Cumpliendo una regla no escrita, pero consuetudinariamente aceptada ya por todo el universo de la innovación, Europa se dispone a establecer una regulación precisa, amplia y, seguramente, restrictiva sobre el desarrollo de sistemas de inteligencia artificial.
Los máximos responsables de Gamma, la rama especializada en datos y analítica del Boston Consulting Group (BCG), han revisado el borrador de "más de 100 páginas" publicado a finales de abril por la Unión Europea, para compartir su opinión de que se trata de un documento que expone "un marco de alto nivel", especifica Steven Mills, su jefe de ética IA.
El borrador no se limita a las habituales observaciones sobre cuestiones de sesgos, privacidad y la necesidad de un uso equitativo y justo de los algoritmos.
"Tiene tres grandes componentes. El primero esencialmente es una definición de la IA, muy amplia, como un software que genera predicciones y recomendaciones, incluyendo una variedad de técnicas que va más allá del machine learning, que supongo que es lo que esperábamos la mayoría", señala Mills.
"Incluye cosas como modelos estadísticos, búsqueda y optimización. Lo que significa que no se aplicará exclusivamente a la IA, sino al campo amplio de la analítica", concreta.
El documento advierte que será de aplicación a todos los sistemas IA desarrollados, vendidos, desplegados o utilizados en la UE, lo que sugiere, para Mills, poner en una posición compleja a cualquier multinacional que trabaje con alguien implicado en la construcción de un sistema desde la UE.
"Lo que yo creo que ocurrirá", dice Mills, "como ya vimos con el GDPR [protección de datos personales], es que muchas compañías seguirán estas indicaciones como un estándar global. Así que, aunque estén limitadas a la UE, muchas multinacionales las seguirán globalmente".
Un agujero negro
El fundador y máximo responsable de Gamma, Sylvain Duranton, llama la atención sobre un 'agujero negro' que hasta ahora ocupa el centro de la IA: "Empezamos explorando la literatura y papers académicos para comprender qué se podía hacer y cómo crear una IA responsable…".
No hallaron nada concreto.
"Encontramos más de 60 marcos de trabajo, muy exhaustivos, de la OCDE, ONU, UE, gobiernos, como el de Singapur… Todos explican cuál es el objetivo de una IA responsable y todos cuentan que están haciendo algo diferente. Pero no encontramos un simple papel sobre regulación. Muchas intenciones, pero…", asegura Duanton.
Por eso, para ofrecer a sus clientes una línea de comportamiento responsable, en BCG Gamma empezaron a diseñar sus propias herramientas y procedimientos para hacer con seguridad una IA explicable. Al mismo tiempo lanzaron una encuesta para saber lo que estaban haciendo los demás al respecto.
Y entonces apareció el borrador de la UE.
Mills estima, tomando como referencia el proceso del GDPR, que "llevará 12 meses hasta la ratificación y entre 24 y 36 meses para empezar a tener efecto. Y creo que veremos su influencia de inmediato".
En la segunda parte del documento de la CE, según la disección que hace Mills, se habla de los muchos riesgos que genera la IA. Empezando por los que el regulador considera "inaceptables" y señala, por tanto, como prácticas prohibidas.
En ese capítulo incluye conceptos como la 'puntuación social' (social scoring), técnicas subliminales para alterar comportamientos e identificación biométrica en tiempo real en lugares públicos. Aunque el borrador admite, en esto último, ciertas excepciones por razones de seguridad nacional.
El segundo paquete son las prácticas "de alto riesgo". Define 21 casos de uso específicos de la IA, "a través de ocho áreas como gestión de infraestructuras críticas, educación, empleo… son ámbitos muy amplios, pero cada uno tiene casos de uso muy específicos", indica Mills.
"Por ejemplo, en educación, un caso se refiere a que la IA determine el acceso o el itinerario educativo de la gente", concreta. "Todo lo demás cae en la categoría de riesgo moderado", añade Mills. Es decir, todo uso de la IA puede considerarse de riesgo.
Para lo incluido en el alto riesgo, el borrador de la UE plantea requerimientos muy restrictivos de control y documentación por el lado técnico. "Cosas como asegurarse de que el responsable de datos que implican algún peligro se identifique siempre en el sistema mediante un registro", incide.
Para los usos considerados de riesgo moderado, se plantean unas 'buenas prácticas' estándar, pero se recomienda cumplir voluntariamente los requisitos establecidos para los de alto riesgo.
