Hay miedo (de varios tipos) a los modelos de Inteligencia Artificial (IA). Los más sorprendentes son los de sus dueños y promotores. Temen algo fabricado por ellos mismos y que parece que ya no tiene remedio y suplican a los Estados que les regulen, porque se ven incapaces de sujetar al monstruo desatado. Un monstruo que han soltado voluntariamente abriendo al acceso público herramientas como ChatGPT. Lo han hecho porque para crecer el monstruo tiene que alimentarse de ingentes cantidades de datos que sólo con una amplia apertura se podían obtener.
Hace casi 20 años ya apunté en “Derecho y control de Internet” (Ed. Ariel Derecho) que era preciso regular Internet porque no era el territorio de libertades que algunos “profetas” anunciaban. Parece ahora que la Inteligencia Artificial (IA) sea la panacea como antes lo fue Internet y después las redes sociales. De la escasa regulación de Internet y de las redes surgieron problemas que se hubieran podido controlar mediante modelos regulatorios adecuados a su naturaleza. La falta de regulación, como se ha visto, sólo ha beneficiado a sus dueños.
En el caso de las IA está sucediendo lo mismo. Cuando se da la paradoja de que algunos tecno-oligarcas reclaman que se les regule (caso de Sam Altman, de OpenAI) o que se establezcan moratorias, emerge la sospecha de que se trata de un “problema de acción colectiva”: situaciones en las que, como colectivo, el conjunto se beneficiaría de una acción concreta, aunque individualmente cada miembro obtiene ventaja de que no se ejecute. De aquellos polvos, estos lodos: los dueños de las IA concluyen que es mejor pedir a la Administración que actúe, aunque sólo sea en apariencia, porque ellos continuarán haciendo lo que les parezca conveniente a sus intereses, aún con regulación mediante, para mantener su ventaja sobre otros competidores que quieran entrar más recientemente a este mercado. Es más, incluso si algunas empresas hicieran una moratoria voluntaria de sus experimentos, otras ocultarían la continuación de su investigación en IA alentadas por los mayores beneficios derivados de la propia moratoria, que limitaría la competencia y por tanto les beneficiaría.
El ciclo de los oligopolios tecnológicos para dominar el mercado se ha repetido con cada nueva incursión. Oferta gratuita de una novedad con objeto de asegurarse un dominio relevante del mercado pregonando a los cuatro vientos las bondades sociales de la innovación al estilo de “tonto el último”. Condena de la regulación porque se afirma (errónea e interesadamente) que es un freno a la innovación. Multitudes de “early adopters” (entusiastas tempranos) se suman al carro cual profetas conversos. Las enormes pérdidas son asumidas alegremente con objeto de eliminar a los competidores y poder ocupar una posición dominante en el mercado, momento en el cual cae la máscara y aparece un modelo de negocio basado en la usurpación de datos y el cobro de cuotas a un público que ya está inexorablemente enganchado al modelo, sea este de compra por Internet, de plataforma de video o música, de coches o sexo compartidos, o de redes sociales.
Lo mismo sucederá con las IA. La única diferencia con ciclos anteriores es esta sospechosa invocación de sus dueños a la necesidad de regulación. Quienes creemos en la necesidad de regulación de estas actividades sospechamos de la actitud de los tecno-oligarcas porque son modelos de negocio basados en la apropiación indebida de datos basada precisamente en la falta de regulación. Viene esto a cuento de otro elemento: ¿es o no es la IA un bien público? Si no lo es, si es privado, es inconcebible un modelo civilizado de negocio privado basado en el robo… de datos privados, lo que nos lleva a descartar esta hipótesis, Si lo es, si es público, se plantea un problema de asimetría, puesto que tanto sus beneficios como sus peligros y miedos afectarán a todos, incluso a las personas que no usan IA personalmente. Precisamente por ello, para reducir los miedos y los riesgos de la IA, el sector público debiera supervisar que la investigación en un bien público (la IA) se realice con seguridad, regulándolo. De hecho, ya existe regulación antifraude, antidiscriminación, antimonopolio, de la propiedad, del sector público y parapúblico… Para empezar, aplíquese normativa existente a las IA y a sus derivadas fraudulentas, discriminatorias, monopolísticas o de apropiación indebida para garantizar, por ejemplo, que la tecnología ofertada no engaña, que es lo que es, sirve para lo que sirve y no para otra cosa. El Parlamento europeo ha evidenciado también además otros miedos: los propios de las burocracias. Así, el texto que prepara la Eurocámara, se centra el posible uso para manipular elecciones, vigilància biométrica o el reconocimiento de emociones y sistemas policiales predictivos.
