La inteligencia artificial (IA) está revolucionando la salud al ofrecer oportunidades de mejora, al tiempo que también plantea desafíos regulatorios y éticos. Analizamos algunos instrumentos del marco regulatorio de la IA a nivel global y local.

Por Marie Olivier de Sanderval, abogada del Estudio Trevisán Abogados.

- – - – -

La inteligencia artificial (IA) está revolucionando el campo de la salud al ofrecer nuevas oportunidades para mejorar el diagnóstico, tratamiento y atención médica en general. Sin embargo, el rápido avance de la IA también plantea desafíos regulatorios y éticos. En respuesta a esta situación, surgieron nuevos instrumentos normativos tanto a nivel internacional como local. A continuación, analizaremos algunos de estos instrumentos que constituyen hitos importantes en el desarrollo de un marco regulatorio de la IA.

Aclaraciones preliminares:

-       Actualmente, no hay en el mundo leyes que regulen integralmente el uso de la IA. Sí hay, en muchos países (desde Canadá a India o incluso China) proyectos de regulación integral del uso de la AI, avanzando rápidamente en los últimos meses. El proyecto abstracto, genérico y abarcativo más “comentado” es el proyecto de Reglamento Europeo de Inteligencia Artificial (AI Act).

-       Existen acuerdos de “soft law”, de carácter no vinculante, que establecen recomendaciones de carácter éticos y guías de buenas prácticas en el uso y desarrollo de herramientas de IA.

-       Ante la ausencia legislativa ante descripta, las normativas de datos personales se usan para adoptar medidas respecto de los sistemas de IA.

Teniendo en cuenta estas aclaraciones, presentaremos algunos acuerdos de “soft law” que tienen implicancias en el campo de la salud (1) y el enfoque de la Unión Europea con respecto a la IA (2); para luego abordar la situación en Argentina (3).

1.     Análisis de unos acuerdos de “soft law”

1.1    Los principios rectores de la OMS

En julio de 2021, la OMS publicó el primer informe mundial sobre IA aplicada a la salud (informe titulado “Ethics and governance of artificial intelligence for health”).

A fin de limitar los riesgos y aumentar al máximo las oportunidades que conlleva la utilización de la IA en el ámbito de la salud, la OMS propuso que la reglamentación y gobernanza de la IA se basen en los seis principios siguientes:

• Preservar la autonomía del ser humano. En el contexto de la atención de salud, ello significa que los seres humanos deberían seguir siendo dueños de los sistemas de atención de salud y las decisiones médicas; se debería preservar la privacidad y la confidencialidad, y los pacientes deben dar su consentimiento informado y válido por medio de marcos jurídicos adecuados para la protección de datos.
• Promover el bienestar y la seguridad de las personas y el interés público. Los diseñadores de tecnologías de IA deberían cumplir los requisitos normativos en materia de seguridad, precisión y eficacia para indicaciones o usos bien definidos. Se deben instaurar medidas de control de la calidad en la práctica y de mejora de la calidad en la utilización de la IA.
• Garantizar la transparencia, la claridad y la inteligibilidad. La transparencia exige que se publique o documente información suficiente antes de la concepción o el despliegue de una tecnología de IA. Esa información debe ser fácilmente accesible y facilitar consultas y debates provechosos sobre la concepción de la tecnología y sobre el uso que se debería hacer o no de ésta.
• Promover la responsabilidad y la rendición de cuentas. Las tecnologías de IA permiten realizar tareas específicas; ahora bien, incumbe a las partes interesadas velar para que éstas sean utilizadas en condiciones apropiadas y por personas debidamente formadas. Se deberían instaurar mecanismos eficaces para que las personas y los grupos que se vean perjudicados por decisiones basadas en algoritmos puedan cuestionarlas y obtener reparación.
• Garantizar la inclusión y la equidad. La inclusión requiere que la IA aplicada a la salud sea concebida de manera que aliente la utilización y el acceso equitativos en la mayor medida de lo posible, con independencia de la edad, el sexo, el género, el ingreso, la raza, el origen étnico, la orientación sexual, la capacidad u otras características amparadas por los códigos de derechos humanos.
• Promover una IA con capacidad de respuesta y sostenible. Los diseñadores, desarrolladores y usuarios deberían evaluar de forma continua y transparente las aplicaciones de la IA en situación real a fin de determinar si ésta responde de manera adecuada y apropiada a las expectativas y las necesidades. Los sistemas de IA también se deberían concebir de modo que se reduzcan al mínimo sus efectos medioambientales y se aumente la eficiencia energética. Los gobiernos y las empresas deberían anticipar las perturbaciones ocasionadas en el lugar de trabajo, en particular la formación que se deberá impartir a los agentes de salud para que se familiaricen con el uso de los sistemas de IA, y las posibles pérdidas de empleos debidas a la utilización de sistemas automatizados.

