L’esperada proposta de legislació de la Unió Europea sobre intel·ligència artificial ha estat aplaudida per la majoria dels experts. Era el pas natural després de la posada en marxa del Reglament General de Protecció de Dades (RGPD). “Hem viscut un període de ‘tot s’hi val’, en el qual hem construït sistemes d’intel·ligència artificial pel fet de ser capaços de construir-los. Aquesta legislació cerca posar límits a aquest enfocament”, assenyala Josep Curto, professor dels Estudis d’Informàtica, Multimèdia i Telecomunicació de la UOC. Però la proposta de la normativa també ha obert el debat sobre el que no regula la legislació. I en opinió de professionals com en Sergio de Juan-Creix, professor col·laborador de Dret del grau de Comunicació de la UOC, un dels camps que queda més desemparat és el dels neurodrets, l’àrea relacionada amb la nostra privacitat i identitat mental.
“La intel·ligència artificial és l’eina necessària per predir el teu comportament i, basant-se en això, oferir-te productes o serveis en funció de com ets o quin és el teu estat d’ànim, anticipant-te a aquest o modelant-lo al gust de l’oferent. Això va més enllà de la privacitat o fins i tot de la intimitat perquè per fer-ho necessiten tenir cert control predictiu sobre la teva ment”, afirma De Juan-Creix, expert en dret digital del despatx Croma Legal. El professor col·laborador de la UOC i advocat recorda que aquesta intrusió pot traduir-se en una manipulació a gran escala i pot tenir un impacte directe en les nostres decisions i en els neurodrets, un camp totalment verge que continua sense regular-se en aquesta legislació. En la mateixa línia es pronuncia Josep Curto, qui afirma que, encara que és molt complicat delimitar fins on ha d’arribar la normativa, “sorprèn que no es considerin àrees que afecten els consumidors i que estan lligades a les bombolles d’informació, les notícies falses o les xarxes socials”, adverteix. I afegeix que també crida l’atenció l’omissió, en l’àmbit tècnic, de recomanacions d’enfocaments que preservin la privacitat, els sistemes coneguts com privacy-preserving machine learning.
Altres aspectes que podrien arribar a crear controvèrsia si continuen sense regular-se són els referits a l’ús d’intel·ligència artificial en les creacions intel·lectuals. Com explica De Juan-Creix, un dels requisits per ser propietat intel·lectual és l’originalitat, “en el sentit de novetat i de ser una creació humana original. Però si es tracta d’una creació d’un robot, hi ha propietat intel·lectual? I, si és el cas, de qui és? Del propietari del robot? Del programador de la intel·ligència artificial?”, es pregunta. Igualment, el professor col·laborador de la UOC creu que no queda ben delimitat l’assumpte relatiu a la responsabilitat civil. “Qui és la persona responsable en cas que s’incorri en una fallada? És qui crea? Qui integra? Qui manté? Qui controla? Tots ells? Amb el mateix nivell de responsabilitat? Com es distribuirà aquesta responsabilitat? I, sobretot, això com es farà comprensible per al consumidor?”, planteja, i indica que aquestes consideracions requeriran un llarg procés de negociació, d’implantació i, finalment, assimilació.
Els dos experts recorden que aquesta proposta encara està en fase d’aprovació i la seva redacció final pot variar significativament, i fins i tot abordar en el futur tots aquests espais en blanc. En cas de fer-ho, hi hauria un altre punt revisable, segons la seva opinió: el de com les empreses articularien el compliment de la normativa. “El teixit d’empreses a Europa és ampli, i la manera en què consumiran intel·ligència artificial serà molt diferent, per la qual cosa serà molt fàcil cometre errors. Trobo a faltar la recomanació d’un rol similar al de responsable del tractament de dades (DPO) al Reglament general de protecció de dades (RGPD)”, assenyala Josep Curto. “Aquest rol pot ser CDO (chief data officer), CAO (chief analytics officer) o equivalent, i ha de col·laborar amb el departament d’auditoria intern i amb el legal, així com participar en el comitè de govern de la dada”, afegeix.
Igualment, les multes previstes podrien revisar-se, ja que les indicades a la proposta —fins a vint milions d’euros o el 4 % de la facturació anual— són similars a les presentades en la regulació de RGPD, “i com hem vist en els últims anys, moltes empreses han rebut sancions vinculades al tractament i a la protecció de les dades de client, i així i tot algunes d’aquestes continuen realitzant les mateixes pràctiques perquè operen en múltiples països al mateix temps i busquen estratagemes per saltar-se el compliment”, apunta Josep Curto. Segons la seva experiència, una possible solució seria realitzar accions coordinades entre països respecte a les empreses investigades perquè les sancions acumulades anessin realment eficaces.
Una altra opció seria elevar la quantia de les multes. “Cal tenir en compte que la intel·ligència artificial no només pot arribar a envair la intimitat, sinó que es pot donar el cas d’arribar a col·lapsar un centre de salut, per exemple. I en aquest camp, igual que en el militar o en temes de control de la població, vint milions d’euros em sembla una sanció irrisòria, igual que el 4% de la facturació. Si a Facebook les sancions no l’espanten perquè pot pagar-les, hauria d’haver-hi un apartat diferent, amb una quantia més elevada encara que sigui amb efectes dissuasius, per a megacompanyies com aquestes que, controlant sistemes d’intel·ligència artificial, poden consolidar encara més el seu poder i la seva dependència tecnològica”, assenyala Sergio de Juan-Creix.
