Actualmente la Inteligencia Artificial (“IA”) comprende un amplio rango de tecnologías que abarca mucho más allá que sistemas informáticos que buscan ejecutar tareas que antes solo podían ser realizadas por los seres humanos. La IA no se trata simplemente de los algoritmos que nos recomiendan que música escuchar o qué serie ver, sino también de sistemas complejos como asistencia robótica en cirugías o detección de transacciones financieras fraudulentas, sin embargo, a pesar de sus variadas aplicaciones, la mayoría de las personas únicamente asocian a la inteligencia artificial con la IA Generativa utilizada en plataformas como ChatGPT, Google, entre otros.

Considerando el crecimiento acelerado de la IA en los últimos años, la regulación no ha avanzado al mismo ritmo de la tecnología, lo que presenta riesgos para los consumidores que puedan ser afectados en los distintos ámbitos. Este artículo trata algunas de las regulaciones existentes de la IA en el mundo, y plantea el escenario para una posible regulación de la IA para el Ecuador tomando en especial consideración a la protección de datos personales.

En Estados Unidos, el pasado 30 de octubre de 2023, el presidente Biden emitió una orden ejecutiva, con la que se busca regular el uso seguro y confiable de esta tecnología. De manera amplia, la orden emitida busca contar con el apoyo de diferentes instituciones del gobierno para que puedan mitigar los riesgos de esta tecnología, pero considerando las aplicaciones beneficiosas también. Otro aspecto interesante de la regulación es el uso de la práctica conocida como “red teaming” donde las compañías líderes en el desarrollo de la tecnología de IA deben compartir resultados de los productos antes de sacarlos al público, garantizando así la seguridad y su uso responsable. Esta práctica ya se llevó a cabo con grandes competidores del mercado como OpenAI y Google, quienes voluntariamente participaron en una convención donde reconocidos hackers buscan llevar a las aplicaciones de IA Generativa a cometer errores en diferentes categorías como discriminación, difamación, desinformación, entre otras.

Por otro lado, la Unión Europea ha adoptado un enfoque distinto, donde las obligaciones para proveedores y consumidores son distintas en base al riesgo que se genere del uso de una especifica aplicación de la IA y su impacto con las personas. Así, han clasificado tres tipos de riesgo diferentes: i) Riesgo inaceptable, ii) Alto Riesgo y iii) Riesgo limitado (bajo riesgo). El riesgo inaceptable es aquel que constituye un riesgo o amenaza para la seguridad de los usuarios y sus derechos fundamentales y por tal motivo se encuentra totalmente prohibida cualquier aplicación de IA que se encuentre en esta categoría. Ejemplos de IA de riesgo inaceptable están aquellas que manipulan el comportamiento humano o clasificación social de personas en función de su comportamiento. Por otro lado, las aplicaciones de alto riesgo son aquellas que afecten negativamente a la seguridad o a los derechos fundamentales sin que dicha afectación constituya una amenaza a los mismos, por ejemplo, sistemas de seguridad que puedan impactar en la salud de las personas en caso de falla como por ejemplo regulación de tráfico o robots de asistencia en cirugía. Por último, el riesgo limitado son aquellas aplicaciones de la IA que no poseen un riesgo a la seguridad o derechos fundamentales pero que a pesar de ellos deberán contar con requisitos de transparencia para que los usuarios puedan decidir libremente si es que continúan interactuando con las aplicaciones o no. Un ejemplo de aplicación de riesgo limitado son las IA Generativas como Deepfakes.

En Latinoamérica solo tres países cuentan con una normativa especializada en IA: Perú, Chile y Brasil. Perú por su parte, el pasado 2023 publicó la Ley No. 31814 que busca promover el uso de la IA de manera ética, sostenible y transparente. Sin ser una ley extensa, dicha ley establece que para el desarrollo y uso de la IA se basaran en un sistema de riesgos, similar al utilizado en la Unión Europea y designa a la Secretaría de Gobierno y Transformación Digital como la autoridad responsable de dirigir, supervisar y evaluar el desarrollo de la IA. Esta ley en pocos artículos busca determinar de manera general los lineamientos para el desarrollo de esta tecnología sin ser invasiva o impeditiva. Está pendiente una reglamentación más profunda en este país, pero sin duda es un avance que busca un desarrollo progresivo, ético y transparente.

Brasil por su parte ha venido intentando regular la IA desde el año 2019 y solo apenas en el año 2023, con la Ley 2238/2023, logró regular esta tecnología adoptando un modelo en base de riesgos muy similar a la utilizada en la Unión Europea. Siendo una ley bastante más completa que aquella contemplada en la legislación peruana, esta ya determina obligaciones y responsabilidades para varias partes involucradas en el desarrollo y control de la IA dentro del territorio brasileño e incluso establece penalidades por el incumplimiento de la normativa.

