El pasado 28 de febrero de 2024, fue presentada por Ricardo Monreal Ávila, senador de la República e integrante del Grupo Parlamentario de Morena en la LXV Legislatura de la Cámara deSenadores del Congreso de la Unión, la Iniciativa del proyecto para expedir la Ley Federal que Regula la Inteligencia Artificial (la “Iniciativa”), con la finalidad de establecer un marco regulatorio para el uso de la inteligencia artificial (la “IA”) en México.
Entre otros aspectos relevantes, la Iniciativa clasifica los sistemas de IA (los “Sistemas de IA”) según su nivel de riesgo, establece obligaciones para proveedores y usuarios, propone la creación de una Comisión Nacional de Inteligencia Artificial, y establecer medidas para asegurar la transparencia y vigilancia de los Sistemas de IA para prevenir la discriminación y proteger los derechos de autor.
I. EXPOSICIÓN DE MOTIVOS
La exposición de motivos de la iniciativa señala que los Sistemas de IA están en constante evolución y en muy corto tiempo han generado múltiples beneficios, tanto económicos como sociales, pero también enormes retos para las sociedades y los gobiernos, ya que se ha identificado que existen elementos y técnicas utilizados por la inteligencia artificial que pueden generar riesgos o consecuencias negativas para personas, grupos vulnerables o ciertos sectores de la población. En consecuencia, resulta indispensable establecer reglas que permitan su desarrollo e implementación, así como mitigar los riesgos derivados de su aplicación.
Para la elaboración de la Iniciativa se tomaron como base los antecedentes normativos en materia de Sistemas de IA, particularmente el Reglamento de la Unión Europea sobre Inteligencia Artificial, el proyecto de ley en curso legislativo en Chile, así como la demanda de The New York Times en contra de OpenAI y Microsoft, en calidad de socio capitalista de OpenAI. Señalando que el denominador común de la normatividad existente, o en proceso de aprobación, es la regulación del desarrollo, comercialización y uso de la IA, bajo una perspectiva de riesgos que considera los posibles efectos del uso de Sistemas de IA en la población. La Iniciativa considera que no es posible implementar una regulación por campo de aplicación o tipo específico de usuarios.
II. ALCANCE DE LA INICIATIVA
Sujetos obligados
De aprobarse la Iniciativa, serían sujetos obligados de la misma los siguientes:
· Los proveedores que introduzcan al mercado u ofrezcan el uso de Sistemas de IA en el territorio nacional, con independencia del país en que se ubiquen;
· Los usuarios de sistemas de inteligencia artificial en territorio nacional;
· Los proveedores y usuarios de Sistemas de Inteligencia Artificial que se encuentren en un tercer país, cuando la información de salida generada por el sistema se utilice en el territorio nacional o sea generada con base en obras protegidas en México por la legislación en materia de propiedad intelectual, y
· En general, toda persona física o moral, ubicada en el territorio nacional, que utilice Sistemas de Inteligencia Artificial que afecten los derechos de terceros.
Clasificación de los Sistemas de IA
De aprobarse la Iniciativa los Sistemas de IA se clasificarían atendiendo los riesgos que representen, conforme a lo siguiente:
· Riesgo Inaceptable: aquellos sistemas que mediante el uso de la inteligencia artificial puedan provocar o provoquen graves perjuicios físicos o psicológicos a las personas, así como el uso de los mismos para la identificación biométrica. Se prohíbe la comercialización, venta, distribución y uso, así sea a título gratuito, de Sistemas de IA de Riesgo Inaceptable destinados a:
i. Alterar de manera sustancial el comportamiento de cualquier persona, de modo que se provoquen, o sea probable que se provoquen, perjuicios físicos o psicológicos mediante el uso de técnicas subliminales que trasciendan la conciencia;
ii. Aprovechar las vulnerabilidades de grupos específicos de personas, ya sea por edad o alguna discapacidad física o mental, para alterar de manera sustancial su comportamiento de un modo que provoque, o sea probable que provoque, perjuicios físicos o psicológicos a las personas pertenecientes a ese grupo o a terceros;
iii. Evaluar o clasificar a las personas físicas durante un período de tiempo atendiendo a su conducta social o a sus características personales, de forma que resulte en un daño o perjuicio a una o varias personas;
iv. La identificación biométrica remota en tiempo real en espacios de acceso público sin autorización de la persona afectada, salvo los casos de interés público o seguridad nacional, debidamente justificados y publicitados por la autoridad responsable;
v. Alterar de cualquier forma archivos de voz o la imagen de cualquier persona con el fin de modificar su contenido original sin autorización de la persona afectada o de quien sea titular de los derechos respectivos.
