente ponga en liza lo que puede ser una idea interesante sobre el dominio regulatorio mundial en materia de IA por parte de la UE. Estamos acostumbrados a que el modelo del RGPD impere en el mundo y se ha extendiendo de forma notable. Ahora, EEUU no va a permitir que el modelo europeo que se está regulando se extienda a la IA”.

Desde su punto de vista, “puede pasar que muchos Estados opten también por modelos menos garantistas que el europeo, más laxos, más de códigos de conducta y que permitan que el avance y la innovación sean más claros y se vean menos entorpecidos por las normas horizontales como pueda ser la europea. Habrá que ver cómo evoluciona en el futuro”.

Este experto subraya los últimos acontecimientos de esta semana “donde países como Alemania, Francia e Italia, con peso específico notable dentro de la UE y que son parte del G7, han comenzado a propugnar eventos clave de la propuesta del propio G7, contenida en la declaración de Hiroshima, impulsada por Japón. En ella, a través de once principios, se establece un modelo de código de conducta global basado en la confianza y en la transparencia”.

A su juicio, “son pautas más éticas que regulatorias y aquí es donde entra la propuesta de estos países, en plena negociación de los Trílogos de la UE, aún sin acuerdo, donde la próxima reunión del 6 de diciembre será clave para resolver cuestiones, como el uso de datos biométricos en la IA, la regulación de los riesgos y el propio tratamiento de la IA generativa”.

“La postura de Alemania, Francia e Italia sobre la IA puede retrasar la aprobación del Reglamento de la IA”, afirma García Mexía. (Imagen: Herbet Smith Freehills)

Debate europeo intenso sobre la IA

En este escenario, la propuesta de Alemania, Francia e Italia “apela a la declaración de Hiroshima y al acuerdo recíproco entre estos países donde “no se habla tanto de regular la tecnología en sí, sino de la aplicación que se haga de la tecnología. Este enfoque es determinante porque supone una liberalización de la regulación que se pudiera plantear. De esa forma, se abren mucho las exigencias respecto a los desarrolladores”.

En su opinión, “lo que plantean es descargar en el uso, sobre todo en los aplicadores, que son los que ponen en el mercado los dispositivos, siempre y cuando no sean desarrolladores del peso de la regulación”. Y, por otra parte, apela a los códigos de conducta. “Tratan de liberar la regulación de las sanciones. Esta propuesta puede incidir de forma notable en las negociaciones de los Trílogos en Bruselas. Habrá que ver si este modelo acaba por imponerse ante las pautas más rígidas del modelo europeo que ahora se está negociando”.

La aparición de esta nueva propuesta podría retrasar la aprobación de la AIIA ACT, Reglamento de IA que se esperaba para final de año, de tal forma que la nueva fecha de su entrada en vigor podría terminar coincidiendo con las elecciones europeas de la primavera de 2024.

“Hasta ahora, la soberanía digital regulatoria era europea, a diferencia de la tecnológica, donde, de las 100 mayores empresas tecnológicas mundiales, solo hay 9 empresas europeas. El PIB europeo es el tercero del mundo tras EEUU y China. De ese total, 60 son de EEUU y las siete más grandes son de aquel país, lo que evidencia el escaso éxito tecnológico del modelo regulatorio europeo”.

Para García Mexía, “la extensión del RGPD europeo en la mayor parte del mundo es evidente y no parece que vaya a cambiar mucho con la llegada del Reglamento de IA europeo. De hecho, no podemos olvidar que este RGPD ya incorpora normas en materia de IA, en cuanto a lo concerniente a la gestión de las decisiones automatizadas en las organizaciones. De hecho, este RGPD fue, en su momento, la primera normativa sobre IA del mundo. No parece que a corto plazo vaya a sufrir demasiados cambios”.

La aprobación de este Reglamento de IA vendrá acompañada de la aprobación de dos directivas: una sobre responsabilidad civil extracontractual y otra de responsabilidad civil por daños generados por productos defectuosos. “Hasta que esté en vigor es previsible una vacatio legis de un par de años para que esté plenamente operativo”.

El Parlamento Europeo participa en las negociaciones del Reglamento de la IA. Al parecer, podría tener vacatio legis de dos años. (Imagen: Comisión Europea)

Riesgos claves de la IA

Este contexto regulatorio parece necesario para minimizar los riesgos asociados a la IA en materia de derechos fundamentales, algunos de los cuales, destaca este experto, serían “el problema de la desinformación o de la infoxicación, que es inherente a nuestra sociedad desde hace décadas. El problema se agudizó con la llegada de las redes sociales a principios del siglo XXI. La respuesta de Estados y organizaciones ha sido desigual y es mejorable”.

Ahora con la IA se agudizan estos problemas, lo que “hace casi imposible la detección de las fuentes verdaderas y la distinción de las falsas. Es un problema importante a nivel de derechos fundamentales y de democracia, ya que hay un riesgo crítico para el Estado de derecho y para los países que defienden la libertad”.

Al mismo tiempo, García Mexía ve riesgos notables relacionados con la privacidad: “estos sistemas de IA se nutren de datos. Se habla de que CHATGPT, en su versión 3.5, tendría información que equivale a 45 bibliotecas del Congreso. Su voracidad informativa es enorme, pero la solución no está en prohibir el uso de este y otros sistemas como se hizo en Italia. Los riesgos de privacidad están ahí, lo que ha hecho que los reguladores de algunos países, como es el caso del nuestro, hayan abierto investigaciones”.

