Los cuatro niveles de riesgo de la IA que controlará la Ley aprobada por la UE

Fuenlabrada

El Parlamento Europeo daba luz verde el pasado 13 de marzo por mayoría a la Ley de Inteligencia Artificial con la que se quiere regular el uso y los riesgos que pueda traer su utilización. Es la primera ley al respecto a nivel mundial, un paso importante teniendo en cuenta lo que preocupa en muchos sectores cómo puede afectar a nuestra vida la utilización torticera o delictiva de esta tecnología y la indefensión en muchos casos de las víctimas ante lo difícil que puede ser detectar un engaño elaborado con esta tecnología.

José Antonio Rubio, doctor Ingeniero en Ciberseguridad por la URJC, ha sido una de las que personas participantes en el entorno de pruebas, conocido como ‘sandboxing’, sobre esta Ley, puesto en marcha por la UE hace meses y que forma parte del proceso que ha desembocado en esta norma legislativa.

Rubio recuerda como en 24 meses tendrá que empezar a aplicarse la Ley en los países de la UE y esto, afirma, no es mucho tiempo porque se trata de “un marco normativo de alto rango. Es algo muy complejo, ya que traslada numerosos requisitos para cumplir por las empresas que usan IA, casi todas”. Proveedores, empresas que diseñan y fabrican IA, las empresas usuarias, las instaladoras y las distribuidoras, todos, tienen cosas que cumplir nuevas según marca la Ley.

Los riesgos que contempla la Ley

Esta normativa se divide en cuatro categorías principales en función del riesgo potencial que supongan para la sociedad, riesgo mínimo, limitado, alto riesgo e inaceptable. El riesgo mínimo sería cuando el sistema de IA no ampliara sus fines, entonces “no ocurriría nada”. Por ejemplo, filtros de spam o un videojuego que usa IA. “No hay problema, porque como usuario sé que estoy en un videojuego que utiliza Inteligencia Artificial y no hay riesgo para mis datos, ni nada”, cuenta Rubio. La gran mayoría de los utilizado actualmente en la Unión Europea estarían incluidos aquí.

La categoría de riesgo limitado haría referencia a los asociados con la falta de transparencia. Por ejemplo, sistemas como el chatbot, que funciona en muchas webs, como es el caso de ministerios o bancos. “El regulador dice que tiene que ser transparente frente al usuario para que sepa que el chatbot es un sistema de IA, saber para qué se van a usar los datos, si te puedes negar o no… Es decir, un ejercicio de transparencia”.

En el caso de alto riesgo la cosa se complica porque habrá que tomar y asegurar más garantías para el usuario. Aquí se incluiría la IA utilizada en infraestructuras críticas, empleo, servicios públicos o esenciales, componentes de seguridad en los productos, administración de Justicia y procesos democráticos, entre otros. Estos sistemas de alto riesgo estarán sujetos a obligaciones muy estrictas para su comercialización.

Rubio pone como ejemplo un despacho de abogados donde cuentan con un sistema de IA, por el cual introducen datos de clientes, proveedores, el contexto de los mismos…, y a ese sistema le plantean normas implicadas, propuestas de defensa, etc. Aquí habría que ver los riesgos ante un ataque o intrusión, por eso se considera de riesgo alto”. Este tipo de sistemas, de forma previa a la comercialización, tendrían que tener un análisis de riesgos, valorando qué podría ocurrir y cómo solucionarlo, subraya.

Por último, se contempla el riesgo inaceptable. Se prohíbe diseñar un sistema de Inteligencia Artificial con ciertos fines. “Por ejemplo, un sistema de IA que se incluya en un peluche para dar recomendaciones a niños pequeños”, indica.

La legislación recoge sanciones de diferentes cuantías según el nivel que se contravenga, algunas muy elevadas. De momento, ya existe una Oficina Europea de Inteligencia Artificial para un seguimiento de esta Ley, a la que estarán ligadas las Oficinas similares que deberán crearse en cada país miembro de la UE, con el fin de hacer un seguimiento del cumplimiento normativo.