Reglamento que promueve el uso de la Inteligencia Artificial (IA) en favor del desarrollo económico y social del Perú

A finales del mes de abril de 2024 la Presidencia del Consejo de Ministros (PCM) publicó el proyecto de reglamento que promueve el uso de la IA en el Perú. Este se desarrolló a partir de la Ley 31814 de julio de 2023 que promueve el uso de la IA en favor del desarrollo económico y social del país.

La Ley se planteó con la finalidad de fomentar la transformación digital, en un entorno seguro que garantice su uso ético, sostenible, transparente, replicable y responsable. Actualmente, las autoridades están afinando el contenido del reglamento con base a las opiniones, comentarios y sugerencias de la ciudadanía.

En lo positivo, este reglamento retoma las normas regulatorias de la Unión Europea (UE), pero su problema central es que delega el sistema en una institución minúscula de la estructura del Estado: Secretaría de Gobierno y Transformación Digital (SGTD), además se crea un centro asociado y se activan otros dos establecidos en 2020 que en realidad podrían integrarse. En general, suena bien, pero sin prioridad política, sin personal ni recursos todo podría quedar en buenas intenciones mientras la IA avanza aceleradamente.

Importancia

En la exposición de motivos se señala que es importante establecer un reglamento. En primer lugar, puede ocurrir un uso y desarrollo indebido de la IA que genere vulneración de derechos humanos o generación de daños a nivel individual, colectivo, social, al medio ambiente, entre otros.

En segundo lugar, se puede presentar discriminación y/o sesgos en el uso y desarrollo de la IA en los distintos sectores productivos, financieros, sociales, ambientales, entre otros, que impacte en la persona y sus derechos. En tercer lugar, que existe escasa transparencia, explicabilidad y trazabilidad sobre el uso o funcionamiento de la IA. No hay información pública ni privada sobre el funcionamiento, parámetros, datos o algoritmos utilizados por la IA que permitan explicar y entender los resultados a las personas que puedan ser afectadas.

En tercer lugar, existe una incipiente gobernanza de la IA. No se han asignado responsabilidades claras para su regulación; así como la estructura de gobernanza no ha tenido una aplicación específica para los proyectos que utilicen dicha tecnología o su implementación es aún incipiente; y, en cuarto lugar, hay una incipiente promoción del uso y desarrollo de la IA en la solución de necesidades o problemas públicos de los ciudadanos.

Objetivos

La propuesta normativa busca mejorar las condiciones que garanticen el respeto de los derechos humanos, un uso y desarrollo seguro, sostenible, ético, transparente, replicable y responsable de la IA. Asimismo, que garanticen el uso y desarrollo transparente y la rendición de cuentas.

Por otra parte, fortalece el marco institucional y la gobernanza del uso y desarrollo de la IA; y promueve y difunde el uso y desarrollo de la IA en el marco del proceso nacional de transformación digital a través la formación y retención de capital humano, su aplicación en los procesos productivos e innovación, la prestación de servicios públicos, y el mejor acceso a la infraestructura digital y de datos.

Estructura

El reglamento que regula y promueve el uso de la IA consta de 38 artículos distribuidos en cinco capítulos, cuatro subcapítulos, y cuatro disposiciones complementarias.

En el capítulo primero se establecen las disposiciones generales donde destacan los objetivos y ámbito de aplicación. Al respecto, es de cumplimiento obligatorio para el sector público, incluidas las empresas que se encuentran en el ámbito de FONAFE y las empresas públicas de los gobiernos regionales y locales. Asimismo, son aplicables al sector privado, la academia y sociedad civil.

Por otra parte, se incorporan una serie de definiciones, que han tomado como referencia la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial y se modifican determinados actos legislativos de la UE.

Por último, en este capítulo se establecen 4 principios adicionales a los establecidos en la Ley 31814 como los de estar centrado en la protección de la dignidad humana, la inclusión y equidad, la sostenibilidad, la sensibilización y educación en IA, la promoción del acceso compartido, la seguridad, proporcionalidad y fiabilidad, la no discriminación, la protección de la privacidad y datos personales, la transparencia y explicabilidad, la responsabilidad humana y la rendición de cuentas y supervisión humana.

Gobernanza

Se establece a la PCM, a través de la SGTD, como la autoridad técnico-normativa en materia de IA que desarrollaría acciones como proponer normas legales y reglamentarias para el uso y desarrollo de la IA; evaluaría y supervisaría los sistemas basados en IA; actualizaría las técnicas y enfoques; establecería las categorías de riesgos y las metodologías para su gestión; brindaría asistencia técnica, entre otras.

Asimismo, se desarrollan las obligaciones de las entidades públicas, los responsables en las entidades públicas y los instrumentos para el uso y desarrollo de la IA. El reglamento establece la creación de equipos técnicos multidisciplinarios para evaluar la necesidad y complejidad del potencial uso de la IA para la solución de un problema público considerando temas éticos y legales.