Más allá de estas evidencias habrá que regular otros problemas, como la asimetría, la posibilidad de apropiación de la cultura humana o la proliferación incontrolada. Argumentos a favor de ello sobran: de un lado, la no regulación solo beneficia a los tecno-oligarcas; del otro si no lo hacemos, las IA (estos mismos tecno-oligarcas) acabarán regulándonos a nosotros. Más allá de la aplicación de la normativa existente, una regulación específica de las IA para abordar los miedos que genera debería abordar el diseño de un proceso de normalización técnica que permita definir qué es realmente una IA, a qué se puede aplicar y a qué no, cómo se identifica y construye, qué estándares de seguridad debe incluir, cómo se revisan periódicamente, qué responsabilidades se generan con su diseño, oferta y uso, y cómo se depuran estas mediante indemnizaciones. Nada nuevo, se ha hecho en otros ámbitos (energía, transporte, dispositivos médicos, aviación, ciberseguridad o nanotecnologías, por ejemplo). Para ello es imprescindible mapear los riesgos y aplicarles adecuadas herramientas de gestión. Así lo apuntamos ya con la Dra. Anna García Hom en 2020 en las dos ediciones de nuestro “Manual del Miedo” (Ed. Aranzadi), mucho antes de la aparición de los miedos asociados a las IA, que no son distintos de los anteriores miedos a las tecnologías emergentes, que estudiamos en su momento. Una regulación eficiente evitaría que a los falsos miedos de los tecno-oligarcas se sumaran los nuestros, verdaderos, por no haber atendido lo obvio: hay que regular, gestionar los miedos, de las IA.
Las IA (modelos de Inteligencia Artificial) andan hoy a su antojo. Regularlos sería como ponerles un cascabel que nos advirtiera de su conducta, estatus y naturaleza. Desafortunadamente, aún no existe ningún mecanismo explícito de regulación y control de fiabilidad de las IA. Mecanismo que, para ser del todo eficiente, debería complementarse con un mayor peso del pensamiento crítico de nosotros los humanos, lo que tiene que ver con la educación, la cultura, con el ejercicio del poder, en suma. A medida que la IA débil (la que hoy conocemos) devenga más fuerte (aún no existe) podría darse el caso de que nuestro destino como especie estuviera en manos, no tanto de las IA, sino de sus dueños. No parece algo deseable. Las técnicas regulatorias pueden permitir controlar este “determinismo tecnológico” que nos invade a partir de un pueril optimismo y de una fe ciega en la ciencia que ha sido cuestionada por la realidad en infinidad de ocasiones: el fin del mundo ya se anunció a partir de la máquina de vapor, de la energía nuclear o de la ingeniería genética. Si las IA son un bien público su control regulatorio ha de ser también público con objeto de limitar el lucro y el excesivo apetito de riesgo asociado a su desarrollo (no vaya a ser que se repita el problema de las redes sociales). También debiera ser posible reequilibrar el balance de estas tecnologías en términos de rendimiento económico: cómo y dónde deben tributar las ganancias que de ellas se obtengan. Y ello para evitar lo que ya conocemos: que se concentren las ganancias, pero que se socialicen las pérdidas.
El modelo de gestión de miedos a las IA puede ser doble: regulatorio y autorregulatorio. Una regulación eficiente de las IA debería darse en un marco de colaboración mundial aplicable a nivel práctico que permitiera realizar inspecciones, sancionar infracciones y expulsar del mercado a los infractores. Para ello son indispensables mecanismos similares a los de las Agencias responsables del control de armas o de la energía nuclear, por ejemplo.
