Com em protegeix la llei europea d’IA? Les claus per entendre un text que entra en vigor avui
La UE restringeix molt la identificació automàtica amb dades biomètriques
BarcelonaL’Eurocambra va aprovar al març la primera llei específica per a la intel·ligència artificial del món, que entra en vigor aquest 1 d’agost. El seu articulat se centra sobretot en posar límits –i sancions– a les empreses que desenvolupin sistemes d’IA amb riscos potencials. Aquestes són algunes de les claus de l’articulat.
Qui està afectat per la llei?
Tots els operadors que comercialitzin un sistema d’intel·ligència artificial amb presència al territori de la Unió Europea. Els proveïdors són els que queden subjectes al compliment de les disposicions, però també la resta d’actors de la cadena de valor –és a dir, empreses intermediàries– poden haver de respondre per les seves accions. En canvi, no hi ha obligacions previstes per als usuaris finals.
Quins riscos considera la llei?
L’articulat preveu quatre categories de risc, ordenades de més elevat a menys: inacceptable, alt, limitat i mínim o nul. Com indica el seu nom, els sistemes amb riscos inacceptables estan directament prohibits, ja que poden comportar una amenaça per a la seguretat de les persones, els seus mitjans de vida o els seus drets. En el cas de sistemes de risc alt, es requereix que els sistemes estiguin registrats en una base de dades europea abans de començar a operar, i se’ls exigeix unes obligacions que tenen a veure amb com s’entrenen els algoritmes i la ciberseguretat. També es requereix que hi hagi supervisió humana i s’exigeix traçabilitat de les respostes generades. En el cas dels sistemes de risc limitat, el que es demana té sobretot a veure amb la transparència. I no hi ha obligacions específiques per als sistemes de la categoria de risc mínim o nul.
Quines pràctiques queden prohibides?
L’article cinquè detalla quins usos estan prohibits. No es permet, per exemple, “utilitzar tècniques subliminars que transcendeixin la consciència d’una persona” per alterar-ne el comportament i orientar-la a una conducta nociva. Ni tampoc explotar les vulnerabilitats d’un ciutadà a partir de la seva edat o discapacitat, o d’una situació social específica. La classificació de persones en diferents perfils a partir de dades biomètriques té també limitacions, sobretot si es fa servir per discriminar. I la IA no pot fer avaluacions d’un individu sobre el risc que cometi un delicte a partir de trets i característiques de la seva personalitat.
Aborda la llei el reconeixement facial en espais públics?
Sí. Una de les provisions és que no es poden crear bases de dades de reconeixement facial mitjançant l’extracció no selectiva d’imatges de cares extretes d’internet o de circuits tancats de televisió. Tampoc no es poden fer servir sistemes a la feina o a l’escola que infereixin les emocions d’una persona (amb l’excepció de si hi ha una justificació mèdica o de seguretat). La UE no permet la categorització biomètrica que classifiqui un individu segons raça, opinions polítiques, orientació sexual o conviccions religioses. Una de les excepcions que es preveu al reconeixement facial és rastrejar possibles víctimes de segrestos o prevenir una amenaça “específica, important i imminent per a la vida o la seguretat”, la qual cosa obre la porta a l’ús d’aquestes eines per part de cossos policials.
Qui farà complir la llei?
Tot i que la llei entri en vigor aquest 1 d’agost, les prohibicions tenen un període de moratòria i no es començaran a aplicar fins al 2 de febrer del 2025. Pel que fa a les obligacions, es podran implementar de forma progressiva, però hauran d’estar ja a ple rendiment l’any 2027. A partir d’aquí, seran els estats els responsables de vetllar per la correcta aplicació de la llei en els seus territoris. En el cas d’Espanya, l’organisme que se n'encarregarà serà l’Agència Espanyola de Supervisió de la Intel·ligència Artificial (AESIA), amb seu a la Corunya. La UE, per part seva, ha creat una Oficina Europea de la IA: un centre d’experts que donarà suport als estats, exercirà tasques de supervisió i promourà la cooperació internacional.
Quines multes es preveuen?
Els operadors que cometin un risc considerat inacceptable s’enfrontaran a multes que poden arribar als 35 milions d’euros o al 7% de la seva facturació total anual mundial. Aquest és el cas més extrem. Per a faltes de risc alt, hi ha una forquilla que va dels 2 als 15 milions d’euros. Cal tenir present, però, que aquesta llei se centra en els riscos per als ciutadans, però que els sistemes d’IA poden tenir altres fronts oberts, per exemple en matèria de drets intel·lectuals. I, per tant, estan sotmeses a altres cossos legislatius, també.