¿Cómo se está pensando la regulación de la inteligencia artificial en Colombia?
Hasta la fecha, en Colombia se han presentado siete proyectos de ley que pretender regular de forma integral el desarrollo y aplicación de inteligencia artificial (IA). Las propuestas van desde la promoción de la transparencia hasta la prevención de riesgos. No obstante, dejan tantas preocupaciones que sugieren que su redacción ha sido apresurada. Este artículo presenta brevemente los proyectos, sus principales líneas temáticas y algunas de esas preocupaciones.
- El proyecto de ley 21/20C buscaba establecer lineamientos de política pública para el desarrollo y uso de IA. Sin embargo, no tuvo ningún avance.
- Tras su retiro, este proyecto fue presentado en tres ocasiones más: 354/21C, 253/22S y 59/23S. Aunque no ha habido avances, el intento más reciente sigue vigente y tiene ponencia positiva para primer debate. Dado que los cuatro textos son idénticos, en adelante me refiero exclusivamente al proyecto 59/23S.
- El proyecto 91/23S establece el deber de información para el “uso responsable” de IA.
- El proyecto 130/23S busca “armonizar” la IA con el derecho al trabajo.
- El proyecto 200/23C busca fijar estándares de protección de derechos humanos.
¿De qué tratan los proyectos?
La definición de la IA
Todos los proyectos proponen una definición de IA. En términos generales, entienden a la IA como un grupo de tecnologías que ejecutan operaciones que replican actividades cognitivas humanas. El problema es que este tipo de definiciones no tienen la precisión necesaria para entender a qué tecnologías aplicarían exactamente las leyes.
Estos conceptos no son parámetros objetivos para entender qué tecnologías estarían reguladas. Los proyectos no dejan claro en qué punto una serie de algoritmos pasaría de ser una herramienta de procesamiento de datos a ser IA. ¿Un sistema que recomienda un video en una plataforma de streaming basado en el historial de un usuario es IA? ¿Lo es un programa que juega ajedrez?
Definir la IA no es fácil. Y si bien el concepto puede ser objeto de discusión y evolución, esta ambiguedad no puede estar en la ley. Las leyes requieren precisión suficiente para generar certeza en su aplicación. Por esto, algunos han propuesto otros enfoques. Por ejemplo, Jonas Schuett del Centro de Gobernanza de la IA propone centrarse en las principales fuentes de riesgos relevantes, distinguiendo entre enfoques técnicos (¿cómo se hace?), como en el caso del aprendizaje por refuerzo presente en sistemas de recomendación; aplicaciones (¿para qué se usa?), como en el reconocimiento facial, y en la capacidades (¿qué puede hacer?), como la habilidad de interactuar físicamente con el ambiente.
Transparencia
El denominador común en estos proyectos es que quieren transparencia. Sin embargo, la buscan de distintas maneras.
Deber de informar. El proyecto 91/23S sostiene que quienes realicen cualquier tipo de actividad económica o académica usando IA deberán informar para qué fue utilizada (Art. 3). De forma similar, el proyecto 130/23S busca obligar a las entidades que utilicen IA para la selección y promoción de trabajadores a informar sobre el uso de algoritmos en dichos procesos (Art. 3).
Este deber ejemplifica el problema de la ambigüedad de la definición antes descrito. ¿Cuándo el uso de software en el marco académico es un uso de IA reportable? La obligación no es clara. Por otra parte, por esta misma ambigüedad, estas normas podrían terminar creando una carga administrativa significativa para las empresas y, en últimas, un desincentivo para adoptar tecnologías.
El 59/23C busca que los responsables del uso y desarrollo de IA expliquen las causas que dan lugar a las decisiones o predicciones de los algoritmos (Art. 14). Por su parte, el proyecto 200/23C busca que se expliquen “los desarrollos, resultados y subprocesos” y “la entrada, salida y funcionamiento de cada componente algorítmico y la forma en que contribuye a los resultados de los sistemas”.
Si bien la transparencia es buena, las propuestas traen desafíos. Primero, la obligación de explicar al público sistemas de alta complejidad técnica no es fácil. Además, estudios han mostrado que explicar este tipo de tecnologías puede afectar la confianza de las personas. Finalmente las obligaciones de explicabilidad también pueden generar una carga administrativa significativa.
Auditoría. El proyecto 200/23C establece que la Superintendencia de Industria y Comercio (SIC) implementará procesos de auditoría de IA. Aquí también hay desafíos: la auditoría requeriría una capacidad técnica que en este momento la SIC no tiene. Además, habría tensiones entre la obligación de transparentar los algoritmos y el derecho de las empresas a mantener secretos comerciales.
Evaluaciones de riesgos. Finalmente, el proyecto 200/23C obligaría a quienes usen e implementen sistemas de IA a publicar una evaluación sobre los riesgos y el impacto que podrían tener dichos sistemas en los derechos humanos.