La autorregulación podría basarse en el uso de estándares de calidad y seguridad y de códigos de conducta (al estilo del que Anthropic ha dispuesto para su IA llamada Claude). Estos códigos de conducta de las IA remiten al mecanismo “constituyente” de Internet al que me referí en “Derecho y Control de Internet” hace 20 años. Se trata de dotar al sistema por parte de sus creadores-gestores de unas pautas para su conducta. De este modo, sus creadores devienen “poderes constituyentes” y estas pautas una especie de Constitución que regula la conducta de la IA. En el caso de Claude estas pautas se han obtenido de la Declaración Universal de Derechos Humanos de la ONU, las Reglas Sparrow de DeepMind, o diversas investigaciones sobre ética en la IA. Para enseñar estas pautas a Claude la entrenaron para revisar sus propias respuestas tomando como patrón los principios y valores de las pautas. En la misma línea el gobierno de EE. UU. ha anunciado un Plan para una Declaración de Derechos de la IA basado en el control de riesgos de la IA mediante un Marco de Gestión. Algunas otras opciones complementarias y/o alternativas a la regulación, como las moratorias planteadas por algunas grandes corporaciones y expertos, no parecen creíbles porque no es posible verificar su cumplimiento efectivo y al mismo tiempo atribuyen posiciones dominantes del mercado a aquellas empresas que se hallan ya en estados muy avanzados de desarrollo. Tampoco son creíbles las políticas públicas de fomento anunciadas al respecto: EE. UU ha anunciado que invertirá 127 millones de euros en investigación responsable en IA mediante 25 institutos federales, mientras Microsoft ha invertido ya 10.000 millones de dólares solo en Open AI. Los supuestos regulatorios existentes presentan tres grandes enfoques
Un primer enfoque regulatorio parcial (básicamente autorregulatorio privado), en el que se traslada la responsabilidad desde el regulador a las empresas, viene siendo habitual en la gestión de riesgos en EE. UU. a diferencia de Europa, en la que es el regulador el que interviene directamente. Obviamente, sin regulación pública, sin capacidad de inspección y sanción, con una autorregulación endeble, el poder es de las grandes tecnológicas estadounidenses, que disponen de enormes capacidades técnicas, económicas y de influencia, y se ven favorecidas por un entorno que no ha restringido la rápida comercialización de productos de IA y que ya se están integrando en aplicaciones como Snapchat o Duolingo, y que se benefician de una financiación que multiplica por cuatro la de las empresas chinas del sector, además de contar con el control estratégico de muchos de los componentes tecnológicos imprescindibles para este sector.
El segundo enfoque es el del intento regulatorio público más avanzado por ahora, The AI Act, (https://artificialintelligenceact.eu/the-act/), una normativa europea que asigna las aplicaciones (no las tecnologías) de IA a tres categorías de riesgo. La primera prohíbe las que suponen un riesgo inaceptable como la vigilancia personal intrusiva o discriminatoria, la vigilancia biométrica, el análisis de emociones, la alteración de conductas o la categorización de personas. La segunda regula las de alto riesgo, como los llamados “modelos fundacionales” (por ejemplo, ChatGPT, OpenAI y Midjourney, capaces de generar contenido a partir de las órdenes que les dé una persona). Estos modelos deberán responder a estándares estrictos de transparencia, no podrán generar contenido ilegal y deberán advertir de que el contenido ha sido generado por una máquina a partir de determinadas fuentes sujetas a derechos de autor. La tercera incluye las herramientas no prohibidas o no calificadas como de alto riesgo, como los videojuegos, que quedan en gran parte sin regular. El objetivo declarado por Europa es garantizar el respeto a los derechos humanos en el despliegue de las IA, controlando los riesgos sin frenar la innovación, lo que hasta hoy no había sido resuelto como consecuencia de los efectos paralizantes del Principio de Precaución sobre otras tecnologías emergentes (nano, bio, ingeniería genética y demás). Para ello, además, habría que, por un lado, poder identificar el contenido generado por IA mediante un “estándar” que necesariamente debería ser simple, para evitar tener que usar varios softwares de diferentes fabricantes para detectar el origen del contenido. Por otro, será imprescindible garantizar la trazabilidad de estos contenidos generados por IA. Estos aspectos no están presentes en la The AI Act que se discute en Bruselas.
Un tercer enfoque regulatorio público de la IA, aunque muy distinto al europeo, es el de China, que ha desarrollado un marco regulatorio estricto para las empresas dedicadas a la inteligencia artificial generativa y que incluye auditorías de seguridad y sistemas de responsabilidad sobre los contenidos generados por IA. Este enfoque está orientado por dos vectores principales: el control estricto de los ciudadanos, y una estrategia que permita a China ser el número 1 mundial en IA en 2030 mediante la expansión global de sus estándares, su modelo regulatorio y su uso masivo. Son, en suma, tres maneras de gestionar los miedos de unas IA que todavía andan sueltas.
Ramon J. Moles Plaza
Jurista
ramonmoles 