El Reglamento de Inteligencia Artificial: frecuentemos el futuro

Publicado el

El Reglamento de Inteligencia Artificial: frecuentemos el futuro

JESÚS R. MERCADER UGUINA
Catedrático de Derecho del Trabajo y de la Seguridad Social
Universidad Carlos III de Madrid 

Después de un largo período de tramitación y tras sortear variados obstáculos, el Parlamento Europeo ha dado luz verde al Reglamento de Inteligencia Artificial (Resolución legislativa del Parlamento Europeo, de 13 de marzo de 2024, sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (Ley de Inteligencia Artificial) y se modifican determinados actos legislativos de la Unión]) [en adelante, RIA]. Una norma cuyo objetivo declarado en su primer artículo es promover la adopción de una Inteligencia Artificial (IA) centrada en el ser humano y fiable y garantizar un elevado nivel de protección de la salud, la seguridad, los derechos fundamentales, la democracia y el Estado de Derecho frente a los efectos nocivos de los sistemas de inteligencia artificial en la Unión, apoyando al mismo tiempo la innovación. Su escalonada entrada en vigor (art. 113 RIA) permitirá su adecuada comprensión, pero, a su vez, esta vigencia diferida tendrá que luchar contra el acelerado cambio que vive esta materia donde el futuro se convierte en pasado a enorme velocidad. Es evidente que el análisis de una norma de esta envergadura requiere de una lectura sosegada que permita su integral comprensión. Sirvan estas líneas, por ello, para hacer un primer y somero acercamiento a los vértices fundamentales que ofrece desde la perspectiva laboral.

El RIA parte de la definición del concepto de “sistema de inteligencia artificial”. Una noción que se alinea definitivamente con la propuesta por la Organización para la Cooperación y el Desarrollo Económicos (OCDE) en mayo de 2019, y que ahora aparece, por primera vez, definida normativamente con las consecuencias que ello implica. Se entiende, así, por tal “un sistema basado en una máquina diseñado para funcionar con distintos niveles de autonomía, que puede mostrar capacidad de adaptación tras el despliegue y que, para objetivos explícitos o implícitos, infiere de la información de entrada que recibe la manera de generar información de salida, como predicciones, contenidos, recomendaciones o decisiones, que puede influir en entornos físicos o virtuales”. La norma también busca dotar de un régimen jurídico propio a los que califica de “modelos de IA de uso general” (art. 3.63), denominados en versiones anteriores del RIA como “modelos fundacionales”, esto es, la inteligencia artificial generativa que tiene en ChapGPT su mascarón de proa.

El RIA otorga carácter de principio a lo que denomina “alfabetización en materia de inteligencia artificial” que enuncia en su art. 4 y conceptúa en el art. 3.56 del siguiente modo: “Los proveedores y responsables del despliegue de sistemas de IA (en el caso laboral, los empleadores) adoptarán medidas para garantizar que, en la mayor medida posible, su personal y demás personas que se encarguen en su nombre del funcionamiento y la utilización de sistemas de IA tengan un nivel suficiente de alfabetización en materia de IA, teniendo en cuenta sus conocimientos técnicos, su experiencia, su educación y su formación, así como el contexto previsto de uso de los sistemas de IA y las personas o los grupos de personas en que se utilizarán dichos sistemas”. Como precisa el Considerando (20), “la alfabetización en materia de inteligencia artificial debe proporcionar a todos los agentes pertinentes de la cadena de valor de la IA los conocimientos necesarios para garantizar el cumplimiento adecuado y la correcta ejecución. Además, la puesta en práctica general de medidas de alfabetización en materia de inteligencia artificial y la introducción de acciones de seguimiento adecuadas podrían contribuir a mejorar las condiciones de trabajo y, en última instancia, sostener la consolidación y la senda de innovación de una IA fiable en la Unión”.

Definido su ámbito de aplicación, el RIA, como precisa su Considerando (9), conforma un conjunto de normas armonizadas que “deben aplicarse en todos los sectores y, en consonancia con el nuevo marco legislativo, deben entenderse sin perjuicio del Derecho vigente de la Unión, en particular en materia de protección de datos, (…), derechos fundamentales, empleo, protección de los trabajadores (…)”. Una regla de salvaguardia con expresa proyección en lo laboral que queda materializada en su art. 2.11: “El presente Reglamento no impedirá que los Estados miembros o la Unión mantengan o introduzcan disposiciones legales, reglamentarias o administrativas que sean más favorables a los trabajadores en lo que atañe a la protección de sus derechos respecto al uso de sistemas de IA por parte de los empleadores o fomenten o permitan la aplicación de convenios colectivos que sean más favorables a los trabajadores”. Y es que, como viene a aclarar de nuevo el Considerando (9), esta norma “tampoco debe afectar en modo alguno al ejercicio de los derechos fundamentales reconocidos en los Estados miembros y a escala de la Unión, incluidos el derecho o la libertad de huelga o de emprender otras acciones contempladas en los sistemas de relaciones laborales específicos de los Estados miembros y el derecho a negociar, concluir y hacer cumplir convenios colectivos o a llevar a cabo acciones colectivas conforme a la legislación nacional”. De igual modo, se añade, “el presente Reglamento no debe afectar a las disposiciones destinadas a mejorar las condiciones laborales en el trabajo en plataformas digitales”, en los términos que defina la recientemente aprobada Directiva en esta materia.

