Palabras que temer: Soy del Gobierno y vengo a ayudar con el riesgo de la IA

El intento prepotente de los legisladores californianos de regular el desarrollo de la IA de vanguardia (SB 1047) recibió la atención y la reacción adecuadas por parte de la comunidad política favorable a la innovación. Esa reacción puso de relieve los retos que las legislaturas estatales plantean a la innovación en IA a escala nacional.

De hecho, sólo este año 40 estados han considerado alguna forma de legislación sobre IA, amenazando con crear un mosaico multiestatal inviable. Las iniciativas van desde leyes dirigidas a aplicaciones específicas de la IA (como el uso de la IA en la música en virtud de la Ley ELVIS de Tennessee) hasta regímenes reguladores de la IA en general.

Además de leyes como la SB 1047, concebida para abordar el riesgo de la IA en las fronteras, otra categoría de legislación relativamente amplia sobre IA a la que merece la pena prestar atención trata de regular el uso de la IA en las llamadas "decisiones consecuentes", como el empleo, la atención sanitaria y las decisiones financieras, por ejemplo.

Aunque los riesgos que estas leyes sobre decisiones consecuentes pretenden abordar son aparentemente más mundanos que las supuestas amenazas de destrucción masiva provocada por la IA que persigue la legislación sobre modelos fronterizos, los riesgos que las leyes sobre decisiones consecuentes plantean para el desarrollo de la IA no son en absoluto triviales. Amenazan el desarrollo de la IA al socavar los modelos de negocio que surgen de forma natural, poner en peligro a los desarrolladores de IA y dirigirse no sólo a los daños, sino también a las tecnologías.

Las leyes de decisiones consecuentes están ganando terreno en los estados. El 17 de mayo, el gobernador demócrata Jared Polis promulgó la ley de decisiones consecuentes de Colorado, aunque bajo algunas protestas. Con la aprobación de la ley de Colorado antes incluso que la de la UE, este estado, típicamente innovador, se ha adelantado en una carrera que no debería querer ganar.

El 21 de mayo, la Asamblea del Estado de California aprobó su variación sobre el tema en un proyecto de ley sobre "Herramientas de decisión automatizadas" (AB 2930), que ahora se encuentra en el Senado del Estado de California.

Aunque sus detalles varían, tanto la ley de Colorado como la de California sobre decisiones consecuentes tratan de combatir los riesgos de que las herramientas de decisión de IA perpetren discriminación algorítmica (que, a grandes rasgos, se define como el trato desigual ilegal o los impactos que desfavorecen a las personas por su pertenencia a una clase protegida). En concreto, las leyes pretenden combatir la discriminación cuando las herramientas de IA se utilizan para tomar decisiones que tienen efectos materiales, legales o similares sobre el acceso a la educación, el empleo, la vivienda, los servicios públicos, la atención sanitaria, los servicios jurídicos y los servicios financieros.

Los enfoques normativos de Colorado y California abordan la discriminación potencial a través de un conjunto de obligaciones que se imponen en diverso grado a los desarrolladores y a los implantadores de herramientas de decisión de IA (es decir, las organizaciones que utilizan las herramientas en las interacciones con los consumidores). En general, las leyes imponen obligaciones -diferentes en sus particularidades- de evitar la discriminación algorítmica, realizar evaluaciones de riesgos, notificar a las personas el uso de herramientas de decisión de IA, proporcionar a los consumidores derechos de exclusión y/o apelación de las decisiones automatizadas y aplicar programas de gobernanza de IA diseñados para mitigar los riesgos de discriminación algorítmica.

Los derechos de exclusión y apelación de las decisiones automatizadas de las leyes de Colorado y California ofrecen una ventana a las similitudes, sutiles diferencias y problemas finales de los dos regímenes. Mientras que el proyecto de ley de California crea un nuevo derecho de exclusión voluntaria de decisiones automatizadas, además de uno ya existente mencionado en la ley de protección de los consumidores del Estado, la ley de Colorado hace referencia a un derecho similar en la propia ley de protección de la intimidad del Estado, al tiempo que añade nuevos derechos para recurrir determinadas decisiones automatizadas.