1.2    La Recomendación sobre la Ética de la Inteligencia Artificial de la UNESCO

En noviembre de 2021, la UNESCO aprobó la Recomendación sobre la Ética de la Inteligencia Artificial, primer instrumento normativo mundial sobre la ética de IA.

Textualmente se aspira a “aportar un instrumento normativo aceptado mundialmente que no solo se centre en la articulación de valores[1] y principios[2], sino también en su aplicación práctica, mediante recomendaciones de política concretas (…)”. Sin perjuicio de su estatus de derecho blando y de los límites propios de normas del estilo, la consigna postulada llama la atención por cuanto excede la propuesta de principios generales orientadores que en otros instrumentos ensayó UNESCO y presenta, en cambio, recomendaciones de políticas concretas.

En ese marco, se consignan medidas específicas a desplegarse para la salud y el bienestar social.

Dichas medidas son de interés, por lo cual las reproducimos en su integridad a continuación:

ÁMBITO DE ACTUACIÓN 11: SALUD Y BIENESTAR SOCIAL

121. Los Estados Miembros deberían esforzarse por emplear sistemas eficaces de IA para mejorar la salud humana y proteger el derecho a la vida, en particular atenuando los brotes de enfermedades, al tiempo que desarrollan y mantienen la solidaridad internacional para hacer frente a los riesgos e incertidumbres relacionados con la salud en el plano mundial, y garantizar que su despliegue de sistemas de IA en el ámbito de la atención de la salud sea conforme al derecho internacional y a sus obligaciones en materia de derechos humanos. Los Estados Miembros deberían velar por que los actores que participan en los sistemas de IA relacionados con la atención de la salud tengan en cuenta la importancia de las relaciones del paciente con su familia y con el personal sanitario.

122. Los Estados Miembros deberían garantizar que el desarrollo y el despliegue de los sistemas de IA relacionados con la salud en general y con la salud mental en particular —prestando la debida atención a los niños y los jóvenes— estén regulados, de modo que esos sistemas sean seguros, eficaces, eficientes y probados desde el punto de vista científico y médico y faciliten la innovación y el progreso médico con base empírica. Además, en el ámbito conexo de las intervenciones de salud digital, se alienta encarecidamente a los Estados Miembros a que hagan participar activamente a los pacientes y sus representantes en todas las etapas pertinentes del desarrollo del sistema.

123. Los Estados Miembros deberían prestar particular atención a la regulación de las soluciones de predicción, detección y tratamiento médicos en las aplicaciones de la IA, mediante: a) la supervisión para minimizar y atenuar los sesgos; b) la inclusión del profesional, el paciente, el cuidador o el usuario del servicio en el equipo en calidad de “experto en la materia” en todas las etapas pertinentes al elaborar los algoritmos; c) una debida atención a la privacidad, dado que quizá sea necesaria una vigilancia médica, y el cumplimiento de todos los requisitos nacionales e internacionales pertinentes en materia de protección de datos; d) mecanismos eficaces para que las personas cuyos datos personales se están analizando sepan de la utilización y el análisis de sus datos y den su consentimiento informado al respecto, sin impedir el acceso a la atención de la salud; e) la garantía de que el cuidado humano y la decisión final sobre el diagnóstico y el tratamiento correspondan siempre a seres humanos, reconociendo al mismo tiempo que los sistemas de IA también pueden ayudarlos en su trabajo; f ) el examen, cuando sea necesario, de los sistemas de IA por un comité de investigación ética antes de su uso clínico.

