María Villegas Bravo, Becaria en Derecho. EPIC
El 13 de marzo, el Parlamento de la Unión Europea aprobó la Ley de Inteligencia Artificial (“Ley de IA” o “la Ley”), dando el penúltimo paso en un proceso legislativo que duró años. Propuesta originalmente a principios de 2021, la amplia ley basada en daños clasifica los sistemas de inteligencia artificial según los riesgos preconcebidos para los derechos fundamentales, la seguridad pública y la salud pública en sistemas prohibidos, de alto riesgo o de bajo o ningún riesgo. Dependiendo de la categoría, la Ley (1) prohíbe que la tecnología se comercialice y despliegue, (2) establece salvaguardias obligatorias y responsabilidades legales en toda la cadena de suministro del sistema de IA, o (3) recomienda la instalación de un código voluntario. de conducta. Para obtener un resumen detallado de las disposiciones de la Ley de IA, consulte nuestro análisis reciente que resume la Ley.
Entonces, ¿dónde encaja la Ley de IA dentro del vasto ecosistema de leyes de privacidad y tecnología de la Unión Europea (“UE”)? Esta publicación (1) proporciona una explicación superficial de la ley de protección de datos de la UE para contextualizar la Ley de IA, (2) analiza lo bueno, lo malo y lo feo de sus disposiciones, y (3) proporciona conclusiones clave para los legisladores que buscan implementar la legislación sobre IA en los Estados Unidos.
Ley de protección de datos de la UE para no iniciados
La UE y su sistema legislativo son notoriamente burocráticos y difíciles de entender en el primer contacto. Esta sección ofrece un vistazo a los mecanismos básicos del actual régimen de protección de datos de la UE para contextualizar mejor la Ley de IA.
La UE es una unión supranacional compuesta por 27 países, denominados estados miembros, cuyo objetivo principal es regular el comercio. Se basa en varios tratados, así como en la Carta de Derechos Fundamentales de la UE, y es similar al sistema de gobierno federal de los Estados Unidos. En un nivel muy simplificado, el sistema gubernamental de la UE consta de un poder ejecutivo (la Comisión), el poder legislativo (el Parlamento y el Consejo) y el poder judicial (con el Tribunal de Justicia de la Unión Europea (TJUE) como órgano tribunal superior). La ley de la UE es similar a la ley federal de los EE. UU. en el sentido de que, cuando surge un conflicto entre la ley de la UE y la ley de los estados miembros, la ley de la UE prevalecerá y puede prevalecer sobre la ley de los estados miembros.
En particular, el régimen de protección de datos de la UE sirve como modelo integral para la legislación sobre privacidad en todo el mundo. La UE aprobó el Reglamento General de Protección de Datos (“GDPR”) en 2016 para garantizar el derecho fundamental a la privacidad y la protección de datos consagrado en la Carta de Derechos Fundamentales de la UE, la contraparte de la UE a la Declaración de Derechos. El supuesto central del RGPD es que es ilegal procesar datos personales a menos que exista una base legítima para hacerlo, generalmente el consentimiento del interesado, derechos contractuales y/o una de las otras bases de procesamiento enumeradas explícitamente y enumeradas en el artículo 6.
El RGPD define tres grupos de personas:
- Responsable del tratamiento: Persona natural o jurídica (una entidad) que toma decisiones sobre cómo procesar datos personales.
- Procesador de datos: Una persona física o jurídica (una entidad) que procesa datos personales en nombre de los controladores (puede ser la misma entidad que el controlador). El procesamiento incluye cualquier operación realizada con datos personales, como la recopilación, el registro, la estructuración, el uso, la divulgación, la supresión o la destrucción. La definición de procesamiento es muy inclusiva y casi cualquier interacción con los datos puede constituir procesamiento.
- Titular de los datos: Persona física que es o puede ser identificada por los datos personales objeto de tratamiento.