Cabe destacar que el organismo regulador de la privacidad de los datos de California también ha iniciado una actividad de reglamentación preliminar para el derecho de exclusión de decisiones automatizadas existente en California. Esto apunta a una conversación más amplia que debe mantenerse en relación con las interacciones entre las leyes de privacidad de datos y la IA. La normativa vigente sobre privacidad puede no estar bien adaptada a la era de la IA. Por ejemplo, los requisitos de minimización de datos y los límites al uso de información personal de dichas leyes podrían socavar los intentos de combatir los prejuicios mediante conjuntos de datos más diversos.

En cuanto a los derechos de exclusión o apelación en las propias leyes de decisión automatizada, en general, ambos proyectos de ley exigen algún tipo de proceso de decisión alternativo o revisión humana cuando lo solicite un consumidor y sea "técnicamente factible", pero Colorado exigiría que el consumidor espere a una decisión adversa, mientras que California es menos clara en cuanto a los plazos.

La idea de eludir las decisiones automatizadas resulta superficialmente atractiva para muchos, pero la creación de un derecho general a hacerlo no está exenta de costes. De hecho, la automatización suele ser precisamente lo que proporciona el ahorro de costes que permite a una empresa ofrecer productos o servicios a un precio atractivo. La imposición de un derecho de exclusión obligaría probablemente a encarecer determinados productos y servicios o a hacerlos inaccesibles.

El derecho de apelación más limitado de Colorado es un enfoque mejor, pero en última instancia impondría costes similares, sólo que en un grado potencialmente menor. Además, es poco probable que la advertencia de la ley de que los procesos alternativos y la revisión humana sean "técnicamente viables" ayude a las empresas con capacidad técnica para ofrecer alternativas pero sin recursos para hacerlo de forma rentable.

En ausencia de los mandatos de exclusión, las empresas seguirían pudiendo ofrecer tales derechos en respuesta a la demanda de los consumidores, mientras que el ecosistema en general podría ofrecer simultáneamente una mayor gama de características y precios.

La limitación que suponen los mandatos de exclusión voluntaria para los modelos de negocio que surgen de forma natural es uno de los principales problemas de las propuestas de Colorado y California. Los otros son el riesgo legal y las cargas de cumplimiento impuestas a los desarrolladores de IA, así como los enfoques reguladores que se centran en las tecnologías en lugar de en los daños.

Las leyes de Colorado y California sobre decisiones consecuentes imponen a los creadores de IA onerosos riesgos y obligaciones de cumplimiento. En concreto, las leyes exigen indebidamente a los desarrolladores, y no sólo a los implantadores, que prevean y mitiguen los riesgos de discriminación algorítmica. (Absurdamente, el proyecto de ley de California incluso obliga a los desarrolladores de IA a prestar asesoramiento jurídico a los implantadores, exigiéndoles que proporcionen una "descripción de las responsabilidades del implantador en virtud" de la ley).

IA artificial
Uno de los principales problemas de este planteamiento general es que es difícil, si no imposible, que un desarrollador comprenda completamente la propensión a la discriminación de un sistema de IA en el vacío o que pueda predecir todas las formas posibles en que se puede utilizar su herramienta. Cualquier efecto discriminatorio de un sistema de IA será probablemente producto tanto del modelo subyacente como del uso que se haga de él, incluidos los datos del mundo real que el desarrollador introduzca en el modelo en la fase de inferencia, así como la capacidad del desarrollador para aplicar controles compensatorios que aborden cualquier resultado dispar.

