Una de las características más aplaudidas del Reglamento Europeo de Inteligencia Artificial (IA) es el régimen sancionador acordado por los 27. Para asegurarse de que las aplicaciones de IA prohibidas o calificadas de alto riesgo no se usen, el reglamento prevé fuertes multas de hasta 35 millones de euros o el 7% de la facturación anual mundial de la empresa infractora. Pero el reglamento deja a la discreción de cada Estado miembro qué tipo de sanciones aplican cuando quien incumple la normativa es la Administración.
Juristas y asociaciones profesionales presentan alegaciones a un anteproyecto de ley que solo impone sanciones simbólicas a las administraciones públicas por hacer un mal uso de la inteligencia artificial
Una de las características más aplaudidas del Reglamento Europeo de Inteligencia Artificial (IA) es el régimen sancionador acordado por los 27. Para asegurarse de que las aplicaciones de IA prohibidas o calificadas de alto riesgo no se usen, el reglamento prevé fuertes multas de hasta 35 millones de euros o el 7% de la facturación anual mundial de la empresa infractora. Pero el reglamento deja a la discreción de cada Estado miembro qué tipo de sanciones aplican cuando quien incumple la normativa es la Administración.
El Anteproyecto español de ley para el buen uso y la gobernanza de la IA, que desarrolla el reglamento europeo, es manifiestamente tibio con el control del sector público. Eso es al menos lo que piensan ocho organizaciones y asociaciones en defensa de los derechos digitales, a quienes les preocupa que el texto que prepara el Gobierno solo prevea en esos casos “amonestaciones”, “apercibimientos” y “actuaciones disciplinarias”, tal y como se establece en el apartado 4 del artículo 30 del anteproyecto de ley. Es decir, un mal uso por parte de la Administración de una tecnología prohibida, como los sistemas de identificación biométrica remota en tiempo real, solo comportaría un toque de atención.
En las alegaciones que han presentado estas agrupaciones de forma conjunta, se quejan de que la exclusión de las autoridades y organismos del sector público de la imposición de multas administrativas, “copiada de la Ley Orgánica de Protección de Datos, no solo representa un agravio comparativo respecto de las empresas, sino también una falta de ejemplaridad pública y, sobre todo, un grave riesgo para los derechos de los ciudadanos, porque, en la práctica, deja sin sanción los usos prohibidos y de alto riesgo de la IA por las Autoridades y organismos públicos”.
Por ello, proponen que se les apliquen multas administrativas por los malos usos (prohibidos o de alto riesgo) de la IA y que se concreten las “actuaciones disciplinarias” de las que habla el texto. Exigen también que se sustituya la amonestación a las autoridades y al personal directivo por la inhabilitación (temporal o definitiva) para ejercer un cargo público.
El anteproyecto de ley está ahora mismo en fase de consulta pública. Según fuentes del Ministerio de Transformación Digital y de la Función Pública, “se ha recibido un volumen muy alto de alegaciones”, que se están estudiando. Algunas de ellas son muy técnicas, explican esas mismas fuentes, por lo que es difícil saber cuánto tardarán en procesarlas. Una vez completado ese proceso, el Ministerio deberá juzgar si incluye o no en el texto final las propuestas recibidas por esa vía. Cuando esté listo, el proyecto de ley se tramitará en el Congreso de los Diputados, donde deberá aprobarse por mayoría.
¿Impunidad o agilidad administrativa?
El anteproyecto de ley establece una graduación de penalizaciones que van desde las “muy graves” a las “leves”. Las más severas supondrán una multa de entre 7,5 y 35 millones de euros, o entre el 2% y el 7% del volumen de negocios anual mundial de la empresa infractora. Entran en este supuesto el uso de tecnologías prohibidas, de sistemas de identificación biométrica remota en tiempo real no autorizados, no eliminar los datos de esa identificación si lo requieren las autoridades o no notificar que se está usando esa tecnología.
Pero, si el infractor es un organismo público, se apercibirá a la entidad actuante y se podrán establecer “las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, excluyendo la imposición de multas administrativas”. Asimismo, se contemplan “actuaciones disciplinarias cuando existan indicios suficientes para ello”. Y en caso de que alguna autoridad pública haga un mal uso de la IA desoyendo informes técnicos previos, se “amonestará” a los responsables.
“Mi principal preocupación en torno al anteproyecto de ley es la siguiente: ¿quién protege mis derechos como ciudadano? Sabemos que la Administración está usando la IA para vigilarnos. ¿Por qué no podemos vigilar nosotros a la Administración?”, resume Borja Adsuara, experto en derecho digital. Este jurista ha sido el impulsor de las alegaciones centradas en la ausencia de castigos tangibles al sector público presentadas por ocho asociaciones y entidades, entre ellas OdiseIA, Enatic, Asociación Española de Profesionales de la Privacidad (APEP), España Digital o Internautas.
Para Adsuara, el problema de fondo no es que la Administración no deba pagar cuando haga un mal uso de la tecnología. “No es una cuestión de dinero, sino de que se conozcan los malos usos. Si una ley no tiene régimen sancionador, no es una ley, sino un canto al sol”, añade. El abogado opina que debería haber un juez que intervenga los sistemas de vigilancia ciudadana, igual que hay uno que se ocupa del CNI, para ver si el sector público está incumpliendo o no las normas.
“Es muy legítimo que se reclamen desde la sociedad civil sanciones, pero a lo mejor habría que fijarse más en las capacidades de actuación cuando se detecta que haya posibles incumplimientos, y sobre todo en la prevención”, sostiene por su parte Lorenzo Cotino, presidente de la Agencia Española de Protección de Datos (AEPD). “Nos va a interesar mucho más que haya registros de estos sistemas para detectarlos a tiempo. Y buscar la colaboración y participación para hacerlo antes de que se implanten esos sistemas, porque si no luego habría que paralizarlos”.
Cotino defendió en una entrevista a EL PAÍS la creación de un registro de algoritmos públicos, que podría servir como base para hacer seguimiento de estas herramientas digitales. “Si un sistema no cumple con el derecho, desde el momento en que se detecte, se puede suspender y paralizar. Que luego haya o no una sanción puede ser también importante, pero creo que lo que más le ha de preocupar a un ciudadano es que se cuente con garantías para poder actuar desde el minuto cero”, apunta.
Tecnología en EL PAÍS