Los interesados tienen varios derechos con respecto a sus datos personales, incluido el derecho a acceder a los datos que pueda tener un controlador o procesador, el derecho a corregir dichos datos y el derecho a eliminarlos en determinadas circunstancias. Estos derechos se suman a los derechos fundamentales preexistentes del interesado en virtud de la Carta de la UE, incluidos los derechos a la no discriminación, la libertad de pensamiento, la libertad de expresión y la libertad de reunión. A su vez, los responsables y encargados del tratamiento tienen obligaciones y responsabilidades para garantizar los derechos de los interesados.
Sin embargo, el GPDR no se aplica al procesamiento de datos personales por parte de las fuerzas del orden; en cambio, sí lo controla la Directiva sobre las fuerzas del orden. La Directiva sobre aplicación de la ley refleja fielmente el RGPD, ya que las dos leyes se redactaron de manera concertada, pero las dos divergen notablemente en cuanto a los derechos de los interesados y los requisitos de transparencia debido a la limitación de la UE a la hora de regular las medidas de seguridad nacionales. Esta limitación es una característica clave de la Ley de IA, que da lugar a repetidas excepciones para la aplicación de la ley y el control fronterizo en sistemas de IA que de otro modo estarían altamente regulados o prohibidos.
La Ley de IA: un estudio de caso sobre la regulación de la IA
La Ley de IA es heterogénea en lo que respecta a protecciones prácticas, debido en parte a su estructura basada en los daños y a los extensos debates previos a su aprobación. Ambos resultaron en algunas protecciones debilitadas y un alcance más limitado. Para darle crédito a la Ley de IA por sus fortalezas, identificar áreas de mejora y señalar problemas graves, hemos dividido nuestro análisis en Lo bueno, lo malo y lo feo.
LO BUENO
El sistema de categorización de la Ley de IA llama la atención sobre categorías de sistemas de IA peligrosos contra los que EPIC se ha opuesto durante mucho tiempo. En particular, EPIC aplaude la prohibición total de los sistemas de puntuación social, las herramientas de reconocimiento emocional en el contexto escolar y laboral,[1] ciertas herramientas policiales predictivas,[2] y los sistemas que rastrean Internet para crear o aumentar bases de datos de reconocimiento facial. [3] La UE también incluyó una amplia gama de algoritmos en su categoría de alto riesgo altamente regulada, reconociendo que estos sistemas afectan profundamente los derechos fundamentales. En particular, EPIC aplaude la categorización de algoritmos relacionados con beneficios públicos,[4] la vigilancia estudiantil en el contexto educativo,[5] y el reconocimiento emocional en general como de alto riesgo. La Ley de IA también reconoce que las autoridades policiales y de control fronterizo son las entidades con más oportunidades de violar los derechos fundamentales de los residentes de la UE y garantiza que las herramientas destinadas a su uso estén altamente reguladas. Tanto las categorías prohibidas como las de alto riesgo se evaluarán anualmente para garantizar que la Ley seguirá protegiendo los derechos fundamentales, la salud pública y la seguridad pública.
Dentro de las obligaciones para los sistemas de IA de alto riesgo, la Ley de IA incluye protecciones de los derechos civiles en sus disposiciones sobre datos de entrenamiento. La Ley exige que los datos y conjuntos de datos utilizados para entrenar los sistemas de IA estén etiquetados adecuadamente, sean representativos de la población que el sistema de IA pretende analizar y estén lo más libres de errores posible. Esto es para garantizar que los modelos sean lo más precisos posible al analizar los datos de entrada. Los proveedores de modelos de IA de propósito general (“GPAI” o “modelos GPAI”), como los modelos de lenguaje de gran tamaño, también deben publicar un resumen suficientemente detallado del contenido en el que se entrena el modelo para garantizar que las personas puedan hacer valer sus derechos. Estos derechos exigibles incluyen protecciones de derechos de autor de la UE, derechos de privacidad y derechos civiles, así como otros derechos legales bajo la legislación de los estados miembros y la legislación de la UE.