Una forma en que las leyes abordan este problema es limitando algunas obligaciones de los desarrolladores a sólo aquellos riesgos que son "razonablemente previsibles". No obstante, el proyecto de ley de California socava esta limitación al imponer una obligación general a los desarrolladores de "no poner a disposición" una herramienta de decisión de IA "que dé lugar a discriminación algorítmica". Aunque la ley de Colorado hace un mejor trabajo al limitar las obligaciones de los desarrolladores únicamente a los riesgos razonablemente previsibles, no deja de tener expectativas poco razonables sobre lo que los desarrolladores serán capaces de predecir y de lo que serán responsables. La ley de Colorado asume erróneamente que los desarrolladores tendrán un mayor conocimiento de los "usos previstos" de una herramienta de IA de lo que probablemente sea el caso y exige a los desarrolladores que notifiquen a las fuerzas de seguridad después de descubrir que el uso de su herramienta por parte de un implementador puede haber causado discriminación algorítmica.

Al exigir a los desarrolladores que orienten sus medidas de cumplimiento en torno a casos de uso previstos, se corre el riesgo de limitar los tipos de fines productivos a los que se pueden aplicar sus modelos, ya que los casos de uso novedosos podrían aumentar el riesgo de cumplimiento. Desincentivar a los desarrolladores para que no permitan todos los usos previstos, salvo los más obvios, supondría una enorme pérdida para el ecosistema de la IA, ya que algunas de las aplicaciones más creativas de las tecnologías suelen concebirse con posterioridad al creador de la herramienta. Por eso, por ejemplo, existen aplicaciones de terceros para teléfonos inteligentes.

Quizá el pecado original de los actos de decisión consecuente es que se dirigen a la IA utilizada para, bueno, decisiones consecuentes. Estas decisiones suelen estar relacionadas con sectores que ya están muy regulados, como la sanidad y las finanzas. Por ejemplo, el riesgo principal que abordan estas leyes -la discriminación basada en la pertenencia a una clase protegida- ya es ilegal en las decisiones crediticias en virtud de la legislación federal. Centrarse en la tecnología, en lugar de en el daño, en el contexto de los servicios financieros, por ejemplo, es redundante en el mejor de los casos y contraproducente en el peor, ya que añade otro nivel de carga de cumplimiento que podría obstaculizar el potencial de las herramientas de IA para ampliar el acceso al crédito a las personas históricamente desatendidas. Además, este planteamiento general suele atribuir erróneamente la culpa del uso indebido de la tecnología por parte de agentes malos o negligentes a la propia tecnología.

Esta regulación miope -limitar los modelos de negocio, cargar a los desarrolladores con la responsabilidad de los riesgos derivados y centrarse en las tecnologías en lugar de en los daños- se emplea con demasiada frecuencia a nivel estatal. Después de todo, el proyecto de ley SB 1047 es un vehículo notorio para las tres cosas, ya que convierte el desarrollo de IA de código abierto en un riesgo de cumplimiento al exigir a los desarrolladores que bloqueen sus modelos contra ciertas modificaciones posteriores, además de centrarse en la sofisticación técnica, no sólo en amenazas específicas.

El riesgo de este libro de jugadas es que Estados Unidos empeore a medida que los marcos estatales se conviertan en normas nacionales de facto sin el beneficio de la aportación nacional. Este no es sólo el caso de la legislación de grandes estados como California, ya que las leyes con ambiciones de largo alcance y objetivos basados en la nube pueden, en la práctica, ampliar las cargas de cumplimiento más allá de las fronteras estatales. En estos casos, las obligaciones contradictorias y las sutiles variaciones pueden plantear la cuestión de si es posible un cumplimiento a gran escala.

En lugar de tratar de ser los primeros en regular, los Estados deberían considerar la posibilidad de trabajar a partir de un manual alternativo que dé prioridad a la innovación, evite intervenciones contraproducentes y se centre en los daños, no en las tecnologías. Mientras tanto, deberíamos temer las palabras "Soy del gobierno estatal y estoy aquí para ayudar con el riesgo de la IA", incluso cuando es el gobierno de otro estado el que las pronuncia.

Este artículo fue publicado originalmente en Cato At Liberty (Estados Unidos) el 10 de junio de 2024.