· Riesgo Alto: aquellos Sistemas de IA que puedan causar un perjuicio a la salud o la seguridad de las personas, o que produzcan un daño o menoscabo de los derechos humanos, así como aquellos utilizados con los siguientes fines:
i. La identificación biométrica remota, en tiempo real o diferido, de personas en espacios privados.
ii. La gestión del suministro de agua, electricidad y gas.
iii. La asignación y determinación del acceso a establecimientos educativos y la evaluación de estudiantes.
iv. La selección y contratación de trabajadores, así como la asignación de tareas y el seguimiento y evaluación del rendimiento y la conducta de estos.
v. La evaluación de las personas para acceder a prestaciones, servicios y programas sociales.
vi. La evaluación de la solvencia económica de personas, o para establecer su calificación crediticia.
vii. La definición de prioridades de atención a personas o grupos de personas
viii. en situaciones de emergencia o desastre.
ix. La utilización para determinar el riesgo de que una o varias personas cometan delitos o reincidan en su comisión.
x. La utilización en cualquier etapa de la investigación e interpretación de hechos que pudieran ser constitutivos de delito durante el proceso penal.
xi. La utilización para la gestión personalizada o individualizada de la migración, el asilo y el control fronterizo, e
xii. Influir en las preferencias político-electorales de la ciudanía, suplantando la voz o imagen de candidatos o dirigentes políticos sin hacerlo explícito de manera indubitable.
· Riesgo Bajo: SIA que durante su utilización no implican un peligro a la salud o la seguridad de las personas, o un daño o menoscabo de los derechos humanos.
La autoridad competente determinará el nivel de riesgo de cada Sistema de IA, considerando la información que proporcione el desarrollador o comercializador. Las determinaciones de la autoridad a este respecto podrán ser modificadas cuando por el uso del sistema se advierta la existencia de riesgos no considerados inicialmente.
Obligaciones de los proveedores de Sistemas de IA
· Obligaciones de todos los desarrolladores y proveedores de Sistema de IA
Con independencia del nivel de riesgo, de aprobarse la Iniciativa, los desarrolladores y proveedores de sistemas de inteligencia artificial destinados a la interacción con personas deberán:
i. Garantizar que los usuarios estén debidamente informados de que están interactuando con un sistema de inteligencia artificial.
ii. Garantizar que los Sistemas de IA, mientras estén en uso, puedan ser vigilados por la autoridad competente. El objetivo de la vigilancia humana será prevenir o reducir al mínimo los riesgos para la salud, la seguridad o los derechos fundamentales que pueden surgir por el uso de sistemas de inteligencia artificial.
iii. Solicitar autorización previa de la autoridad competente para su comercialización en territorio nacional. La solicitud que al efecto se presente deberá incluir la documentación técnica y demás información que determine la regulación. Lo anterior es aplicable aún en los casos de uso gratuito del Sistema de IA.
· Obligaciones adicionales de los proveedores de Sistemas de IA de Riesgo Alto
Los proveedores de SIA de Riesgo Alto riesgo tendrían además las siguientes obligaciones:
i. Contar con un sistema de gestión de calidad;
ii. Contar con un sistema de gestión de riesgos en los términos que determine la Ley o los acuerdos que, con base en ella, emita la autoridad competente.
iii. Elaborar y difundir la documentación técnica del sistema;
iv. Cuando estén bajo su control, conservar los archivos de registro que sus sistemas generen automáticamente;
v. Asegurarse de que los sistemas sean sometidos a los procedimientos de evaluación y control humano que determine la autoridad competente antes de su introducción en el mercado o puesta en servicio;
vi. Cumplir con las obligaciones de registro ante la autoridad competente, y
vii. Las demás previstas en la Iniciativa y su reglamento, cuando se publique.