Otra cuestión que destaca a nivel de riesgo es que “estos sistemas se nutren de obras que pueden estar protegidas, pero aún más importante es la igualdad, que puede verse mermada por los sesgos que vienen en los algoritmos de estas herramientas. Esto puede generar discriminaciones por razón de edad o sexo que no se pueden permitir. Esta cuestión se puede corregir si se hace un análisis desde el diseño de su implementación, como se he realizado en el RGPD europeo a nivel de tratamientos de datos. Esto ha ayudado a corregir muchas disfunciones”.

Frente a estos riesgos, el papel de los abogados de Herbert Smith Freehills sobre las tecnologías de IA está siendo “de asesoramiento en la implementación interna de pautas efectivas de control de los riesgos que generan este tipo de herramientas, en especial de la propia IA generativa. Ya hay empresas que las utilizan y por eso deben controlar esos riesgos”.

Este jurista, segundo por la derecha, formó parte del panel sobre regulación de la IA que tuvo lugar en la Cumbre de la UE del ICAM recientemente (Imagen: Icam)

España, pionera en iniciativas de IA

En este contexto internacional, el papel de España no ha pasado desapercibido con dos iniciativas a tener en cuenta: la creación del regulador AESIA en materia de IA y, casi al mismo tiempo, la creación del primer sandbox o entorno controlado de pruebas en este tipo de actividad para que las empresas testen su adaptación a la normativa de viene.

“Si bien tengo dudas sobre la operativa de AESIA, como regulador, es posible que se esté yendo demasiado rápido sobre esta cuestión, dado que la tecnología de IA está todavía en sus inicios. Por lo tanto, es posible que sea prematuro conocer el impacto de la misma en la vida de los ciudadanos. El peso en España es de 4.000 millones de euros frente a nuestro PIB, que es un billón quinientos mil millones de euros”, señala Pablo García Mexía.

De hecho, recuerda que “otros países están optando por una enorme cautela y, antes de crear organismos específicos, pensarlo con más calma. Al mismo tiempo, habrá que ver cómo se coordina AESIA con otros reguladores internos nuestros como son la AEPD, máxime cuando la IA funciona sobre la digitalización de los datos. También habrá que ver su coordinación con la CNMC o, en materia laboral, con la Inspección de Trabajo, entre otras cuestiones”.

Respecto al sandbox, “es una iniciativa encomiable y necesaria. Va a ser un elemento clave de ayuda a la implementación de la normativa europea en materia de IA, al mismo tiempo que deja claro cuál debe ser el peso de la regulación que se avecina. Va lo suficientemente rápido para dar certeza y seguridad a estas empresas que están innovando en IA todavía a escala modesta, que suponen el 6% del total que se hace en Europa, lo que hace que tenga un potencial de crecimiento importante”. Sin embargo, ese crecimiento es “lo suficientemente lento como para no ahogar iniciativas de avance tecnológico.”, apunta. 

Desde su punto de vista, “esta iniciativa es un gran acierto. Ya hay decenas de empresas que no lo han dudado y se han lanzado al mismo. Los entornos de prueba son un campo ideal para las materias disruptivas y, en particular, en temas tecnológicos. Empezaron en el campo del Blockchain y ahora se han extendido a otros campos tecnológicos como es el de la IA, donde su utilidad va a ser notable”.

(Imagen: Freepik)

Judicialización de conflictos

En esta conversación que mantenemos con este experto no podemos dejar de hablar de los primeros pleitos judiciales producidos por el uso de la IA, que han enfrentado a empresas que impulsan estas tecnologías con artistas y creadores de contenido, en EEUU. “Es previsible que muchos de estos fallos judiciales influyan en la legislación que ahora se negocia en distintos partes del mundo. Habrá que ver su desenlace”, indica.

Sobre estos asuntos, “hay que subrayar la litigiosidad generada en EEUU en materia de copyright y derechos de autor. Por el momento, no se considera que estos sistemas de IA sean autores de obras, salvo en países como Sudáfrica”.

Al mismo tiempo, “otra cuestión judicializable tiene que ver con los malos usos de la IA generativa, por imprudencias que se han cometido. Esto evidencia que los despachos de abogados la están utilizando para ser más eficientes a nivel interno y mejorar sus relaciones con los clientes. En nuestra organización, Herbert Smith Freehills, lo abordamos con naturalidad y prudencia a nivel de uso. No se prohíbe el uso de la IA generativa a los abogados, hasta tal punto que ahora estamos elaborando nuestra propia herramienta interna”.

Desde su punto de vista, “esta tecnología hay que verla como un apoyo al trabajo de los abogados, nunca como una herramienta que vaya a sustituir su presencia. Hay un debate interno en los bufetes, pero el desarrollo de actividades formativas rompe la resistencia al uso de las mismas. Es un camino sin retorno que debe afrontarse para ser más competitivo”, afirma.

“Hoy por hoy estas herramientas son solo eso, tecnologías que deben tener la revisión de un ser humano. Ese toque humano no lo tendrán estas máquinas porque lo único que hacen es procesar datos y dar soluciones creativas, aunque basadas en la mera probabilidad matemática. El cliente necesita el recurso y asesoramiento cualificado y, sobre todo, humano de personas que, en este caso, somos los abogados”, advierte este jurista.