Es importante destacar que existen varios niveles de sistemas de evaluación para los sistemas de IA de alto riesgo, incluidos requisitos sólidos de evaluación de riesgos, que EPIC frecuentemente señala como un mecanismo clave de rendición de cuentas. En primer lugar, todos los sistemas de IA de alto riesgo deben someterse a una evaluación de impacto sobre los derechos fundamentales (“FRIA”) antes de ser comercializados y/o implementados. La FRIA incluye:
- Una descripción del uso previsto del producto de IA;
- El período de tiempo dentro del cual se implementará el producto de IA;
- Las personas físicas o grupos que puedan verse afectados por el uso previsto del producto y el riesgo específico de daño a esas personas;
- Una descripción de los procedimientos de mitigación de riesgos, incluidas las medidas de supervisión humana;
- Instrucciones para los implementadores sobre cómo utilizar el sistema adecuadamente; y
- Instrucciones sobre cómo tomar medidas correctivas si dichos riesgos se materializan durante la implementación del producto.
Estas FRIA deben transmitirse a la autoridad reguladora correspondiente antes de que el sistema de IA se comercialice o se ponga en servicio. En segundo lugar, los proveedores del sistema de IA también deben crear y mantener un sistema de gestión de riesgos, que es un “proceso continuo e iterativo planificado y ejecutado durante todo el ciclo de vida de un sistema de IA de alto riesgo, que requiere revisión y actualización sistemáticas”. Este sistema de gestión de riesgos debe identificar riesgos conocidos y razonablemente previsibles para los derechos fundamentales, la salud o la seguridad, tanto cuando el sistema se utiliza para el fin previsto como para cualquier mal uso razonablemente previsible del sistema. El proveedor debe tomar medidas correctivas específicas para mitigar los riesgos identificados por el sistema de gestión de riesgos.
Una vez que el sistema de IA esté en uso, el proveedor debe, además del sistema de gestión de riesgos, implementar un sistema de vigilancia posterior a la comercialización, así como políticas y procedimientos para garantizar la calidad continua del sistema de IA. El sistema de vigilancia posterior a la comercialización supervisa el despliegue del sistema de IA para detectar incidentes graves, que incluyen la muerte de una persona o daños graves a su salud, una alteración grave o irreversible de infraestructuras críticas, el incumplimiento de obligaciones derivadas del Derecho de la Unión destinadas a proteger derechos fundamentales derechos humanos y/o daños graves a la propiedad o al medio ambiente. El proveedor debe contar con procedimientos para informar incidentes graves a los organismos reguladores correspondientes. El proveedor también debe regular todos los aspectos del procesamiento de datos, incluida la adquisición, recopilación, análisis, etiquetado, almacenamiento, retención y otros, para garantizar que el algoritmo reciba datos de alta calidad durante su ciclo de vida.
La Ley de IA también incorpora varios niveles de requisitos de transparencia para una supervisión adecuada. En primer lugar, la Ley de IA incorpora requisitos de transparencia entre proveedores e implementadores de sistemas de IA para confirmar que el sistema de IA se utiliza de acuerdo con el propósito previsto. Los proveedores deben capacitar a los implementadores cuando sea necesario, así como proporcionar documentación técnica del sistema de inteligencia artificial y sus operaciones del marco de gestión de riesgos. En segundo lugar, los proveedores también deben incluir registros de auditoría en los sistemas de IA de alto riesgo para registrar las operaciones del sistema de IA, garantizando que el sistema de gestión de riesgos y todas las medidas de supervisión realicen un seguimiento de lo que realmente está ocurriendo a nivel técnico. En tercer lugar, los organismos reguladores a cargo de la supervisión externa de estos sistemas tienen la autoridad (y la autorización, cuando se trata de autoridades policiales) para solicitar la documentación técnica y los registros de auditoría para que puedan actuar como supervisión y revisión significativas del sistema de IA. En cuarto lugar, la Ley de IA exige una base de datos pública de todos los sistemas de IA de alto riesgo, incluida información sobre el propósito previsto, un resumen de los resultados de la FRIA realizada antes del despliegue, el funcionamiento básico y la lógica operativa del sistema, e información sobre los proveedores y los implementadores. Esta base de datos también incluirá sistemas de inteligencia artificial de alto riesgo para las fuerzas del orden y el control fronterizo, pero cualquier dato confidencial de las fuerzas del orden se registrará en una sección no pública de la base de datos. Permitirá a los residentes de la UE saber cómo y cuándo se ven afectados sus derechos y a los organismos reguladores controlar eficazmente el mercado. Esta base de datos es similar a una propuesta de la Oficina de Gestión y Presupuesto de la Casa Blanca en su borrador de orientación sobre la reciente Orden Ejecutiva sobre IA de la Administración Biden, así como al inventario de casos de uso de IA disponible públicamente del Departamento de Justicia de EE. UU.