Disposiciones en materia de Propiedad Intelectual
La iniciativa establece las siguientes disposiciones relevantes en materia de propiedad Intelectual:
· Registro de obras o contenidos: cualquier persona que pretenda registrar, para fines de protección de la legislación en materia de propiedad intelectual, una obra artística o cualquier otro tipo de contenido, ya sea escrito o audiovisual, generado total o parcialmente a partir del uso de Sistemas de IA, deberá señalar de manera expresa en el registro correspondiente que dicha obra o contenido fue creada, total o parcialmente, con Sistemas de IA.
· Manipulación de contenidos: los desarrolladores, proveedores y usuarios de Sistema de IA que generen o manipulen contenidos de imagen, sonido o video que se asemeje notablemente a personas, objetos, lugares u otras entidades o sucesos existentes, y que pueda inducir erróneamente a una persona a pensar que son auténticos o verídicos, deberán garantizar que quienes accedan a dicho contenido sepan que han sido generados de forma artificial o manipulada por un Sistema de IA. No será aplicable la obligación prevista en el párrafo anterior a los Sistemas de IA autorizados por ley para fines de detección, prevención, investigación o procesamiento de delitos, salvo que estos sistemas estén a disposición del público para denunciar la posible comisión de un delito o resulten necesarios para el ejercicio del derecho a la libertad de expresión y el derecho a la libertad de las artes y de las ciencias, siempre que para tal efecto se garanticen los derechos de terceros, así como los derechos de propiedad intelectual y de autor.
· Uso de bases de datos de terceros: los desarrolladores y proveedores de Sistemas de IA que estén basados en modelos de lenguaje de gran tamaño, que utilicen para el entrenamiento de dichos sistemas, bases de datos de información generada o creada por terceros, solo podrán utilizar esa información o contenido previo acuerdo con los titulares de los derechos de propiedad intelectual de esa información o contenido. En caso de que hayan transcurrido 90 días naturales a partir de que el desarrollador o proveedor del Sistema de IA haya solicitado de manera formal acordar con el titular de los derechos de propiedad intelectual de la información o contenido el uso para fines del entrenamiento del Sistema de IA, podrá solicitar al Instituto Federal de Telecomunicaciones (el “IFT”) que resuelva los términos y condiciones que no hayan podido ser convenidos. El IFT resolverá en un plazo que no excederá de 120 días naturales a partir de la fecha en que alguna de las partes le haya notificado el desacuerdo. Para la resolución sobre los términos y condiciones que no hayan podido convenir las partes, el IFT deberá basarse en las mejores prácticas internacionales que involucren la explotación de obras protegidas por la legislación en materia de propiedad intelectual.
Autoridades competentes
Conforme a la Iniciativa, la autoridad competente en materia de Sistemas de IA será el IFT. Asimismo, para la mejor protección de los derechos humanos de los usuarios de los SIA, la Iniciativa prevé la creación de una Comisión Nacional de Inteligencia Artificial, como órgano consultivo del IFT. La Comisión se integrará por cinco científicos de reconocido prestigio en materia de desarrollo tecnológico y tecnologías de la información y su participación tendrá carácter honorífico.
En el régimen transitorio, además de disponerse lo necesario para la entrada en vigor de la nueva Ley, se propone fijar al IFT un plazo de seis meses para emitir la regulación secundaria que considere necesaria, previa designación de los cinco integrantes de la Comisión Nacional de Inteligencia Artificial, a quienes se asigna la facultad de proponer al Pleno del IFT el o los anteproyectos de dicha regulación, para lo cual deberán contar con el respaldo de todas las autoridades federales con intervención en la materia, empezando por la Secretaría de Infraestructura, Comunicaciones y Transportes.
Sanciones
La Iniciativa establece la posibilidad de que el IFT pueda imponer multas a quienes infrinjan las disposiciones contenidas en la Ley, y que las mismas se definan en proporción a los ingresos del o los infractores.
Según la gravedad de la falta, las infracciones a la Ley serian sancionadas con:
· Amonestación pública;
· Multa de hasta 5 por ciento de los ingresos anuales del infractor;
· Suspensión temporal o cancelación del permiso;
· Tratándose de servidores públicos, con la suspensión temporal o destitución del cargo.
