La Comisión Europea habilita una vía para alertar sobre infracciones del RIA, aunque persisten interrogantes sobre su coherencia normativa y su eficacia práctica
(Imagen: Comisión Europea en España)
El 24 de noviembre de este año la Comisión nos ha sorprendido con la materialización del art. 87 del Reglamento de IA (en adelante RIA): la puesta en funcionamiento de un canal de denuncias de infracciones sobre el Reglamento de IA la AI Act Whistleblower tool.
El objetivo de esta herramienta es proporcionar un canal confidencial y seguro para aquellas personas conocedoras de un incumplimiento de las obligaciones del Reglamento dentro de una organización, con el objetivo de alcanzar el desarrollo de una IA respetuosa con los derechos fundamentales, segura, protectora de la salud y que fomente la confianza en este tipo de tecnologías, tal y como indica el FAQ del canal. No obstante, analizando estas preguntas más frecuentes, surgen más dudas que certezas.
La primera de estas cuestiones gira en torno a su encaje con la normativa existente en materia de canal de denuncias. El propio artículo 87 RIA hace una remisión en plenitud a la directiva relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. Al amparo de esta norma, la herramienta tiene la consideración de canal externo. Así, la AI Office asume la obligación de admitir o no las denuncias con prontitud, en todo caso en un máximo de 7 días, así como la de garantizar su la autonomía e independencia de la vía de comunicación habilitada para recibir y tratar la información necesaria. Sin embargo, tanto esta categorización como la protección que dicha directiva ofrece a los denunciantes no entrará en vigor hasta el 2 de agosto del año que entra, momento en que según el art. 112 RIA entrará en vigor este precepto.
Ahora bien, la propia Comisión advierte que hasta entonces se puede hacer uso de esta herramienta, pero solo en aquellas situaciones en que los modelos de IA infrinjan alguna normativa especial relativa a protección de datos o seguridad de productos, entre otras. Esta precisión es algo confusa ya que los sistemas de IA son considerados productos en sí mismos y, en consecuencia, están sujetos a la vigilancia de productos por las autoridades de mercado de cada Estado Miembro, tal y como establece el Reglamento (UE) 2019/1020 sobre vigilancia del mercado y la conformidad de los productos. En consecuencia, podría aplicarse directamente la directiva Whistleblower en toda su extensión desde el momento en que se ha puesto en funcionamiento este canal de denuncias sin necesidad de hacer esa precisión de esperar hasta agosto para desplegar la protección a los denunciantes a nivel europeo, al estar ya amparador por aquella norma.
Centrándonos en el ámbito nacional, en aquellas situaciones que pueda haber denunciantes españoles, estos quedarían cubiertos por las medidas de protección de los artículos 35 a 41 de la Ley 2/2023 reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, particularmente la prohibición de represalias, las medidas de apoyo las medidas de protección frente a represalias; sin necesidad de esperar a la fecha de entrada en vigor del artículo 87 RIA, ya que la protección nacional proporcionada ya se encuentra vigente a la fecha de la puesta en marcha de ese canal de denuncias.
Otro de los puntos que pueden suscitar dudas, es la relativa a su efectividad o confianza por el propio procedimiento diseñado y publicado para la gestión de las denuncias.
(Imagen: E&J)
En primer lugar, es loable restringir el acceso únicamente a tres personas a la plataforma de recepción y puede infundir un halo de confianza en los denunciantes al ver su asegurada y tratada por pocas manos. No obstante, en una materia tan novedosa y técnica como es la inteligencia artificial, es necesario que el análisis sea realizado por legos en la materia, con quienes se va a compartir la información inicial, tal y como se afirma en el propio FAQ. Si bien es comprensible que la intención es controlar la información, salvaguardar el anonimato y la confidencialidad de la información; es más recomendable ser transparentes e indicar desde el principio cuál va a ser el flujo de información y qué posiciones van a tener acceso a la misma para dar garantías protección, en el caso de sufrir alguna represalia. La falta de información y la imprecisión de la misma puede tener un efecto disuasorio a la hora de denunciar irregularidades.
En segundo lugar, a la hora de tratar sobre la garantía del anonimato, un canal de denuncias externo en una materia tan sensible como la IA, por el alcance e impacto social que está teniendo como cambio de paradigma tecnológico, debería indicar con detalle cuáles son las medidas de seguridad concretas y qué se ha certificado. A día de hoy, es práctica común en el sector privado indicar en qué estándares (ISO’s) se está certificado y que son indicadores de cumplimiento y confianza.
Igualmente, se echa en falta mayor definición sobre qué se puede denunciar y qué no. A priori se puede comunicar cualquier infracción del RIA de cualquier sistema que se haya introducido o entrado en servicio en cualquier Estado miembro de la UE, lo que puede ser poco operativo, ya que parte de la idiosincrasia de la legislación europea es descentralizar tareas en las autoridades nacionales para ser más eficientes, quedando las autoridades a nivel europeo como supervisores o armonizar posiciones. Para evitar la disfunción y la ineficiencia de recursos dedicados a la investigación de denuncias sobre un mismo sistema de IA, debería haberse refinado más el procedimiento publicado indicando: qué tipo de denuncias corresponde conocer a la AI office a través de este canal, cómo se apoya o debería apoyarse en las autoridades de protección del denunciante nacionales para alcanzar el objetivo de protección de las personas e incluso haber publicado algún caso de uso o ejemplo que ayude a los potenciales denunciantes.
Otro matiz destacable, es la necesidad del consentimiento del denunciante para dar traslado de una investigación a otra autoridad competente o a un tercero que deba proseguirla. Siendo el objetivo del RIA la protección de lo derechos fundamentales y la salvaguarda de la salud y seguridad de las personas, iniciada una investigación ¿por qué dejar al consentimiento del denunciante continuar con la investigación o trasladarla a autoridades judiciales o administrativas que son las que deben proteger a la ciudadanía ante los abusos de los sistemas de IA? Habiendo indicios suficientes de la existencia de un ilícito, sea penal o administrativo, las autoridades competentes para la persecución de esas infracciones no deberían quedar supeditadas a ese consentimiento, tal y como deja entre ver este FAQ. Como hemos indicado en párrafos anteriores, la base del éxito de un canal de denuncias es la transparencia y claridad de cara al denunciante.
Ante este panorama de más dudas que certezas, si bien es una muy buena intención dar los pasos necesarios para articular un sistema robusto de denuncias, para el cumplimiento y control del Reglamento de IA; la publicación de la puesta en marcha de esta herramienta ofrece bastantes incertidumbres sobre su utilidad. El problema aquí es que una buena idea, y un canal más que necesario, en el estado actual puede acabar siendo ineficaz por no tener unas directrices claras sobre qué se puede alertar y qué papel va a jugar en la gobernanza institucional de los sistemas de IA. Cierto es que es solo un comienzo y que por algo hay que empezar, pero da la sensación de haber puesto en marcha una herramienta por ponerla en marcha más que con un objetivo claro y definido.