Lo más importante es que la Ley de IA consagra específicamente los derechos de acción privados. Permite a cualquier persona cuyos derechos fundamentales se hayan visto afectados por el sistema presentar una queja ante la autoridad de vigilancia del mercado correspondiente. La Ley también permite que cualquier persona solicite una explicación de por qué el implementador tomó una acción cuando la decisión se basó en el resultado de un sistema de inteligencia artificial y afectó la salud, la seguridad, los derechos legales y/o los derechos fundamentales de la persona. Un derecho de acción privado es clave porque permite una aplicación generalizada por parte de individuos que están en la mejor posición para reivindicar sus derechos a mayor velocidad que la que pueden proporcionar los grandes y sobrecargados organismos reguladores. De hecho, en Estados Unidos, los derechos de acción privados han sido el método más eficaz de regulación de las Big Tech. Por ejemplo, el derecho de acción privado de la Ley de Privacidad de la Información Biométrica de Illinois ha sido fundamental para controlar el uso indebido y el abuso de la información biométrica en todo Estados Unidos, en particular con las huellas faciales subyacentes a la tecnología de reconocimiento facial.
LO MALO
La estructura y el enfoque generales de la Ley de IA dificultan la regulación de los modelos GPAI y el software de código abierto. El sistema de categorización se basa en el uso previsto del sistema de IA, pero, por definición, es poco probable que los modelos GPAI entren en las categorías prohibidas o de alto riesgo porque pueden usarse para varios tipos diferentes de tareas. Originalmente, los modelos GPAI y los sistemas de IA de código abierto ni siquiera estaban dentro del alcance de la Ley de IA. En cambio, el Consejo y el Parlamento se comprometieron en el último minuto a regular la GPAI donde los niveles de riesgo se basaran simplemente en el tamaño, más que en el propósito. Todas las GPAI tienen algunos requisitos básicos de transparencia y evaluación, pero sólo las GPAI suficientemente grandes tienen requisitos regulatorios amplios. La GPAI es peligrosa, particularmente la IA generativa, pero la Ley de IA apenas aborda este tema.
Del mismo modo, el software de código abierto rompe fundamentalmente la cadena de responsabilidad creada por el sistema de proveedores e implementadores de la Ley de IA. El software de código abierto se comercializa (de forma gratuita o a cambio de un valor) expresamente para permitir que otras entidades modifiquen el software y lo utilicen para fines distintos a los previstos por el creador original. La Ley de IA intenta abordar esta cuestión exigiendo que cualquier persona que modifique sustancialmente un sistema de IA se convierta en el nuevo proveedor del sistema, asignando así todas las responsabilidades y obligaciones que conlleva el título. Sin embargo, esta ruptura en la cadena puede eliminar por completo un sistema de IA de una categoría prohibida o de alto riesgo (eliminando cualquier obligación por parte de cualquiera de los proveedores), crear una pesadilla para los organismos reguladores y liberar al proveedor original de la IA. sistema de cualquier responsabilidad por las iteraciones del sistema que crearon.