· Las sanciones antes señaladas se aplicarían sin perjuicio de la responsabilidad civil o penal que resulte. Si de la falta se desprende la posible comisión de un delito se dará vista a las autoridades competentes.
Cuando se trate de casos de reincidencia, se podrá aplicar una multa de hasta 10 por ciento de los ingresos anuales del infractor. Para determinar el monto de las multas, se deberá considerar:
· La gravedad de la infracción;
· La capacidad económica del infractor;
· La reincidencia, y
· En su caso, el cumplimiento espontáneo de las obligaciones que dieron origen al procedimiento sancionatorio, el cual podrá considerarse como atenuante de la sanción a imponerse.
III. COMENTARIOS A LA INICIATIVA
Presentamos algunas consideraciones sobre las implicaciones que tendría la Iniciativa, en caso de convertirse en Ley.
A. Ventajas
· La principal ventaja es que los legisladores han tomado nota de la necesidad de regular la inteligencia artificial, siguiendo el ejemplo de otras jurisdicciones que ya han regulado los sistemas de IA o se encuentran en proceso de elaborar sus directivas.
Independientemente del contenido de la Iniciativa, se crea un punto de partida para poner en la mesa la discusión sobre la necesidad de construir una regulación que le brinde gobernanza a la IA.
· Respecto a la determinación del regulador, es acertado que sea un órgano constitucional autónomo, pues abona en favor de una vigilancia realizada por expertos, con menor riesgo de injerencia indebida.
· La Iniciativa prevé un gran número de normas supletorias, lo cual permitiría cubrir vacíos regulatorios sin modificar constantemente el régimen normativo, y así hacer más adaptable la regulación, especialmente considerando que es imprevisible cómo se desarrollará la IA en México en años futuros. Esto permitirá que se puedan establecer normas de protección a la población ante eventos disruptivos generados por IA, sin necesidad de un nuevo proceso legislativo.
B. Desventajas
· El contenido de la Iniciativa deja muchas lagunas y su acercamiento regulatorio en base a una preconcepción de tipos de riesgo es poco afortunada y efectiva.
· Prevé pocas obligaciones y limitaciones a los usuarios, no dispone de medidas de seguridad indispensables en caso de violación de derechos, y no prevé ninguna sección de delitos especiales. La imposición de multas es el mecanismo de sanción mas recurrido, lo cual le resta efectividad a la regulación y carece de efecto disuasivo. Otras medidas como la intervención de los sistemas, la auditoría de algoritmos y funcionalidades, o la suspensión del funcionamiento de sistemas, no están consideradas.
· La preclasificación de los niveles de riesgo de los Sistemas de IA es vaga y general, no se entiende qué es un perjuicio grave y qué no lo es, dejando a la autoridad discreción total para calificar la gravedad de un sistema. Además, no parece haber diferencia entre la descripción de lo que constituye un “riesgo inaceptable” y un “alto riesgo”.
· Se crea una categoría máxima de riesgo que parece implicar la prohibición total (“riesgo inaceptable”), para luego limitar solo a ciertos tipos de sistemas sin que se entienda si su restricción es total o parcial.
· Aunque no es sencillo definir el gran número de posibilidades de sistemas de IA, la Iniciativa crea una regulación a partir de una visión muy estrecha y limitada de lo que es la IA, así como de su desarrollo, alcances e implicaciones. Categoriza sin comprender la naturaleza de lo que pretende regular, y preconcible ciertos niveles de riesgo como base para proceder a regular a partir de lo que aparentan ser acciones y actos permitidos, restringidos o limitados. Este es un acercameinto, en opinión de este Despacho, incorrecto e ineficaz.
· El IFT sería el encargado de vigilar el cumplimiento de la regulación, pero no todos los temas de IA implican telecomunicaciones, por lo que no necesariamente es el órgano idóneo para la vigilancia en todos los casos.
· La Iniciativa hace referencia a las regulaciones extranjeras, pero parece incorporar muy poco de ellas.
Para más información, favor de contactar a:
Rafael Sámano: rsamano@samanosc.com.mx
Tania Zúñiga: tzuniga@samanosc.com.mx
Isak Haras: iharas@samanosc.com.mx