¿Conseguirá la Unión Europea reagular la inteligencia artificial si todavía no lo ha logrado Internet?

Entre el mundo físico y la inteligencia artificial, parece que nos hemos dejado por el camino a Internet, su regulación, funcionamiento y la forma en que la que damos, o mejor dicho, se intenta dar respuesta a sus retos.

La Comisión Europea, inició un grupo de trabajo hace un año y medio para regular aspectos relacionados con la robótica, incluyendo los coches autónomos, drones, robots industriales, de asistencia o entretenimiento. Su previsión es hacer frente a los retos de una nueva generación de robots. Entre otras cosas, la Comisión Europea pretende anticiparse a los problemas y responsabilidades que se puedan derivar de su uso. Es decir, que no se nos vaya de las manos (más aún) la cuestión de los dispositivos programados. Para ello, tratará de establecer un marco de obligaciones y derechos para los robots, los cuales pasarán a ser y denominarse “personas electrónicas”. La UE pretende evitar que debamos seguir las normas impuestas por terceros estados, contando con principios europeos y un marco legal común, antes de que cada Estado miembro aplique su propia norma y añade (y creo que por ahí van los tiros de su interés por regular la cuestión): “la estandarización interesa al propio mercado porque Europa es líder en robótica, pero si quiere seguir siéndolo, necesitamos tener normas comunes para la industria”.

Pensando en este nuevo marco, me asaltan las dudas y, por qué no, la preocupación. Los robots no pueden funcionar sin un intercambio de datos; este apunte me parece crucial. Para que haya un intercambio de datos, debe haber un fabricante de hardware (la estructura física del robot), alguien que le dé vida y sentido que será el desarrollador de software (lo programará para que cante, baile, hable o vuele), un servidor y/o centro de procesamiento de datos que gestione el envío de información desde el robot (lo que integra) hasta el lugar de procesamiento, tratamiento y alojamiento de esa información para posterior explotación e implementación (que lo hará nuevamente el humano). Toda esa cadena deberá ser analizada en el caso de que se tengan que evaluar las consecuencias de un posible mal funcionamiento. En el caso de un vehículo sin conductor, puede tratarse de una muerte o un atropello, en la de un robot, cualquier negligencia derivada de un fallo en su implementación y que te haga “cualquier barrabasada”, siendo positivos.

Es decir, si hablamos de robots, hablamos de que la Comisión Europea pretende controlar a máquinas interconectadas a la Red, a un Internet que no está gobernado ni tiene gobernabilidad. Pretenden regular robots cuando permiten a los proveedores de servicios web operar a sus anchas imponiendo unilateralmente un simple contrato mercantil sujeto a la legislación de su país, por encima de la propia normativa del país en el que opera, más conocido como contrato de términos y condiciones. Permiten la instalación de cualquier app (controlada por los stores de Apple, Android, etc. pero no por la UE) con la solicitud indiscriminada de permisos para acceder a nuestros dispositivos informáticos sin que nadie lo controle y permite la comercialización en la UE de millones de dispositivos inteligentes (el IoT), muchos de ellos inseguros, con fallos de configuración y defectos de fábrica controlados de forma remota mediante códigos maliciosos y que están perpetuando botnets gigantescas como la de Mirai, de la que se sabe menos que el Triángulo de las Bermudas. No se sabe dónde van a parar todos esos datos y qué es lo que se hace con ellos.

Hoy está fuera de control todo lo que estoy describiendo y en breve espacio de tiempo hablamos de coches sin conductor y robots, (un móvil de momento no nos puede matar bueno de un susto sí, si lo perdemos) de los que la Comisión Europea piensa en controlar, como siguiente paso ¿Cómo lo van a hacer? ¿Van a permitir que esos robots y vehículos se fabriquen, desarrollen y se conecten solo a servicios y servidores europeos que estarán identificados mediante una “personalidad electrónica”? Si es así, antes tendrán que “controlar Internet”, con lo que eso supone, sobre todo para los gigantes cibernéticos. No lo veo.

Quién puede lo más, puede lo menos. Esa regla no vale para dispositivos interconectados.

En mi opinión, es cuestión de tiempo que un robot o un vehículo sufra un ataque de forma remota (es lo que tiene la Red), y si se hace desde un tercer país, ya puedes ir buscando a los

responsables y esperar.

Tardamos meses en solicitar datos a otros países para llevar a cabo las investigaciones porque los medios legales disponibles, como la tramitación de comisiones rogatorias internacionales o de auxilio judicial, se eternizan y no existen cauces ágiles; no existe obligación legal para los grandes proveedores de servicios de colaborar con los órganos judiciales y/o ceder una información y unos registros que no están obligados a guardar por protección de datos.

Pero sí, en cuestiones de robótica e Inteligencia artificial urge ahora la necesidad de establecer un marco jurídico legal férreo para determinar la responsabilidad. Según sus palabras: “los consumidores necesitan estar seguros de que estarán cubiertos por un seguro si sufren cualquier daño” ¿Y qué ocurre con la responsabilidad económica y moral sufrida por los daños derivados de la existencia de vulnerabilidades, fallos de seguridad y negligencias que dan lugar a de fugas de datos con la posterior extorsión en la Red de los usuarios, cargos bancarios ilegítimos, usurpaciones de identidad, daños informáticos, posibles ataques a infraestructuras o el devastador ransomware, que también se cobra sus efectos por doquier y algunas vidas en forma de suicidios? ¿Qué se está haciendo o se ha hecho para regular eso?

Rigen los mismos principios para la robótica que para cualquier otro dispositivo conectado en la Red de los que he mencionado y serán grandes las dificultades para regular ese intercambio de datos y el poder determinar el origen de cualquier ataque o negligencia derivados del incumplimiento de unos deberes que nos se están haciendo desde hace muchos años. La diferencia es que se prevén consecuencias peores y las grandes empresas tendrán que asumir (o escurrir) su responsabilidad. De momento, la pérdida de información confidencial, el cifrado de base de datos de una empresa, una extorsión que deriva en un suicidio o las suplantaciones de identidad han sido “pérdidas asumibles” para un Estado o un banco pero ¿Lo son las vidas humanas? ¿O acaso pensamos que cuando se recupere una caja negra de un vehículo siniestrado y se encuentren registros o indicios de intrusión proveniente de un tercer país, nos van a dar una información que no están obligados ni a aportar ni a guardar porque no nos hemos preocupado de regular Internet? Ojalá me equivoque.