El 21 de julio de 2023, la Administración Biden y los principales agentes de la industria norteamericana de la Inteligencia Artificial (Amazon, Anthropic, Google, Inflection, Meta, Microsoft y OpenAI) asumieron una serie de compromisos que les deberán guiar en el objetivo de desarrollo adecuado de esta tecnología y de gestión de los riesgos que su uso plantea.
Esta reunión es la última de las iniciativas conjuntas que vienen desarrollándose desde el inicio de la legislatura del actual presidente norteamericano, consistentes en una invitación desde la Administración a la industria de la Inteligencia Artificial, para que inviertan sus mejores esfuerzos en mantener los más altos estándares de responsabilidad para garantizar que la innovación no se haga a expensas de los derechos y la seguridad de los ciudadanos.
Estos compromisos, muy centrados en la ciberseguridad de la IA, se basan en tres principios (seguridad, protección y confianza) que deben ser fundamentales para el desarrollo responsable de dicha tecnología y que deben convertirse en los pilares que inspiren una futura normativa específica sobre un asunto tan estratégico.
En efecto, los compromisos de ciberseguridad (desde el diseño y por defecto) incluyen una serie de acciones consistentes, básicamente, en la realización de pruebas de resiliencia y de hacking ético por parte de expertos independientes, que garanticen la seguridad cibernética de los productos y sistemas con carácter previo a su comercialización y distribución en el mercado, añadiendo aspectos novedosos, tales como la bioseguridad.
Los compromisos de ciberseguridad incluyen una serie de acciones consistentes en la realización de pruebas de resiliencia y de hacking ético
El otro aspecto que complementa estas actuaciones de seguridad desde el diseño, tiene que ver con el de la compartición de información desde la industria privada con el Gobierno, la sociedad civil y las universidades, con tal de diseñar un sistema de buenas prácticas (especialmente técnicas) para la gestión de riesgos.
En lo que respecta a la ciberseguridad por defecto, las compañías asistentes al encuentro de la Casa Blanca se comprometieron a reforzar los aspectos de ciberseguridad, especialmente el riesgo interno de sus propios empleados (insider threat) para proteger, de un lado, la propiedad del modelo de IA y, de otro lado, que dichos modelos únicamente se harán públicos cuando se hayan analizado sus riesgos de seguridad. Todo ello, acompañado de sistemas de auditorías y modelos de bug bounty (third-party Discovery), que permitan descubrir y reportar las vulnerabilidades que se identifiquen en tales modelos y resolverlas de manera rápida y eficaz.
El tercero de los compromisos, y quizás el más complejo y ambiciosos de todos, es el que tiene que ver con ganarse la confianza del público.
Para ello, la industria de la IA se compromete a:
- Reforzar la información y transparencia, de cara a que los usuarios conozcan cuando el contenido que se les muestra ha sido generado por una inteligencia artificial. A estos efectos se propone un sistema de marca de agua que reduzca el riesgo de fraude y engaño, si bien en Europa ya hemos sido testigos de una iniciativa basada en iconos que puede resultar interesante a estos efectos, especialmente en aras a la universalidad de soluciones.
- Las empresas se comprometen a informar públicamente sobre las capacidades, limitaciones y usos apropiado e inapropiado de sus sistemas de IA, incluyendo los riesgos de seguridad y éticos, tales como los efectos sobre la equidad y el sesgo.
- Como refuerzo a esto último, las empresas afectadas asumen el compromiso de priorizar la investigación sobre los riesgos sociales que pueden plantear los sistemas de IA, minimizar los riesgos de discriminación, así como proteger la privacidad.
- Finalmente, la industria se compromete a implementar sistemas avanzados de IA para ayudar a abordar los mayores desafíos de la sociedad actual, lo que va desde la lucha contra el cáncer hasta la protección del medioambiente, y -en cualquier caso- usar la Inteligencia Artificial para contribuir a la prosperidad, la igualdad y la seguridad de todos.
Ahora bien, a pesar de lo razonable de los compromisos tratados, esta iniciativa no ha quedado exenta de críticas. En primer lugar, la ausencia de mujeres en representación de los representantes de esta industria ha sido un aspecto que no ha pasado desapercibido. Otra de las críticas más relevantes ha sido la del New York Times, desde donde se recuerda que las empresas privadas están sometidas al mandato de mejorar sus resultados empresariales, por lo que puede haber serias dudas de que las empresas vayan a cumplir con compromisos de esta naturaleza, sencillamente porque nos le benefician. A estos efectos, para algunos es preferible diseñar una buena regulación, imperativa, que garantice los principios y valores que se pretenden asumir en un documento que, recordemos, carece de fuerza ejecutiva. La experiencia demuestra que este tipo de estrategias de autorregulación persiguen ralentizar, cuando no evitar, la publicación de una normativa que podría ralentizar los buenos resultados de una industria que ha encontrado en la IA un nuevo filón.
En cualquier caso, la visión europea de este tipo de prácticas es positiva, dado que toda medida que sirva para reforzar los derechos de los consumidores y usuarios debe tenerse por una buena noticia. En particular, los temas relacionados con la ciberseguridad (donde normas como el RGPD, la Directiva NIS2 o la próxima cyberresilience Act ya introducen obligaciones como las que ahora asume la industria norteamericana de Inteligencia Artificial) o el refuerzo del derecho de información y transparencia, también recogidos en el futuro Reglamento de Inteligencia Artificial (AI Act). Por supuesto, también los aspectos éticos, en particular los sesgos y el riesgo de discriminación, son asuntos que preocupan, y mucho, al legislador europeo y a otros organismos que, como la UNESCO, insisten en liderar esta materia, y que la futura regulación europea también contempla.
SOBRE LA FIRMA Francisco Pérez Bes es socio en el área de Derecho Digital de Ecix Group y ex Secretario General del Instituto Nacional de Ciberseguridad (INCIBE).