Los sistemas de IA son un producto que requiere de tres elementos: datos, algoritmos y capacidad de computación. Los datos masivos son la materia prima, el aire que respiran los sistemas de IA. La inescindible conexión del RIA con el Reglamento General de Protección de Datos Personales, resulta evidente y ello se pone de manifiesto en las múltiples y recíprocas interacciones que se producen entre ambas normativas. Con todo, el ámbito donde esta imbricación alcanza su máximo nivel es el de la métrica de las personas, la biometría. Un repaso de las categorías empleadas por el RIA en relación con estos sistemas [“datos biométricos” (art.3.34), “identificación biométrica” (art. 3.35), “verificación biométrica” (art. 3.36), “sistema de reconocimiento de emociones” (art. 3.39), “sistema de categorización biométrica” (art. 3.40), “sistema de identificación biométrica remota” (art. 3.41), “sistema de identificación biométrica remota en tiempo real” (art. 3.42), o “sistema de identificación biométrica remota en diferido” (art. 3.43)] muestra su relevancia. Una relevancia que se proyecta sobre los distintos modelos que se vinculan con los también distintos niveles de riesgo. La era del capitalismo de la vigilancia, en la conocida expresión de Zuboff, supone un enorme desafío al que viene a tratar de poner coto esta norma.

Sobre las anteriores bases, el RIA asienta su actuación sobre lo que podríamos calificar su “triángulo de oro”: aproximación desde el riesgo, garantías y responsabilidades.

El riesgo está asociado, de manera inescindible, a los cambios que lleva consigo la incorporación de los nuevos sistemas de IA. Así lo pone de manifiesto la RIA que articula su regulación, precisamente, sobre una aproximación desde la idea de “riesgo”, definida como “la combinación de la probabilidad de que se produzca un daño y la gravedad de dicho daño”. El Reglamento establece una jerarquía de riesgos en función del uso de la IA y sobre las categorías detectadas, establece una serie de obligaciones cuyas proyecciones sobre lo laboral resultan más que evidentes.

En este ámbito quedan directamente proscritos los sistemas de reconocimiento de emociones. El RIA expresamente prohíbe “la introducción en el mercado, la puesta en servicio o la utilización de sistemas de IA para inferir las emociones de una persona física en los ámbitos de la aplicación de la ley (…) en lugares de trabajo (…)” (art. 5.1 f) RIA). Igualmente se encuentra prohibida “la introducción en el mercado, la puesta en servicio para este fin específico o el uso de sistemas de categorización biométrica que clasifiquen individualmente a las personas físicas sobre la base de sus datos biométricos para deducir o inferir su raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, vida sexual u orientación sexual (…)” (art. 5.1 g) RIA).

Pero la pieza esencial del sistema que construye el RIA se asienta en el establecimiento de límites al uso de los sistemas que califica de “alto riesgo” (art. 6.1 y 2 por relación con lo establecido en el Anexo III del RIA). Una noción que, como precisa el Considerando (46), se diseña tomando en cuenta sus efectos, por cuanto incluye entre tales sistemas aquellos que “tengan consecuencias perjudiciales importantes para la salud, la seguridad y los derechos fundamentales de las personas de la Unión, y dicha limitación reduce al mínimo cualquier posible restricción del comercio internacional, si la hubiera”. Lo laboral ocupa, también aquí, un papel protagonista. Y es que, como viene a subrayar el considerando (48), “la magnitud de las consecuencias adversas de un sistema de IA para los derechos fundamentales protegidos por la Carta es especialmente importante a la hora de clasificar un sistema de IA como de alto riesgo. Entre dichos derechos se incluyen el derecho a la dignidad humana, el respeto de la vida privada y familiar, la protección de datos de carácter personal, la libertad de expresión y de información, la libertad de reunión y de asociación, la no discriminación, (y) los derechos de los trabajadores (…)”.

La lectura del art. 6.2 en relación con el Anexo III de RIA ratifica de modo concluyente la referida proyección a nuestro campo. Dicho Anexo III incorpora entre los sistemas de IA de alto riesgo los que afecten al “empleo, gestión de los trabajadores y acceso al autoempleo” y, en concreto, a) “Sistemas de IA destinados a ser utilizados para la contratación o la selección de personas físicas, en particular para publicar anuncios de empleo específicos, analizar y filtrar las solicitudes de empleo y evaluar a los candidatos” y “b) sistemas de IA destinados a utilizarse para tomar decisiones o influir sustancialmente en ellas que afecten a la iniciación, promoción y resolución de relaciones contractuales de índole laboral, a la asignación de tareas basada en la conducta individual o en rasgos o características personales, o al seguimiento y evaluación del rendimiento y la conducta de las personas en el marco de dichas relaciones”. El Considerando (57) justifica dicha inclusión sobre la base de que los mismos: “pueden perpetuar patrones históricos de discriminación, por ejemplo, contra las mujeres, ciertos grupos de edad, las personas con discapacidad o las personas de orígenes raciales o étnicos concretos o con una orientación sexual determinada, durante todo el proceso de contratación y en la evaluación, promoción o retención de personas en las relaciones contractuales de índole laboral. Los sistemas de IA empleados para controlar el rendimiento y el comportamiento de estas personas también pueden socavar sus derechos fundamentales a la protección de los datos personales y a la intimidad”.