124. Los Estados Miembros deberían realizar investigaciones sobre los efectos y la regulación de los posibles daños de los sistemas de IA para la salud mental, tales como un aumento de la depresión, la ansiedad, el aislamiento social, el desarrollo de adicciones, el tráfico, la radicalización y la información errónea, entre otros.

125. Los Estados Miembros deberían elaborar directrices sobre las interacciones entre seres humanos y robots y sus repercusiones en las relaciones entre seres humanos, basadas en la investigación y orientadas al desarrollo futuro de robots, y prestando especial atención a la salud mental y física de los seres humanos. Debería prestarse particular atención al uso de robots en la atención de la salud, en la atención a las personas de edad y las personas con discapacidad y en el ámbito de la educación, así como a los robots para uso infantil y para usos lúdicos, conversacionales y de compañía para niños y adultos. Además, deberían utilizarse las tecnologías de la IA para mejorar la seguridad y el uso ergonómico de los robots, en particular en entornos de trabajo en los que intervienen robots y seres humanos. Debería prestarse especial atención a la posibilidad de utilizar la IA para manipular los sesgos cognitivos humanos y hacer un mal uso de ellos.

126. Los Estados Miembros deberían velar por que las interacciones entre seres humanos y robots se ajusten a los mismos valores y principios que se aplican a cualquier otro sistema de IA, lo que incluye los derechos humanos y las libertades fundamentales, la promoción de la diversidad y la protección de las personas vulnerables o en situación de vulnerabilidad. Las cuestiones éticas relativas a los sistemas basados en la IA utilizados en las neurotecnologías y las interfaces cerebro-ordenador deberían tenerse en cuenta a fin de preservar la dignidad y la autonomía humanas.

127. Los Estados Miembros deberían velar por que los usuarios puedan determinar fácilmente si interactúan con un ser vivo o con un sistema de IA que imita las características humanas o animales y puedan rechazar eficazmente dicha interacción y solicitar la intervención humana.

128. Los Estados Miembros deberían aplicar políticas de sensibilización sobre la antropomorfización de las tecnologías de la IA y las tecnologías que reconocen e imitan las emociones humanas, especialmente en el lenguaje utilizado para referirse a ellas, y evaluar las manifestaciones, las implicaciones éticas y las posibles limitaciones de esa antropomorfización, en particular en el contexto de la interacción entre robots y seres humanos y, especialmente, cuando se trate de niños.

129. Los Estados Miembros deberían alentar y promover la investigación colaborativa sobre los efectos de la interacción a largo plazo de las personas con los sistemas de IA, prestando especial atención a las consecuencias psicológicas y cognitivas que estos sistemas pueden tener en los niños y los jóvenes. Para ello deberían utilizarse múltiples normas, principios, protocolos, enfoques disciplinarios y un análisis de la modificación de las conductas y los hábitos, así como una cuidadosa evaluación de los impactos culturales y sociales posteriores. Además, los Estados Miembros deberían alentar la investigación sobre el efecto de las tecnologías de la IA en el desempeño del sistema sanitario y los resultados en materia de salud.

130. Los Estados Miembros, así como todas las partes interesadas, deberían establecer mecanismos para hacer participar de manera significativa a los niños y los jóvenes en las conversaciones, los debates y la adopción de decisiones sobre las repercusiones de los sistemas de IA en sus vidas y su futuro

Por último, en materia de “soft law”, nos parece interesante resaltar que la Unión Europea y Estados Unidos anunciaron a fines de mayo 2023 la creación de un borrador de “código de conducta” común para la IA, que se aplicaría de manera voluntaria por las empresas del sector, frente al riesgo de que China tome la iniciativa de regular un ámbito en pleno auge.