A nivel práctico, no está claro cómo las empresas que crean sistemas de IA sabrán dónde se ubican sus sistemas en el sistema de categorización y qué desencadena el cumplimiento. Tal como está escrito, la carga de decidir si un sistema de IA está prohibido o es de alto riesgo recae en los proveedores. Cuando se les da la oportunidad, las empresas harán todo lo posible para evitar las regulaciones, especialmente porque la Ley de IA conlleva una alta carga de cumplimiento. Las empresas argumentarán que el propósito previsto de su sistema de IA no entra en una categoría prohibida o de alto riesgo y se atendrán a ese argumento hasta que los tribunales demuestren lo contrario. Esto expone a los residentes de la UE a sistemas de IA que no cumplen con las normas hasta que el sobrecargado sistema regulatorio de la UE identifique y penalice a los proveedores o un residente de la UE presente una queja formal bajo el derecho de acción privada después de que sus derechos ya hayan sido infringidos.
Además, si bien existen disposiciones que exigen que los sistemas de IA de alto riesgo sean supervisados por humanos, no existe una prohibición explícita de automatizar los sistemas de gestión de riesgos y otros mecanismos de supervisión destinados a mitigar los riesgos. Como medida de reducción de tiempo y costos, las empresas pueden recurrir a software automatizado para participar en los sistemas de gestión de riesgos, a menos que se indique explícitamente lo contrario. Esto dará lugar a incidentes que no se reportan y/o falsos positivos, como se ve en otros mecanismos de supervisión, como el software de detección de fraude en beneficios públicos y los algoritmos de moderación de contenido de las redes sociales. El uso de sistemas automatizados también aumenta el riesgo de que el mecanismo de supervisión experimente una falla mecánica y experimente tiempo de inactividad, lo que lleva a períodos de tiempo en los que el sistema no será monitoreado para detectar incidentes graves. Si bien los humanos no necesitan revisar y monitorear manualmente todo el sistema de IA constantemente, la revisión humana es crucial para garantizar una mitigación de riesgos efectiva y continua dentro del sistema de IA.
LO FEO
La Ley de IA falló en el manejo de algoritmos relacionados con la información biométrica, en particular los sistemas de identificación biométrica. Si bien la prohibición de la identificación biométrica remota en tiempo real en espacios públicos con fines policiales es un paso importante en la dirección correcta, las excepciones se tragan la regla. Al incluir una excepción importante para que las fuerzas del orden utilicen la tecnología en determinadas circunstancias, no prohibirla para actores privados y relegar la identificación biométrica remota en tiempo no real en espacios públicos a la categoría de alto riesgo, la Ley de IA diluye aún más el espíritu de la prohibición al permitir que las fuerzas del orden creen un ecosistema de vigilancia masiva bajo la apariencia del Derecho de la Unión. Finalmente, la verificación biométrica procesa exactamente los mismos datos confidenciales que los sistemas de identificación biométrica, pero están explícitamente exentos de la categorización de alto riesgo.
La identificación biométrica es el uso de datos biométricos para vincular a una persona con una identidad, normalmente utilizando un algoritmo de coincidencia de uno a muchos. Tolerar la identificación biométrica remota y en tiempo real en lugares públicos por cualquier motivo condona la creación de un estado de vigilancia masiva. Al prohibir únicamente la identificación biométrica remota en tiempo real con fines de aplicación de la ley, la Ley de IA permite a los actores privados e incluso al gobierno (con fines no relacionados con la aplicación de la ley) construir un ecosistema de vigilancia masiva donde se erosiona la privacidad en público. Los actores privados pueden establecer sistemas de reconocimiento facial que escanean transmisiones públicas de CCTV en vivo para rastrear a las personas en tiempo real. Esto aceleraría el grave daño que empresas como PIM Eyes han traído al mundo, permitiendo mayores capacidades de acecho y acoso. Las entidades privadas a menudo están sujetas a menos controles y obligaciones sobre el uso de nuevas tecnologías más allá de la seguridad y aptitud básicas y tienen menos obligaciones legales de defender los derechos fundamentales en comparación con los actores gubernamentales. La prohibición tal como está escrita es para fines de aplicación de la ley, no solo cuando las propias autoridades encargadas de hacer cumplir la ley son los proveedores/implementadores, por lo que, en teoría, las fuerzas del orden no podrían comprar estos datos a actores privados. Pero el hecho de que exista esta laguna significa que se abusará de ella. Incluso si en determinadas circunstancias se prohíbe a las fuerzas del orden utilizar esta tecnología, hay ejemplos recientes de organismos encargados de hacer cumplir la ley que mienten al público y utilizan software de inteligencia de todos modos. Los funcionarios encargados de hacer cumplir la ley también podrían utilizar el software en violación de la ley sin la supervisión de sus jefes.