Prevención de daños
La mayoría de los proyectos proponen medidas para prevenir daños. El proyecto 59/23S propone obligar a quienes usen y desarrollen IA a que eviten los efectos dañinos que estas puedan generar a nivel social, laboral, económico, ambiental y político (Arts. 3 y 18). Además, los desarrolladores serían obligados a realizar pruebas previas que garanticen que no se generen daños (Art. 19). Las obligaciones son importantes, pero el proyecto no establece pautas de evaluación. Por su parte, el proyecto 200/23C establece que los sistemas informáticos que usen IA serán identificados según el nivel de riesgo: nulo, limitado, alto o inaceptable (Art. 6). Sin embargo, no aclara quién debe estar a cargo de tal clasificación.
Curiosamente, el proyecto 130/23S prevé que las entidades que utilicen IA en procesos laborales deberán garantizar la salud de sus empleados y contratistas, evitando que el uso de IA genere enfermedades físicas y psicológicas, como ansiedad o estrés (Art. 11).
Igualdad y no discriminación
La mayoría de los proyectos también contienen disposiciones contra la discriminación. Así, por ejemplo, el proyecto de ley 59/23C se refiere al deber de garantizar igualdad de trato y oportunidades (Art. 11) y el proyecto 130/23S pretende garantizar la imparcialidad en procesos laborales, como la selección de personal y evaluación de desempeño (Arts. 3 y 4).
El proyecto 200/23C prohíbe expresamente la implementación de IA para ciertos propósitos como la calificación de perfiles para el otorgamiento de créditos y la predicción de conductas delictivas. Además, exige que el desarrollo de IA se haga “con perspectiva de género y diversidad sexual” (Art. 4) y sin dividir o enfrentar a las personas ni promover la violencia (Art. 5). Si bien esta clase de disposiciones tienen buenas intenciones, pueden llevar a arbitrariedades. Lo que para una persona es justicia, para otra puede ser una cuestión de debate y opinión. Lo que para una persona constituye violencia inaceptable para otra puede ser un ejercicio legítimo de la libertad de expresión.
Protección de datos personales
Los proyectos contienen disposiciones clásicas sobre protección de datos personales.
Consentimiento informado. Los proyectos requieren el consentimiento informado de las personas para el uso de sus datos personales en el desarrollo y uso de IA (Arts. 12, 13, 22, 23, 24 y 25 del proyecto 59/23S y Art. 10 del proyecto 200/23C).
Como las normas se refieren al uso de datos en el “desarrollo” de IA, serían aplicables a los procesos de entrenamiento de los sistemas de IA, que a menudo utilizan grandes conjuntos de datos que pueden contener inmensas cantidades de datos personales (como, por ejemplo, el nombre y nacionalidad de Angela Merkel). Exigir autorización para cada dato haría imposible el entrenamiento de estos sistemas.
Seguridad de los datos. Las entidades que usen datos personales deberán asegurar su seguridad (Art. 10 del proyecto 130/23, Art. 4 del proyecto 200/23C). El proyecto 200/23C prohíbe la transferencia de “datos personales destinados al uso e implementación” de los sistemas de IA, salvo que el riesgo sea nulo. Además, el proyecto 59/23S establece que el uso de datos personalísimos (como la voz y el ADN) da a los titulares de tales datos el derecho de exigir una indemnización de perjuicios y los réditos obtenidos sin su consentimiento (Arts. 22 y 25).
Estándares, registros y avales
Estándares. Los proyectos encargan a instituciones estatales de crear estándares para el uso y desarrollo de IA. El proyecto 59/23S quiere crear una Comisión de Tratamiento de Datos y Desarrollos con Inteligencia Artificial (Arts. 4 y 5) que deberá crear reglamentos técnicos para la IA. El proyecto 130/23S encarga a tres ministerios de emitir recomendaciones de armonización entre el uso de IA y las funciones humanas en el ámbito laboral. Y el proyecto 91/23S quiere encargar al gobierno de diseñar un marco ético para guiar el desarrollo y evaluación de sistemas de IA generativas que operen y se implementen en Colombia (Art. 4).
Algunos proyectos van un paso más allá y definen directamente algunos estándares. Por ejemplo, el proyecto 59/23S establece que el desarrollo e implementación de IA “no podrá tener como objetivo diferente el del bien común” (Art. 3). Por su parte, el proyecto 200/23C establece que las entidades públicas y privadas sólo podrán usar programas informáticos si se cumplen con principios como los de la “preservación irrestricta de la dignidad”.