Por otra parte, establece los instrumentos para el uso y desarrollo de la inteligencia artificial como son el Centro Nacional de Innovación Digital e IA, el Centro Nacional de Computación de Alto Rendimiento (nueva creación a partir del Reglamento), el Centro Nacional de Datos, la infraestructura digital que deberán establecer los lineamientos, protocolos, estándares técnicos, difusión y promoción para el uso y desarrollo de IA. También se incorpora a la Autoridad Nacional de Protección de Datos Personales (que lamentablemente pocos conocen en el país).

Gestión de Riesgos

El reglamento desarrolla la clasificación de los sistemas basados en IA bajo un enfoque de riesgos; así como, una serie de obligaciones de aplicación escalonada en función del nivel de riesgo para lo cual se ha tomado en cuenta la clasificación de la propuesta de la UE.

Se establece que los sistemas basados en inteligencia artificial se clasifican en categorías de riesgo inaceptable, alto, medio y bajo en función del riesgo de afectación al trato equitativo, la transparencia y los derechos fundamentales. Adicionalmente, se establece una lista de actividades que de forma precautoria han sido categorizadas de alto riesgo en la UE.

Estas incluyen la identificación biométrica, seguridad para activos críticos, acceso y evaluación en educación y el campo laboral, programas sociales, evaluación crediticia de la persona; así como, su uso en la toma de decisiones por autoridades jurisdiccionales, en el acceso a servicios de salud, la evaluación del estado de salud de un individuo que puedan tener un impacto significativo en su bienestar físico o mental y la investigación de infracciones penales por las autoridades encargadas de la aplicación de la ley.

Lo inaceptable

Un sistema basado en IA es considerado de riesgo inaceptable cuando se utiliza para: a) modificar el comportamiento de una persona a través de técnicas subliminales o técnicas deliberadamente engañosas o el aprovechamiento de vulnerabilidades de un grupo poblacional específico; b) clasificar la fiabilidad de una persona natural o colectivo a través de la cuantificación de su conducta social, siempre que dicha clasificación le genere un efecto perjudicial y el contexto social no guarde relación con los datos de entrada.

En tercer lugar, c) clasificar la fiabilidad de una persona natural o colectivo a través de la cuantificación de su conducta social si le genera un efecto perjudicial y resulta injustificado o desproporcionado con respecto a su conducta social.

Obligaciones

Asimismo, el reglamento establece obligaciones específicas para los sistemas clasificados como de riesgo alto al requerir la implementación de medidas de gestión de riesgo, calidad de datos, trazabilidad, registros automáticos, elaboración de informes, instrucción al personal, controles humanos y de seguridad, siguiendo como buena práctica lo establecido en la UE.

El cumplimiento de dichas obligaciones corresponde al implementador, quién es definido como toda persona natural o jurídica que utiliza un sistema basado en inteligencia artificial excepto cuando su uso se da exclusivamente para actividades personales. Por otro lado, se establece que el implementador puede demostrar el cumplimiento de dichas obligaciones cuando el sistema basado en IA cuente con certificaciones ampliamente reconocidas y basadas en estándares internacionales. Además, establece que la SGTD realiza las acciones de clasificación y supervisión de riesgos en los sistemas.

Uso Responsable

El capítulo IV del reglamento busca fortalecer la privacidad, transparencia, seguridad y confianza en el uso y desarrollo de la IA dividiéndose, según temáticas, en dos subcapítulos: Medidas en materia de privacidad y transparencia; y medidas para la seguridad y confianza en el uso y desarrollo de la IA.

Aquí se establecen las condiciones generales aplicables a todos los sistemas basados en inteligencia artificial en las materias de privacidad, transparencia, uso ético y responsabilidad. Se propone que la protección de la privacidad involucra la implementación de medidas para su resguardo en todo el ciclo de vida de un sistema basado en IA de acuerdo con lo que establezca la Autoridad Nacional de Protección de Datos Personales. Asimismo, se introducen obligaciones de transparencia algorítmicas y de explicación a cumplir por parte del implementador.

En materia de seguridad se establece la aplicación de un enfoque de gestión de riesgos en todo el ciclo de vida de un sistema basado en IA. En adición, se señalan que los riesgos asociados a dichos sistemas son incorporados en el proceso de gestión de riesgos de seguridad digital.

Asimismo, se fomenta el uso de un sistema de etiquetado visible por parte de los proveedores o implementadores que sea aplicable a los textos, imágenes, vídeos y audios generados por sistemas basados en IA con el propósito que los ciudadanos puedan identificar su origen.

Promoción

El último capítulo del reglamento promueve el uso y desarrollo de la IA mediante el uso de datos, computación en la nube, formación de competencias, atracción y retención del talento, formación de redes de expertos, protección de la propiedad intelectual, programas de voluntariado, integración en los programas de emprendimiento e investigación, sensibilización ciudadana y el diseño e implementación de sandboxes (espacios aislados de experimentación para que no se puedan generar daños).

En función de las temáticas, este capítulo se divide en dos: Fomento del uso de datos y computación en la nube para la IA; y promoción del talento, competencias y fortalecimiento del ecosistema de colaboración para el uso y desarrollo de la IA. Estas incluyen el desarrollo de contenidos para la formación de competencias y capacidades en IA, entre otras actividades colaterales.