Sanciones de hasta 30 millones
La tercera pata del documento que desmenuza Mills se refiere al régimen de cumplimiento y sanciones. Se exige "autoauditoria y certificación, con arreglo a estándares, en la documentación técnica. El sistema [de IA] debe declararse a la autoridad regulatoria europea y registrarse en la base de datos de la UE".
"La autoridad regulatoria no existe todavía, la base de datos sí. Y ambas son cosas que quedarán establecidas por la reglamentación", prosigue Mills.
Y lo siguiente es el régimen de sanciones, que ya se especifica en el borrador, para las compañías que incumplan las normas. "Hay multas muy importantes, hasta 30 millones de euros o el 6% de los ingresos anuales globales", detalla el responsable de etica.
En opinión del experto "es muy bueno" que la UE se fije en la casuística, en vez de en la tecnología por sí misma, para definir la IA responsable, incluyendo, aparte de sesgos y equidad, cosas como "calidad de datos, transparencia y supervisión humana". Además, es favorable a exigir el autocontrol en lugar de imponer una auditoria de terceros en todos los casos, que añadiría complejidad y costes para las empresas.
Como contrapunto, Duranton opina que "el tono general de la regulación es bastante sombrío, posicionando la IA como algo superpeligroso. Por supuesto que hay riesgos, pero la regulación es para crear en el público la confianza en que a las compañías no se les permitirá hacer estupideces. Deberíamos evitar un mensaje tan negativo, para que la IA no parezca una amenaza nuclear".
Por otra parte, "en los tecnicismos", el líder de BCG Gamma observa que "hay montones de requerimientos y documentaciones que suponen que siempre necesitarás la luz verde de una agencia para desplegar una IA. Eso significa que probablemente sólo las compañías muy grandes podrán permitírselo. Y ya sabemos cómo juegan algunos gigantes. Esta reglamentación puede ayudar más a las grandes que a las más pequeñas, que son las que buscan otras formas de hacer las cosas y competir".
Insiste en que hay algunas actividades como los recursos humanos o la educación, encuadradas en áreas de "alto riesgo", que tienen gran importancia en las empresas, y en las que hay ya muchas aplicaciones activas de inteligencia artificial. "Hay cierto peligro de que las regulaciones puedan ahogar la innovación", avisa.
Mills concuerda en que hay un riesgo cierto, de que las pymes no puedan afrontar costes y de que algunas compañías de fuera decidan abandonar el mercado europeo.
Esto plantea la duda de si será posible que ciertas compañías estadounidenses, o chinas, pudieran cobrar ventajas competitivas durante el desarrollo de sus IA, sin el peso de la regulación europea y, una vez consolidadas, aprovechar para implantar sus algoritmos más avanzados.
Duranton contesta a D+I que "tal vez los europeos deberían esforzarse por dar una respuesta a eso. Sabemos que tener regulaciones más pesadas que en otras partes del mundo genera desventajas. Por ejemplo, en salud, obtener datos de los sistemas públicos en Europa es muy complejo. En cambio, es más fácil en Oriente, donde tienes proveedores que pueden facilitártelos de diferentes lugares".
"El resultado", prosigue Duranton, "es que buena parte de lo referido a sanidad se desarrolla en Estados Unidos y luego es utilizado en Europa, para pacientes europeos". Implícitamente queda explicado que ni las condiciones sanitarias ni las sociales son coincidentes en diferentes partes del mundo, como para que la IA establezca los mismos patrones de comportamiento o líneas de acción.
Duranton afirma que "en Occidente tenemos la convergencia de software con diferentes regulaciones y deberíamos asegurarnos de no añadir demasiadas capas al sándwich para poder digerirlo". Cree que debe insistirse, a las compañías que quieran operar en Europa, en que deben cumplir la regulación en todo su proceso.
Ambos, Duranton y Mills, coinciden en la necesidad de que exista una regulación para proteger "a las empresas, clientes y ciudadanos" de usos malintencionados de la IA.
Duranton también sugiere que hay una presión social que ayuda a encauzar las cosas. "Los millennials quieren comprar productos de compañías con comportamientos éticos", asevera, citandos un estudio de Aflac. También hay una presión de los propios empleados de las empresas.
Pero, por otra parte, otra consulta de ADP, empresa dedicada a recursos humanos, señala que sólo un tercio de los empleados cree ahora que la IA mejorará su trabajo en cinco años. Otros dos tercios, al oír mencionarla, se sienten ya fuera de su empleo.