2.     El enfoque de la Unión Europea

2.1  La propuesta de Reglamento de Inteligencia Artificial (AI Act)

En abril de 2021, la Comisión Europea presentó su paquete de IA, que incluía:

-       su Comunicación sobre el fomento de un enfoque europeo de la inteligencia artificial;

-       una actualización del Plan coordinado sobre inteligencia artificial (cuyo objetivo es acelerar la inversión en IA en Europa)

-       su propuesta de Reglamento por el que se establecen normas armonizadas sobre la IA  y la evaluación de impacto pertinente.

La propuesta de Reglamento de Inteligencia Artificial (AI Act) sigue un enfoque basado en los riesgos (distinguiendo entre cuatro niveles de riesgo diferentes: riesgo inaceptable, alto riesgo, riesgo limitado y riesgo mínimo) y establece un marco jurídico horizontal y uniforme para la IA encaminado a garantizar la seguridad jurídica. Promueve la inversión y la innovación en IA, mejora la gobernanza y la aplicación efectiva de la legislación vigente en materia de derechos fundamentales y seguridad, y facilita el desarrollo de un mercado único para las aplicaciones de IA.

En diciembre de 2022, el Consejo de la Unión Europea adoptó su posición común (orientación general) sobre el Reglamento de Inteligencia Artificial. El 11 de mayo de 2023, la Comisión de Mercado Interior y la Comisión de Libertades Civiles del Parlamento Europeo aprobaron un proyecto de mandato de negociación sobre el Reglamento antemencionado. Se espera que en junio el Parlamento finalice su posición para que las tres instituciones acuerden el texto definitivo para el Reglamento en la materia.

Se pretende lograr que los sistemas de inteligencia artificial puedan tener supervisión humana, sean seguros, transparente, trazables, no discriminatorios y respeten el medio ambiente, a la vez que se intenta lograr una definición de la IA que sea tecnológicamente neutra para perdurar en el tiempo ante los avances de la tecnología. En el proyecto se destaca la prohibición de los sistemas de inteligencia artificial que utilicen técnicas subliminales que trasciendan la conciencia de una persona para alterar su comportamiento, o se aproveche de las vulnerabilidades de un grupo específico de personas para alterar su comportamiento, también aquellas IA que evalúen y clasifiquen a las personas en periodos de tiempo por su conducta social (Scoring social).

Por otro lado, se clasifican las IA según el nivel de riesgo y establecen obligaciones para proveedores y usuarios en virtud de ese riesgo, que con el nuevo documento amplía la clasificación de áreas de alto riesgo incluyendo daños a la salud, la seguridad, los derechos fundamentales, el medio ambiente, las campañas políticas y los sistemas de recomendación utilizados por redes sociales según la ley de servicios digitales.

Se introducen nuevas prohibiciones de usos intrusivos y discriminatorios de sistemas de IA como la identificación biométrica remota “en tiempo real” en espacios de acceso público; la identificación biométrica remota “a posteriori” (salvo que autorice un juez en supuestos especiales), la categorización biométrica por datos sensibles (raza, sexo, estatus, religión, política, etc.), los sistemas policiales predictivos (según perfiles, localización o antecedentes), los sistemas de reconocimiento de emociones en determinados supuestos y la extracción indiscriminada de datos biométricos de redes sociales o grabaciones de CCTV para crear bases de datos de reconocimiento facial en violación de los derechos humanos y del derecho a la intimidad.

Los modelos de base generativa como GPT cumplirán requisitos adicionales de transparencia como identificar cuando un contenido fue generado por la IA, evitar que genere contenidos ilegales y publicar resúmenes de los datos protegidos por derechos de autor utilizados para su entrenamiento.