El RIA incorpora un importante sistema de garantías que se anudan a los requisitos generales que deberán cumplir los sistemas de IA de alto riesgo “teniendo en cuenta sus finalidades previstas, así como el estado actual de la técnica generalmente reconocido en materia de IA” (art. 8). Ello lleva consigo el establecimiento, implantación, documentación y mantenimiento de un sistema de gestión de riesgos entendido como “un proceso iterativo continúo planificado y ejecutado durante todo el ciclo de vida de un sistema de IA de alto riesgo, que requerirá revisiones y actualizaciones sistemáticas periódicas” (art. 9). A ello se une la necesaria “gobernanza de los datos” (art. 10), las exigencias de un precisa documentación técnica (art. 11) y la necesidad de garantizar un nivel de trazabilidad del funcionamiento del sistema (art. 12). La transparencia suficiente para que los responsables del despliegue interpreten y usen correctamente la información de salida que incorporen los sistemas de IA, constituye un principio maestro (art. 13) al que se une la necesidad de que su diseño y desarrollo permita cumplir con el principio de humano al mando (art. 14). En fin, unos sistemas que se diseñarán y desarrollarán de modo que alcancen un nivel adecuado de precisión, solidez y ciberseguridad y funcionen de manera uniforme durante todo su ciclo de vida (art. 15).

Los responsables del despliegue de los sistemas de IA que incorporen estas técnicas se encuentran, además, obligados a cumplir con un ineludible presupuesto [art. 26.7 RIA y Considerando (92)]: “Antes de poner en servicio o utilizar un sistema de IA de alto riesgo en el lugar de trabajo, los responsables del despliegue que sean empleadores informarán a los representantes de los trabajadores y a los trabajadores afectados de que estarán expuestos a la utilización del sistema de IA de alto riesgo. Esta información se facilitará, cuando proceda, con arreglo a las normas y procedimientos establecidos en el Derecho nacional y de la Unión y conforme a las prácticas en materia de información a los trabajadores y sus representantes”. Una exigencia esencial si atendemos a los términos del Considerando (92) que considera que “este derecho de información es accesorio y necesario para el objetivo de protección de los derechos fundamentales que subyace al presente Reglamento (…)” y, además, se impone “incluso aunque no se cumplan las condiciones de las citadas obligaciones de información o de información y consulta previstas en otros instrumentos jurídicos (la referencia se hace a la Directiva 2002/14/CE)”.

El último vértice del triángulo de oro del RIA se cierra con un potente régimen de responsabilidades y sanciones asociadas. Como expresa el Considerando (168) del RIA, “se debe poder exigir el cumplimiento del presente Reglamento mediante la imposición de sanciones y otras medidas de ejecución”. Sus efectos parecen, a priori, demoledores. A título de ejemplo, el art. 99.3 RIA establece que: “El no respeto de la prohibición de las prácticas de IA a que se refiere el artículo 5 estará sujeto a multas administrativas de hasta 35 000.000 EUR o, si el infractor es una empresa, de hasta el 7 % de su volumen de negocios mundial total correspondiente al ejercicio financiero anterior, si esta cuantía fuese superior”. Por su parte, el art. 99.4 establece que: “El incumplimiento por parte de un sistema de IA de cualquiera de las disposiciones que figuran a continuación en relación con los operadores o los organismos notificados, distintas de los mencionados en el artículo 5, estará sujeto a multas administrativas de hasta 15.000.000 EUR o, si el infractor es una empresa, de hasta el 3 % de su volumen de negocios mundial total correspondiente al ejercicio financiero anterior, si esta cuantía fuese superior”, resultando a nuestros efectos relevante el apartado e) que proyecta los anteriores efectos sobre “las obligaciones de los responsables del despliegue con arreglo al artículo 26”.

Hace años comenzaba un trabajo sobre la empresa panóptica con una cita de la carismática obra “Sostiene Pereira”. Decía su médico al nostálgico Pereira: “deje ya de frecuentar el pasado, frecuente el futuro. ¡Qué expresión más hermosa!, dijo Pereira, frecuentar el futuro…” Hermoso o no, debemos comenzar a frecuentar el futuro que nos aguarda con el desarrollo de la IA y el análisis y reflexión sobre este Reglamento puede ser la senda por la que, necesariamente, debamos transitar los laboralistas.

Briefs AEDTSS, 42, 2024

Categories: BRIEFS DE LA AEDTSS