Federico Bueno de Mata

Profesor Titular de Derecho Procesal en la Universidad de Salamanca y Vocal de ENATIC

Para hablar del futuro es necesario realizar una referencia a la novísima Propuesta de Reglamento de fecha 21 de abril de 2021, por la que se establecen normas armonizadas sobre la inteligencia artificial en la Unión, cuestión que también afectará irremediablemente en un futuro próximo a las investigaciones tecnológicas en la era postcovid, y en consecuencia, a los procesos penales donde se utilicen datos electrónicos.

Con esta normativa se vislumbra un futuro restrictivo en el uso de la IA a través de una regulación que frene su desarrollo y uso indiscriminado, con el fin de salvaguardar los valores últimos de la UE. Podemos decir que sería una parte dentro del Programa Europa Digital que actúa como su némesis. Dentro de este programa existe un topic principal consistente en “Configurar el futuro digital de Europa[1]” orientado en buscar una verdadera transformación digital de la UE con fiel respeto a los derechos fundamentales de los ciudadanos y como protagonista el desarrollo de la tecnología 5G mediante herramientas tecnológicas basadas en inteligencia artificial. Esta estrategia se traduce en impulsar, para todas las administraciones públicas y privadas, aplicaciones basadas en asistentes virtuales, herramientas predictivas, incorporación de bots o biometría entre otras. En definitiva, estamos hablando de utilizar Big Data, es decir, macrodatos en abierto[2], lo que causará inevitablemente un impacto en la privacidad de los ciudadanos europeos.

Además, esta propuesta de Reglamento sobre IA proporciona una definición de lo que se debe entender por este tipo de tecnología o herramienta, indicando que estaríamos ante “un software que, mediante el empleo de técnicas matemáticas y de programación, conocidas como “algoritmos”, permiten elaborar resultados que sirven para realizar predicciones, pronósticos de conductas, recomendaciones de decisiones futuras, entre otros fines”; cuestión de especial importancia al enfocar solo la definición en la parte intangible, y desligando acertadamente su desarrollo propio de la robótica, para lo que hay una serie de textos concretos y sobre las que gran parte de la sociedad y la doctrina entrelaza de manera confusa.

La Comisión Europea es consciente del alto grado de injerencia que este tipo de tecnología puede tener sobre el derecho fundamental a la protección de datos de los administrados, por lo que se deben plantear una serie de cautelas en la configuración de las aplicaciones por defecto. Quiere decir que partimos de una serie de requisitos previos de seguridad a nivel legal que se deberán cumplir y de que del mismo modo existe opacidad en muchos algoritmos que pueden generar complicaciones legales y desconfianza por parte de sus potenciales usuarios.

En este sentido, el proyecto presenta una normativa que clasifica los tipos de IA en función del riesgo de afectación e injerencia para los derechos fundamentales de los ciudadanos, diferenciando cuatro categorías: a) riesgo inadmisible, b) alto riesgo, c) riesgo limitado; d) riesgo mínimo.

Riesgo inadmisible significa que dichos programas estarán prohibidos y que por tanto no podrían tener una inclusión comercial al exponerse a una sanción concretamente sobre el 5% de los beneficios anuales de la empresa que lo desarrolle. Entre los usos prohibidos podemos encontrar todos los programas persuasivos que lleguen a manipular subliminalmente a los usuarios, aquellos que ataquen a colectivos especialmente vulnerables y que les pueda causar daño físico o moral, los que se basen en sistemas de “puntuación social” o aquellos que se basen en sistemas de reconocimiento biométrico en espacios abiertos y con finalidades privadas y no autorizadas previamente en el marco de una investigación policial ante casos de especial gravedad entre los que la propuesta de Reglamento destaca propiamente el terrorismo.

De igual modo, también sufrirán especiales limitaciones los sistemas de alto riesgo y tendrán que pasar una serie de filtros si quieren ser comercializados sin que se les llegue a imponer una sanción. Cuestiones vinculadas a filtrado de perfiles para recursos humanos, perfilación, transporte o infraestructuras críticas deberán demostrar mecanismos para controlar los inevitables sesgos o a la discriminación algorítmica que lleven aparejados, al tiempo que deberán contar así con una supervisión por humanos. Con este nuevo bloque la UE deja clara su apuesta por un tipo de IA que sirva de apoyo, pero nunca de sustitución completa, a labores vinculadas a administraciones públicas.

Nos parece un enorme acierto afrontar la discriminación algorítmica con controles humanos, que haya obligaciones de testar de manera continuada y que exista un feedback de diversos profesionales, así como poder desarrollar guías de buenas prácticas o estándares de uso de IA. Todo ello dota de enorme valor la propuesta de crear un Consejo Europeo de Inteligencia Artificial, formado por comités de expertos que asesoren sobre la materia. Esta cuestión sigue la estela de la réplica de otros campos como la de robótica. Cuestión distinta y aún por definir es todo lo relativo a la creación de sistemas de compliance en este sentido o códigos de conducta a la hora de desarrollar y aplicar los algoritmos.