El problema con estas disposiciones es que son ambiguas. Lo que es ético es, en gran medida, una cuestión subjetiva, y encargar al gobierno de turno de definir estos estándares genera incertidumbre y arbitrariedad. También es subjetivo lo que se entiende por el “bien común” o la “preservación irrestricta de la dignidad”. Por eso, restringir los desarrollos a lo que cumpla con tales propósito podría llevar a la prohibición, por ejemplo, de desarrollos legítimos como Perreología, un sistema de IA que buscar predecir hits musicales.
Registros y avales. El proyecto 59/23S quiere que los desarrollos de IA estén registrados ante el Ministerio de Ciencia (Art. 30). Sin embargo, no señala cuál sería el fin de dicho registro, ni da pistas sobre qué exigiría, ni las consecuencias de no registrarse.
El proyecto 200/23C obliga a las empresas a registrar sus modelos de AI en una plataforma administrada por la SIC, quien deberá certificar que los modelos “se encuentren ajustados a derechos humanos”. Aquí aplican las mismas preocupaciones por la ambigüedad de las normas y la posible arbitrariedad en su aplicación. Finalmente, si entendemos que estas normas aplican a todos los servicios de IA a los que pueda accederse desde Colombia (independientemente de dónde sean desarrollados o estén albergados), la carga administrativa de estas instituciones sería excesiva.
La afirmación de lo humano
La mayoría de los proyectos afirman la prevalencia de lo humano. El proyecto 59/23S propone que la IA tenga como propósito la preservación del ser humano (Art.10). Además, establece que toda decisión de IA será “auditable, revisable y controvertible por la decisión humana”, la cual prevalecerá sobre los resultados de la IA (Art. 3). El proyecto 130/23S establece que las entidades que hagan uso de IA para dirigir y evaluar a sus empleados y contratistas deberán asegurar “la prevalencia de la inteligencia humana sobre la artificial” (Art. 4). Además, las instituciones educativas podrán implementar programas con el fin de lograr “que prevalezca la inteligencia humana sobre la artificial”(Art. 7). De manera similar, el proyecto 200/23 establece que toda decisión tomada por IA será “susceptible de revisión humana” (Art. 4).
Hacer cumplir este tipo de obligaciones es practicamente imposible, sobre todo si se espera que sean revisables todas las decisiones tomada por todas las tecnologías de IA accesibles desde Colombia. Y, de nuevo, ¿qué es IA?
Otros temas
La protección del trabajo. Dos proyectos establecen obligaciones para proteger el trabajo humano, obligando a las entidades que usen IA a recualificar a sus empleados y contratistas para mantener la mayor cantidad de trabajos posibles (proyecto 130/23S) o a reubicar a los trabajadores por un término mínimo de seis meses (proyecto 200/23C).
El ambiente y el cambio climático. Curiosamente, la mayoría de los proyectos se refieren —sin mayor desarrollo— a la necesidad de preservar el entorno ambiental y combatir el cambio climático (Arts. 7, 8 y 10 del proyecto 59/23S, Arts. 4, 5 y 14 del proyecto 200/23C).
Desinformación. El proyecto 59/23S obligaría a los responsables del uso, desarrollo e implementación de IA a realizar controles para verificar la veracidad de los datos y resultados.
Regímenes de responsabilidad. El proyecto 200/23C da a las personas que se crean afectadas por el uso de IA el derecho a presentar reclamaciones, de solicitar la revocatoria de las decisiones y de pedir medidas cautelares (Art. 4, 8 y 14). El proyecto 59/23S contiene disposiciones sobre responsabilidad contractual y extra contractual (Arts. 28 y 29). En el segundo caso, establece un régimen de responsabilidad objetiva (es decir, responsabilidad independientemente de sí hubo negligencia).
Edad mínima. La edad mínima para usar e implementar IA será de 18 años según el proyecto de 200/23C. Con esta redacción en los colegios no se podría enseñar a programar sistemas de IA y los menores no podrían acceder a redes sociales.
Educación. El proyecto 200/23C propone formación para servidores públicos (Art. 22) y campañas de prevención para estudiantes (Art. 23). El proyecto 130/23S propone que las instituciones educativas implementen programas de armonización en el uso de IA y el talento humano (Art. 7). Y el proyecto 91/23S propone incentivos para la creación de proyectos educativos y de investigación (Art. 5) y promueve la cooperación internacional para ese fin (Art. 8). Además, busca que el gobierno cree campañas de capacitación para la ciudadanía (Art. 6).
Actividades excluidas. El proyecto 200/23C contiene una lista de actividades excluidas (Art. 13) entre las que se encuentran el reconocimiento de emociones y la influencia en votantes.
* * *
Los proyectos reflejan un deseo importante por abordar preocupaciones clave relacionadas con la IA. Sin embargo, la ambigüedad en las normas, la potencial carga administrativa y la falta de procedimientos claros serían desafíos en la implementación efectiva de la regulación.