Además, prohibir la identificación biométrica remota en tiempo real pero relegar la identificación biométrica remota en tiempo no real a la categoría de alto riesgo permite un ecosistema de vigilancia masiva porque los datos se recopilarán independientemente de si las autoridades policiales acceden a ellos en tiempo real. O no. La tecnología de reconocimiento facial es, con diferencia, la forma más común de identificación biométrica remota que puede ampliarse eficazmente con fines policiales. Las cámaras CCTV utilizadas para esto deben estar instaladas monitoreando los espacios públicos antes de que puedan usarse junto con los sistemas de reconocimiento facial regulados, lo que lleva a un monitoreo constante de si los sistemas de IA están involucrados o no. Además, la distinción entre identificación remota en tiempo real y no real es vaga, lo que permite a las autoridades encargadas de hacer cumplir la ley margen de maniobra y discreción para utilizar la tecnología al máximo de sus capacidades, de manera incompatible con la ley. Si la infraestructura está en su lugar, las autoridades encargadas de hacer cumplir la ley, incluidos los agentes individuales, harán mal uso y abusarán de los sistemas.
La excepción en la prohibición de la identificación biométrica remota en tiempo real en espacios públicos con fines policiales es demasiado amplia y contradice directamente el espíritu de la prohibición. Las fuerzas del orden utilizarán cualquier excusa para cobrar de más a las personas hasta alcanzar la sentencia mínima de cuatro años de prisión requerida para utilizar estos sistemas de identificación. Incluso si no se hace mal uso o abuso del sistema, la vigilancia masiva erosiona fundamentalmente los derechos civiles. Para ejercer adecuadamente el derecho de reunión y el derecho a la libertad de expresión, el gobierno debe proteger la privacidad intelectual de un individuo y su derecho a la privacidad en público. Es poco probable que las autoridades judiciales, a quienes se les exigirá firmar órdenes que permitan a las autoridades utilizar esta tecnología, protejan estos derechos debido a la gran deferencia que se les brinda a los funcionarios encargados de hacer cumplir la ley. La UE es principalmente un organismo comercial y no tiene amplia autoridad para infringir los poderes de seguridad nacional de los estados miembros. Debido a esta falta de autoridad, el estándar “necesario y proporcionado” que utiliza el TJUE para equilibrar los derechos humanos a nivel de la Unión y los intereses de seguridad nacional a nivel de los Estados miembros a menudo otorga una amplia deferencia a la discreción de las autoridades encargadas de hacer cumplir la ley para ejecutar sus deberes. Sin embargo, ha habido una tendencia en los casos del TJUE en los que la UE ha invadido intereses de seguridad nacional, incluido un fallo que limitó la retención masiva de metadatos. Esta incertidumbre en los tribunales significa que la única manera de garantizar de manera confiable la protección de los derechos humanos a nivel de la Unión es prohibir explícitamente los casos de uso dañinos como la identificación biométrica remota en tiempo real en espacios públicos sin ninguna excepción. Hay otros medios menos invasivos para rastrear a personas peligrosas que apuntar cientos de cámaras a la plaza pública.
Por último, los datos biométricos, como las huellas dactilares y faciales, son datos muy sensibles, ya sea que se procesen para algoritmos de comparación uno a muchos o uno a uno. A pesar de esto, la Ley de IA exime específicamente la verificación biométrica, también conocida como algoritmos de comparación uno a uno, de la categorización de alto riesgo. La tecnología subyacente es la misma, por lo que la única diferencia entre los dos sistemas es el conjunto de datos con el que el algoritmo compara los datos de la sonda (un único punto de datos generalmente proporcionado por el individuo en lugar de un gran conjunto de datos controlado por el implementador). La verificación biométrica debería regularse al mismo nivel que la identificación biométrica y estar sujeta al menos a obligaciones de alto riesgo.