Los ciudadanos podrán presentar quejas sobre un sistema de IA de alto riesgo y recibir explicaciones claras y significativas sobre el papel de la IA en el procedimiento de toma de decisiones, los principales parámetros de la decisión adoptada y los datos de entrada relacionados.

Los sistemas estarán registrados y contarán con la supervisión de una oficina especializada.

2.2  IA y régimen de datos personales en la Unión Europea

Tal como lo indicamos en la introducción, aunque todavía no este adoptado definitivamente el AI Act, se utiliza la normativa de datos personales para adoptar medidas respecto de los sistemas de IA.

Pues, los sistemas de IA se “nutren” de datos, funcionan en base a datos, logran resultados derivados de recolectar y procesar estos datos, la mayor parte de los cuales son datos personales. Por eso resulta natural que se controle que los sistemas de IA cumplan con los requerimientos legislativos de datos personales.

El Reglamento de Protección de Datos de la Unión Europea (RGPD) contienen preceptos más específicamente aplicables a los sistemas de IA.

-       Mediante los principios de “Protección de datos desde el diseño y por defecto” (art. 25), el RGPD exige la adopción de ciertas “medidas técnicas y organizativas” ‘ex-ante’ desde el desarrollo mismo de los sistemas de tratamientos masivos de datos personales; así como medidas “con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento…. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.”

-       Por otra parte, el RGPD exige una “evaluación de impacto relativa a la protección de datos” (art. 35), cuyos requisitos mínimos se describen detalladamente (ítems a a d del inc. 7 del art. 35) “cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas”. Esta evaluación (‘Data Protection Impact Assessment’) debe ser realizada por el responsable “antes del tratamiento de datos”, previendo el RGPD situaciones específicas al respecto (especialmente para tratamiento de datos sistemáticos, automatizados y a gran escala) y la necesidad de requerir la consulta previa a la autoridad de control para determinados supuestos de riesgos potencialmente altos (art. 36).

Se puede entonces efectuar el control de cumplimiento de la normativa sobre datos personales a los responsables de tratamiento de datos que utilizan sistemas de IA.

En lo atinente a la salud, nos parece interesante mencionar que, en el marco de la Estrategia Europea de Datos, la Comisión Europea presentó en mayo de 2022 una propuesta de reglamento para la creación del Espacio Europeo de Datos Sanitarios (el “EEDS”), cuyo objetivo es (i) ayudar a los usuarios a tomar control de sus propios datos sanitarios y (ii) apoyar el uso de los datos sanitarios para mejorar la prestación de asistencia sanitaria, la investigación, innovación y elaboración de políticas. Asimismo, el reglamento también permitirá a la Unión Europea beneficiarse del intercambio, uso y reutilización de los datos sanitarios.

3.     La situación en Argentina

3.1   Los principios rectores recientemente aprobados

Tomando en cuenta los antecedentes de softlaw antemencionados (así como la Conferencia de Asilomar, las reuniones del Consejo de Ministros de la OCDE y la reunión ministerial sobre Comercio y Economía Digital del G20), el 2 de junio de 2023, la Subsecretaría de Tecnologías de la Información publicó la Disposición 2/2023 mediante la cual se aprobaron las “Recomendaciones para una Inteligencia Artificial Fiable”. Cabe aclarar que no se tratan de recomendaciones específicas a la IA aplicada a la salud.

Las Recomendaciones tienen como objetivo establecer reglas claras para garantizar que los beneficios de los avances tecnológicos sean aprovechados por todos los sectores de la sociedad, fortaleciendo el ecosistema científico y tecnológico argentino.

Entre las principales recomendaciones se destaca la importancia de no forzar el uso de IA, resaltando que ésta no siempre es la mejor herramienta para abordar un problema específico. También se enfatiza que la responsabilidad y supervisión deben recaer siempre en los seres humanos, ya que la IA sólo ejecuta acciones en respuesta a solicitudes humanas.