¿Cómo se pretende realizar todo ello?  A través de lo que se denomina sandboxes regulatorios (cajas de arena). Hablamos de un entorno de pruebas cerrado, diseñado para experimentar de forma segura con proyectos de desarrollo web o de software. Es decir, realmente estaríamos hablando de una especie de campo de pruebas para nuevas herramientas tecnológicas que se encuentran en el plano alegal y que deben ser supervisados por las instituciones regulatorias. En este sentido, desde el punto de vista judicial una muestra clara sería el de la jurimetría o justicia predictiva, el cual podría encontrarse en esta franje de alto riesgo y del que se necesitaría un proceso de testar mucho más profundo que el que se ha hecho hasta el momento. Comienza así una lucha contra los algoritmos sesgados con soporte legal, pues el proyecto de Reglamento le dedica tres artículos, del 53 al 55. Concretamente el art. 53 apunta que “Los espacios aislados de regulación de la IA establecidos por una o más autoridades competentes de los Estados miembros o por el Supervisor Europeo de Protección de Datos proporcionarán un entorno controlado que facilite el desarrollo, la prueba y la validación de sistemas innovadores de IA durante un tiempo limitado antes de su comercialización o puesta en servicio con arreglo a un plan específico”. Estamos hablando de unas pruebas supervisadas, en las que cualquier riesgo significativo para la salud y la seguridad y los derechos fundamentales que se detecte durante el desarrollo y las pruebas de dichos sistemas dará lugar a una mitigación inmediata; tal y como recoge el punto tres del aludido precepto. Con ello, se abre un nuevo espacio de cooperación procesal internacional entre las autoridades competentes de los Estados miembros que hayan creado sandboxes o espacios aislados de regulación de la IA coordinarán sus actividades y cooperarán en el marco de la Junta Europea de Inteligencia Artificial.

De igual modo, en relación estricta con el objeto de la presente investigación: el uso de inteligencia artificial en la fase de instrucción del proceso penal, debemos acudir directamente al art. 52 de la propuesta de Reglamento, pues hace alusión expresamente a ello.

Así, el art. 52 regula las obligaciones de transparencia para determinados sistemas de IA. En este sentido será necesario que las personas que vayan a manejar el sistema sean informadas de las cuestiones de diseño y desarrollo sobre las que esa herramienta se ha configurado. Pero, a tenor de lo que atañe, esta cuestión queda excluida de los procesos penales, al indicar que “Esta obligación no se aplicará a los sistemas de IA autorizados por la ley para detectar, prevenir, investigar y perseguir delitos, a menos que dichos sistemas estén disponibles para que el público denuncie un delito”. Por tanto, solo deberán ser informados los usuarios si son herramientas de inteligencia artificial usadas por el público en general, pero no para autoridades judiciales.

Lo mismo ocurre con la biometría, ya que para ser autorizados estos sistemas deberán informar a las personas físicas que estén expuestas a los mismos, pero dicha obligación, según el art. 52.2 “no se aplicará a los sistemas de IA utilizados para la categorización biométrica, que están autorizados por la ley para detectar, prevenir e investigar delitos[3]”.

De igual modo, si estos programas manipulan contenidos de imagen, audio o video, provocando lo que se denomina comúnmente como “Deep-fake”, se deberá indicar expresamente que el contenido está manipulado de manera artificial. Aunque vuelve a poner una objeción para la investigación de delitos al indicar que “no obstante, no se aplicará cuando el uso esté autorizado por la ley para detectar, prevenir, investigar y perseguir delitos o sea necesario para el ejercicio del derecho a la libertad de expresión y el derecho a la libertad de las artes y las ciencias garantizados en la Carta de los Derechos Fundamentales de la UE, y siempre que se ofrezcan las garantías adecuadas para los derechos y las libertades de terceros”. Creemos firmemente que esta cuestión está planteada para permitir el uso de materiales camuflados o creados artificialmente por agentes encubiertos informáticos, y así permitir el intercambio de archivos de naturaleza aparentemente ilícita.

Se abre una nueva etapa del uso de herramientas de inteligencia artificial en esta parte del proceso, para los que España ya se encuentra preparada. Debemos poner en valor que nuestro país es uno de los pocos estados miembros con una estrategia propia sobre Inteligencia Artificial, hecha pública en diciembre del 2020 y en la que se pretenden invertir 600 millones de euros hasta el 2023.  La misma se deberá adaptar al futuro Reglamento, aunque busca los mismos objetivos, los cuales se pueden resumir en dos: respetar los derechos fundamentales y generar confianza en la ciudadanía.

Al incardinar la estrategia en la Vicepresidencia de Asuntos Económicos y Transformación Digital, podemos ver que el enfoque está planteado para hacer del desarrollo de la IA un nuevo vector económico. Esto a su vez, podría llegar a tener una fuerte repercusión a nivel de empleo y se inserta además en el Plan de Recuperación, Transformación y Resiliencia de la economía española, lo que conecta con los fondos Next Generation de la UE para hacer frente a las consecuencias provocadas a todos los niveles por la crisis sanitaria de la Covid-19 y al que se añade el fondo Next Tech de naturaleza público-privada. Desde el punto de vista jurídico se habla de conseguir un marco ético y normativo que garantice la protección de los derechos individuales y colectivos. Podemos decir que el punto cardinal que centrará esta acción en legislar la injerencia de la IA en los derechos fundamentales de las personas entre los que destacará la protección de datos personales, para perseguir los fines propios recogidos sobre la materia en el mismísimo Tratado Fundacional de la Unión Europea.