Hace algunas semanas atrás se presentó el proyecto de ley de inteligencia artificial en Chile, que actualmente se encuentra en su primer trámite constitucional en la Cámara de Diputados. Este proyecto aborda varios elementos de la regulación europea recientemente aprobada. Según sus disposiciones transitorias, fija un plazo de vacancia legal de 1 año desde su aprobación y publicación en el Diario Oficial.
El objeto del proyecto es promover la creación, desarrollo, innovación e implementación de sistemas de inteligencia artificial (IA) al servicio del ser humano, y se aplicaría a los proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA en el territorio nacional; los implementadores de sistema de IA que se encuentren domiciliados en el territorio nacional; los proveedores e implementadores de sistemas de IA que se encuentren domiciliados en el extranjero, cuando la información de salida generada por el sistema de IA se utilice en Chile; y los importadores y distribuidores de sistemas de IA, así como los representantes autorizados de los proveedores de sistemas de IA, cuando dichos importadores, distribuidores o representantes autorizados se encuentren domiciliados en territorio nacional.
Se excluyen aquellos sistemas de IA desarrollados y utilizados con fines de defensa nacional; aquellas actividades de investigación, pruebas y desarrollo sobre sistemas de IA de forma previa a su introducción en el mercado o puesta en servicio, siempre que dichas actividades se lleven a cabo respetando los derechos fundamentales de las personas; y los componentes de IA proporcionados en el mercado de licencias libres y de código abierto, salvo que sean comercializados o puestos en servicio de un proveedor como parte de un sistema de AI de Alto Riesgo.
El proyecto, además, señala una serie de principios aplicables a los sistemas de IA, a saber: a) intervención y supervisión humana; b) solidez y seguridad técnica; c) privacidad y gobernanza de datos; d) transparencia y explicabilidad; e) diversidad, no discriminación y equidad; f) bienestar social y medioambiental; g) rendición de cuentas y responsabilidad; h) protección de los derechos de los consumidores. Estos principios se incorporarán en las diversas orientaciones que dicte la agencia que proteja los datos personales, como el Ministerio de Ciencia, Tecnología, Conocimiento e Innovación.
El proyecto también clasifica los sistemas de IA, en:
- Sistemas de IA de riesgo inaceptable: aquellos sistemas de IA incompatibles con el respeto y garantía de los derechos fundamentales de las personas, por lo que su introducción en el mercado o puesta en servicio se encuentra prohibida. Algunos ejemplos son: sistemas de manipulación subliminal; aquellos que explotan vulnerabilidades de las personas para generar comportamientos dañinos; aquellos de categorización biométrica de personas basadas en datos personales sensibles; aquellos sistemas de calificación social genérica; aquellos sistemas de identificación biométrica remota en espacios de acceso público en tiempo real; aquellos sistemas de extracción no selectiva de imágenes faciales; y los sistemas de evaluación de los estados emocionales de una persona.
- Sistemas de IA de alto riesgo: aquellos sistemas de IA autónomos o componentes de seguridad de productos que puedan afectar negativamente a la salud y la seguridad de las personas, sus derechos fundamentales o el medio ambiente, así como los derechos de los consumidores, especialmente si fallan o se utilizan de forma impropia. Estos sistemas son permitidos cumpliendo las reglas contenidas en el artículo 8º del proyecto, así como otras obligaciones de seguimiento posterior a su comercialización. Las reglas que deben cumplir son:
Establecimiento de sistemas de gestión de riesgos.
- Sistemas de IA de riesgo limitado: aquellos sistemas de IA que presentan riesgos no significativos de manipulación, engaño o error, producto de su interacción con personas naturales. Se permite su comercialización, en cuanto cumpla con obligación de transparencia en sistema de IA contenida en el artículo 12º, que indica que se informe de manera clara, inteligible y oportuna a las personas naturales expuestas a un sistema de IA que están interactuando con esta tecnología.
- Sistemas de IA sin riesgo evidente: todos los demás sistemas de IA que no entran en las categorías mencionadas anteriormente.
El proyecto, además, establece la obligación de reportar aquellos incidentes graves a la Agencia que se encargue de la protección de datos personales, que podrá requerir al operador notificar a las personas afectadas por el incidente grave, y promover que se adopten las medidas frente a las contingencias correspondientes. Este reporte se debe realizar dentro de las 72 horas desde que el proveedor o implementador del sistema de IA tenga conocimiento. Para ser claros, los incidentes graves se definen como todo incidente o defecto de funcionamiento de un sistema de IA que pueda provocar, directa o indirectamente: el fallecimiento de una persona o daños graves para su salud; una alteración de la infraestructura crítica del país; una vulneración de los derechos fundamentales de las personas o, un daño en la persona o propiedad u otro daño ambiental.
Para la articulación de los aspectos centrales de la normativa, se crea un Consejo Asesor Técnico de carácter consultivo y permanente que asesorará al Ministerio de Ciencia, Tecnología, Conocimiento e Innovación en materias asociadas con el desarrollo, promoción y mejoramiento continuo de los sistemas de IA. Estará conformado por representantes del sector público, privado y academia.
Como una forma de promover la innovación, se propone la creación de «espacios controlados de pruebas para la IA» (sandboxes), que fomenten la innovación y faciliten el desarrollo, la prueba y la validación de sistemas innovadores de IA dentro de sus competencias, durante un período limitado antes de la introducción en el mercado o su puesta en servicio, con arreglo a un plan específico acordado entre proveedores potenciales y los órganos de la Administración del Estado que los hayan generado. Los sandboxes no dejarán exentos a los proveedores de los eventuales perjuicios que causen a terceros a propósito de los experimentos o pruebas que realicen en el espacio controlado.
El proyecto, también incorpora una nueva excepción en materia de propiedad intelectual, en particular, permitiría los actos de reproducción, adaptación, distribución o comunicación al público, de una obra lícitamente publicada, cuando se realiza únicamente para extracción, comparación, clasificación o cualquier otro acto de análisis estadístico de datos de lenguaje, sonido o imagen o de otros elementos que los componentes, siempre que dicho acto no constituya una explotación encubierta de la obra, y por ende, afecte el ejercicio de los derechos patrimoniales del titular sobre la obra protegida.
Para concluir, se establece un deber de confidencialidad transversal a cualquier miembro de la Administración del Estado respecto de la información y los datos obtenidos en los sistemas de IA. Además, se establece un catálogo de infracciones, a saber aquellas leves, por el incumplimiento de las obligaciones de transparencia para los sistemas de IA de riesgo limitado y que podrán ser sancionados por hasta 5.000 UTM (alrededor de 350.000 USD); graves, por el incumplimiento de las obligaciones impuestas para los sistemas de IA de alto riesgo y que podrán ser sancionadas con hasta 10.000 UTM (aproximadamente 700.000 USD), y por último, gravísimas, por la puesta en servicio o utilización de sistemas de IA de riesgo inaceptable, que podrán ser sancionados con hasta 20.000 UTM (unos 1,4 millones USD), fijándose un procedimiento sancionatorio que será instruido por la agencia que se encargue de la protección de datos personales, con la posibilidad de reclamar ante la Corte de Apelaciones.
Juan Pablo González Gutiérrez es el abogado y académico en Derecho y Nuevas tecnologías.