Asimismo, se promueve la conformación de equipos diversos y multidisciplinarios, conscientes de los desafíos éticos de los proyectos de IA. La calidad y el tratamiento adecuado de los datos, el diseño de modelos transparentes y explicables, la implementación segura y auditable, y la garantía de atención humana para aquellos que la necesiten.

Más allá de la promoción de buenas prácticas, Argentina no cuenta por ahora con una legislación concreta en materia de IA que regule la misma. Sin embargo, el régimen de datos personales argentino cuenta con normativa bajo la cual pueden revisarse jurídicamente los sistemas de IA; y eventualmente adoptar medidas al respecto.

3.2  IA y régimen de datos personales en Argentina

La ley 25.326 establece principios de fondo similares a los del RGPD (consentimiento informado, finalidad, confidencialidad, seguridad de los datos, etc.), obligatorios para cualquier proceso de recolección y tratamiento de datos personales.

La Agencia de Acceso a la Información Pública (AAIP), autoridad de aplicación de dicha norma, estableció “Medidas de seguridad recomendadas para el tratamiento y conservación de los Datos Personales en medios informatizados” (Res. AAIP 47/2018).

También se encuentra vigente la Disposición AAIP 18/2015, mediante la cual la AAIP aprobó una “Guía de Buenas Prácticas en Privacidad para el Desarrollo de Aplicaciones”. La misma prevé los conceptos de “Privacidad desde el Diseño y por Defecto”, de modo sustancialmente similar al RGPD. Además, esta norma indica la implementación de “Privacy-Enhancing Technologies (PET)”, para cuidar la privacidad de las personas titulares de los datos en el desarrollo de aplicaciones.

Cabe agregar que la adopción de medidas apropiadas para proteger “la privacidad desde el diseño y por defecto” se encuentra expresamente prevista en la última versión de la propuesta de proyecto de ley de datos personales elaborada por la AAIP en febrero de 2023.

Más aún, la obligación de implementar este tipo de medidas se encuentra también contempladas en el Protocolo Modificatorio del Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, suscripto en Estrasburgo en 2018 (conocido “Convenio 108+”) aprobado en nuestro país con la promulgación de la Ley 27.699.

El Convenio impone obligaciones más amplias a quienes tratan datos o hacen tratar datos en su nombre. El principio de responsabilidad proactiva (“accountability”) – según el cual el responsable del tratamiento de datos debe cumplir con lo establecido en las normas de protección de datos y, además, ser capaz de demostrarlo – se convierte en parte integrante del régimen de protección. Los responsables del tratamiento deben tomar todas las medidas apropiadas, incluso cuando el tratamiento se externalice, para garantizar el derecho a la protección de datos (privacidad desde el diseño, examen del impacto probable del tratamiento de datos previsto sobre los derechos y libertades fundamentales de los interesados (“evaluación del impacto sobre la privacidad”) y privacidad por defecto).

Se conceden también nuevos derechos a los interesados para que tengan un mayor control sobre sus datos en la era digital. El Convenio amplía el catálogo de información que debe transmitirse a los interesados cuando ejercen su derecho de acceso. Además, los interesados tienen derecho a conocer el razonamiento en que se basa el tratamiento de datos cuyos resultados se le aplican. Este nuevo derecho es especialmente importante en lo que respecta a la elaboración de perfiles de las personas y se asocia a otra novedad, a saber, el derecho a no ser objeto de una decisión que afecte al interesado y que se base únicamente en un tratamiento automatizado, sin que se tenga en cuenta su opinión. Los interesados tienen derecho a oponerse en cualquier momento al tratamiento de sus datos personales, a menos que el responsable del tratamiento demuestre motivos legítimos imperiosos para el tratamiento que prevalezcan sobre sus intereses o derechos y libertades fundamentales.

Como puede apreciarse, pese al atraso regulatorio de nuestro país en el área tecnológica, Argentina cuenta con un bagaje legislativo a la luz del cual pueden evaluarse jurídicamente las herramientas de IA que se apliquen en nuestro territorio.