Chile por otro lado, a pesar de no tener una regulación aún, cuenta con un proyecto avanzado dentro del Congreso que también sigue los lineamientos de la Ley de Inteligencia Artificial de Europa. Así Chile, se suma al movimiento internacional de contar con una calificación de riesgos de los sistemas de la IA y en base de la cual se definen una serie de obligaciones y deberes diferentes para las partes involucradas en el desarrollo y consumo de la IA.

El Ecuador, si bien no cuenta con una ley que regule la Inteligencia Artificial, se esperaría cualquier regulación siga de manera general los lineamientos de la Ley de Inteligencia Artificial de Europa como lo hicieron los países de Latinoamérica y como se hizo con la Ley Orgánica de Protección de Datos Personales (“LOPDP”). Con esto en consideración, existen factores que se deben tomar en cuenta para proponer una ley de IA en el Ecuador.

En el Ecuador, para que cualquier regulación de la IA funcione, esta debe cumplir con cuatro aristas principales: i) debe garantizar el libre desarrollo de la tecnología, no pudiendo ser limitativa, ii) debe ser flexible y dinámica pues la tecnología está en constante cambio y una ley rígida será inservible dentro de poco tiempo, iii) debe promover y garantizar un desarrollo responsable, ético y transparente por parte de los creadores de estas tecnologías y por ende debe asegurar un control efectivo que tenga la participación del sector público y privado, en especial aquellas organizaciones u empresas que tengan más años de experiencia, iv) por último, debe enfocarse en la protección de los usuarios, mas no en la regulación de la tecnología como tal, lo cual ha sido logrado a través de la regulación basada en el riesgo que presenta el uso de la IA, aplicada tanto por la Unión Europea como en otros países de Latinoamérica.

En el Ecuador, una regulación de la IA implicaría una correlación con algunas leyes como la Ley de Protección de Datos Personales, la Ley Orgánica de Defensa del Consumidor, el Código Orgánico de la Economía Social de los Conocimientos, la Ley Orgánica de Emprendimiento e Innovación entre otras. En lo que respecta a la LOPDP, si bien no podemos determinar el alcance de la correlación al momento, si se puede pensar en la íntima relación que mantiene la regulación de la IA con la protección de datos personales. Para empezar la IA funciona sobre conjuntos extensos de datos alimentados a computadoras que pueden contener y tratar datos personales e incluso sensibles convirtiendo a la protección de datos en un factor importante en el desarrollo de cualquier IA. Si bien la IA no es incompatible con la protección de datos, si pueden ser limitativas la una con la otra.

Un ejemplo de esta correlación y limitación es la obtención de una base legitimadora para el tratamiento de los datos personales utilizados por una IA Generativa. Las IA´s Generativas operan sobre de bases de datos, páginas web, intermediarios y en general grandes cantidades de información pública y privada que alimentan a sistemas computacionales complejos en los cuales puede constar datos personales e incluso sensible. Nuestra LOPDP reconoce algunas bases legitimadoras para tratar datos personales como el consentimiento, el interés legítimo, la ejecución de un contrato, entre otros. El obtener el consentimiento de todos aquellos titulares cuya información está siendo utilizada por la IA Generativa, o el facilitar la ejecución de los derechos ARCO a los titulares resulta complejo e inconveniente. Así la IA Generativa tiene que buscar en bases alternas para justificar el tratamiento de datos personales de los titulares de la información, ya sean consumidores, trabajadores e incluso terceros que puedan verse afectados. Este es un simple ejercicio con uno de los varios problemas que pueden encontrarse al correlacionar la IA con la protección de datos personales sin implicar que estas sean incompatibles, si no para demostrar que el trabajo de regularlo se vuelve técnico y complejo.

En el Ecuador es necesario impulsar el desarrollo de una regulación de IA a fin de precautelar los derechos de los proveedores, consumidores y terceros. A diferencia de lo que ha ocurrido con otras normas, para regular los avances tecnológicos, es de suma importancia que se involucren en la creación y discusión de las regulaciones específicas los principales jugadores en la industria, la academia, el gobierno y profesionales que puedan dar una opinión valiosa. El consenso de todos implicados con la Asamblea generaría un resultado proteccionista para los consumidores, pero justo para el desarrollo de la tecnología. Este consenso llevaría a un desarrollo responsable de la IA y posiblemente incluso una atracción de talento humano al Ecuador para desarrollar este tipo de tecnologías. Adicionalmente, se debe analizar las limitaciones y correlaciones que puede tener esta ley con otras ya existentes en el ordenamiento jurídico para prevenir inconsistencias e incompatibilidades. Por último, conviene mencionar que la tecnología trasciende fronteras y que por lo tanto es importante considerar no solo la regulación de nuestros países vecinos con quien más intercambiamos talento humano e información, sino la regulación global de la inteligencia artificial.