Eche un vistazo al panorama tecnológico y con toda probabilidad estará de acuerdo en que las nubes (de datos) en el horizonte se ven muy diferentes hoy en día, en comparación con hace unos pocos años.
Si ayer la atención se centraba en la protección de datos, hoy eso parece demasiado limitante. Hemos llegado a un punto en el que los datos personales, los derechos de protección de datos y los datos en el sentido más amplio de la palabra tienen que lidiar colectivamente con una miríada de leyes y regulaciones. Algunos, inevitablemente, se refieren específicamente a los datos, particularmente en el espacio de la regulación digital, pero cada vez más –y comprensiblemente– esta atención se está extendiendo a la inteligencia artificial (IA).
Ahora, con el nuevo proyecto de ley de acceso y uso de datos del gobierno del Reino Unido en sus etapas embrionarias, se le podría perdonar que piense que el sector tecnológico está en la cúspide de algo que se aproxima a una estrategia cohesiva. Sin embargo, parece que el panorama global en evolución en la regulación tanto de los datos como de la IA se parece más a Spaghetti Junction que a un enfoque ordenado.
El hecho es que, contrariamente a la creencia popular, la regulación de los datos personales en realidad no comenzó con el RGPD. Veinte años antes de su promulgación en el Reino Unido estábamos regulados por la Ley de Protección de Datos de 1998 que, a su vez, implementaba la Directiva Europea de Protección de Datos. Y ese ni siquiera fue el primer intento de regular nuestro uso de datos. Después de todo, tomando prestadas las letras de la banda de rock Talking Heads, sabemos hacia dónde vamos.
En ese sentido, me atrevería a argumentar que la llegada del RGPD en 2018 no representó realmente un cambio fundamental en los derechos y obligaciones de protección de datos que habíamos estado gestionando durante años, pero sí logró dos cosas muy significativas. .
Por un lado, aumentó enormemente las sanciones disponibles para los reguladores para castigar a las empresas por incumplimiento.
Por otro lado -y quizás lo más importante- colocó la protección de datos en la agenda global de una manera que no habíamos visto antes. Los conceptos de protección de datos y los derechos de protección de datos se convirtieron en un lenguaje común para individuos y legisladores de todo el mundo. El RGPD puso los datos en el mapa.
La UE ha liderado el camino en protección de datos, pero ¿lo hará en IA?
Desde los días de 2018, hemos visto una afluencia constante de leyes de protección de datos promulgadas en todas partes, que parecen, al menos, estar influenciadas por el modelo europeo de legislación sobre datos personales. Puede que estas leyes no sean exactamente iguales, pero a menudo se basan en conceptos, derechos y obligaciones similares. Y más recientemente, hemos visto una proliferación de cláusulas contractuales estándar al estilo de la UE que exigen jurisdicciones de todo el mundo para legitimar la transferencia de datos personales fuera de sus fronteras. De esta manera vemos que la UE ha liderado el camino en la regulación de la protección de datos.
La pregunta a la que esto exige una respuesta es si estamos viendo o veremos la misma evolución en la regulación de la IA.
En términos simples, la respuesta es “no”. La IA existe desde hace mucho tiempo sin una regulación específica. Pero la introducción de la IA generativa en la corriente principal hace relativamente poco tiempo definitivamente parece haber acelerado las discusiones en torno tanto al deseo como a la necesidad de regular la IA de alguna manera. Ciertamente, en los últimos años, un número creciente de países alrededor del mundo han estado lidiando con la cuestión de si legislar -y cómo legislar- para la IA.
Si volvemos a centrarnos en Europa, como hicimos con la regulación de la protección de datos, a primera vista esto podría parecer un caso en el que la historia se repite. Europa adoptó recientemente su Ley de IA y, una vez más, parece estar tratando de aprovechar la ventaja de ser el primero en actuar en el cambiante panorama regulatorio de la IA. Incluso logró impulsar la legislación a un ritmo mucho más rápido que el que se logró con el GDPR a pesar, o quizás debido a, la increíble cantidad de publicidad que rodea a la tecnología de inteligencia artificial en este momento.
El problema es que las exageraciones suelen ir seguidas de hipérboles.
Parece claro que a Europa le gustaría que su Ley de IA tuviera el mismo tipo de influencia global que el RGPD anterior. ¿Pero creemos que así será? Algunos comentaristas creen que así será pero la verdad es que es imposible saberlo… todavía. La Ley de IA de la UE aún es incipiente, pero los primeros signos son que el sentimiento global aún no está alineado sobre la cuestión de si se requiere o no una regulación específica, y mucho menos qué forma debería adoptar esa regulación.
Tres enfoques para la regulación de la IA
Como sostiene el profesor Anu Bradford de la Universidad de Columbia, los marcos legales que actualmente están adoptando las diferentes regiones se pueden identificar de tres maneras. En Estados Unidos predomina un enfoque impulsado por las empresas; esto se compara con el enfoque liderado por el Estado, como se ve en China, y un enfoque impulsado por los derechos, como se ve en Europa.
Cada uno, por supuesto, tiene ventajas y desventajas, pero la disparidad es emblemática de un problema más amplio, aún por resolver. ¿Se juzgará el éxito, por ejemplo, en función de si la regulación se basa en el riesgo o se centra en los resultados? Sospecho que mucho depende de si los legisladores y reguladores están más preocupados por los riesgos asociados con las aplicaciones de IA o por permitir flexibilidad para que la IA pueda utilizarse en todo su potencial y la innovación no se reprima.
También está la cuestión de cuán proscriptivos desean ser. Los marcos legales claros permiten una mejor aplicación, pero no permiten la libertad que ofrecen las pautas o códigos de conducta, algo que es importante para una tecnología que evoluciona tan rápidamente.
El buen enfoque a la antigua
En algún punto intermedio está lo que la profesora Lilian Edwards llama “el enfoque legal a la antigua usanza”, lo que significa que ya contamos con leyes que abordan cuestiones como la protección de datos, la propiedad intelectual, la protección del consumidor y la antidiscriminación. Su punto es justo: si ya existen, ¿por qué necesitamos nuevas leyes que sean específicas para esta nueva (más o menos) tecnología?
Por supuesto, el desafío no termina ahí. Dentro de cada enfoque hay una infinidad de matices y diferencias en todo el mundo. Hacia donde esto parece dirigirse actualmente es hacia un panorama global en evolución de la regulación de la IA que se parece un poco a un rompecabezas gigante y complejo, pero, lo que es aún más frustrante, a un rompecabezas en el que las piezas en realidad no encajan para crear un marco regulatorio global. imagen.
Puede que haya sido un desafío navegar por las complejidades de múltiples leyes de protección de datos que son similares pero no iguales. Pero el panorama regulatorio global de la IA parece estar evolucionando en una dirección completamente diferente y aún más desafiante, lo que deja a las organizaciones globales luchando por identificar dónde y cuándo pueden estar sujetas a obligaciones regulatorias de la IA.
Todo lo cual me trae de vuelta a las famosas letras de Talking Heads. Cuando se trata de IA, sería un error pensar que estamos en un camino que no lleva a ninguna parte, pero necesitamos tiempo para resolverlo.
Miriam Everett es socia y directora global de datos y privacidad de Herbert Smith Freehills.