Las conclusiones
La Ley de IA pronto se adoptará formalmente, pero no entrará en vigor hasta dos años después de su adopción formal. Los dos años intermedios darán tiempo a las distintas juntas directivas creadas por la Ley de IA, como la Oficina de IA, para establecerse y a las empresas para cumplir con los diversos requisitos. Si bien la ley no es retroactiva y no se aplica a los sistemas de IA comercializados o puestos en servicio antes de su aprobación, la ley seguirá teniendo consecuencias radicales para la industria, y es probable que varios gobiernos sigan su ejemplo y aprueben leyes similares.
Sin embargo, Estados Unidos debería adoptar un enfoque diferente al de la UE. Como Estados Unidos no tiene un marco sólido de derechos humanos como el de la UE, este país no debería adoptar una estructura basada en los daños. La Ley de IA se basa en gran medida en una ley de privacidad integral y en derechos fundamentales explícitos a la privacidad, la protección de datos, la reunión, la expresión y otros. Estados Unidos carece de una legislación federal integral sobre privacidad, que es vital para imitar con éxito la Ley de IA. EPIC ha abogado por leyes de privacidad integrales tanto a nivel federal como estatal durante los últimos 30 años. En particular, la subdirectora de EPIC, Caitriona Fitzgerald, ha testificado en varios estados a favor de leyes de privacidad sólidas e integrales para garantizar que los ciudadanos estadounidenses tengan cierta apariencia de protección hasta que el Congreso tome medidas sobre la privacidad. La legislación de privacidad es la base de la Ley de IA y debe ser la base de cualquier legislación futura sobre IA de EE. UU. para que sea efectiva.
Estados Unidos debe adoptar un enfoque integral y coherente respecto de la IA. La Administración Biden emitió una Orden Ejecutiva sobre IA, y la Oficina de Gestión y Presupuesto de la Casa Blanca publicó un borrador de guía que describe las obligaciones de las agencias federales con respecto al desarrollo, uso y adquisición responsable de tecnologías de IA. Tanto la Orden Ejecutiva como el borrador de la guía se basan en el Marco de Gestión de Riesgos de IA del NIST, que se hace eco de algunas de las disposiciones de supervisión enumeradas en la Ley de IA. Al evaluar qué disposiciones incluir en las leyes estadounidenses, los legisladores deben considerar las siguientes disposiciones: - Un derecho de acción privado que permite a los individuos demandar a las empresas por violar la regulación;
- Regulaciones y responsabilidad de la entidad que desarrolla el sistema de IA, las entidades que implementan el sistema de IA y cualquier otra entidad en la cadena de suministro durante todo el ciclo de vida del sistema de IA (contratistas externos, soporte de infraestructura, etc.);
- Un sistema de gestión de riesgos que analice los riesgos para los derechos humanos y un requisito explícito de medidas correctivas durante todo el ciclo de vida del sistema de IA; esto debería incluir auditorías periódicas y evaluaciones de impacto;
- Varios niveles de mecanismos de supervisión, incluido un requisito explícito de diseñar el sistema de IA con capacidad de registro de auditoría, autoridad y autorización apropiadas para los organismos reguladores, y una difusión pública de información sobre los sistemas de IA (como la base de datos de la UE);
- Minimización de datos por diseño;
- Requisitos para que los desarrolladores e implementadores revelen cuándo el contenido se genera con IA;
- Prohibiciones de usos discriminatorios o desleales de los datos;
- Fuertes protecciones de ciberseguridad para información confidencial como datos biométricos; y
- Una prohibición de la puntuación social, los sistemas de reconocimiento facial uno a muchos, los sistemas de reconocimiento emocional, los deepfakes no consensuados y otros casos de uso particularmente dañinos.
REFERENCIAS
Comentarios