El reglamento avala, principalmente, una puesta en marcha de condiciones de privacidad, transparencia algorítmica y gestión de riesgos. Y la sorpresa se ha posicionado en este último punto: hay dos categorizaciones para los peligros latentes.
LEA TAMBIÉN: Google reconoce que la web abierta está “en rápido declive”
Jerarquización de los riesgos
De acuerdo con el reglamento oficial, la clasificación de riesgos para los sistemas basados en IA abarca el “uso indebido” y el “uso de riesgo alto”.
En el primer grupo se incluyen las manipulaciones de decisiones, los sistemas letales autónomos en el ámbito civil, la vigilancia masiva sin base legal y el análisis de datos biométricos sensibles que conduzcan a discriminación.
En suma, “todo sistema basado en IA que se use para impactar de manera irreversible, significativa y negativa en los derechos fundamentales o el bienestar de las personas”, se puede leer.
El segundo comprende ámbitos críticos como la gestión de activos nacionales, la evaluación de procesos educativos de niños, niñas y adolescentes, la selección laboral, el acceso a programas sociales y servicios de salud. E incluso en esta lista se inserta la disposición crediticia.
En general, “todo uso que supone un riesgo para la vida humana, la dignidad, la libertad, la seguridad física y los demás derechos fundamentales de las personas; en función tanto del objetivo establecido como de las posibles consecuencias no deseadas”, se especifica.
Al respecto, Óscar Montezuma, CEO y fundador de Niubox, firma legal especializada en derecho digital y nuevas tecnologías, recuerda que uno de los temores iniciales entre los expertos era que el modelo europeo —usado a modo de plantilla— resulte excesivo frente a las necesidades del Perú, que son menores. No obstante, el marco final es un poco más flexible.
“Se ha preferido mantener este enfoque de dos categorías y no el europeo, que registra categorías de riesgo bajo o, incluso, permitido. […] Me parece sano en el sentido de que no se ha pretendido abarcar todo el universo completo de actividades, lo cual solo hace que la norma se vuelva rígida y difícil de actualizar”, comenta.
IA: primera clasificación de los riesgos
IA: segunda clasificación de los riesgos
LEA TAMBIÉN: Google Gemini: ¿Por qué se considera una herramienta de alto riesgo para menores de 18 años?
Posibilidad de reajuste en las categorías
El factor actualización cobra protagonismo a partir de ahora: la Secretaría de Gobierno y Transformación Digital (SGTD) de la Presidencia del Consejo de Ministros (PCM) —la autoridad técnico-normativa responsable de dirigir, evaluar y supervisar el uso de la IA en el país— “tendrá que aclarar algunos aspectos que no han podido ser considerados ni en la ley ni en el reglamento”, precisa el abogado.
“Hay algunas definiciones que son un poco amplias y que pueden ser cajones de desastre para actividades que no estaban inicialmente previstas. […] No es un reglamento que por sí solo pueda explicar todo el universo de acciones con la IA. Entonces, debería ocurrir, creo yo, una evaluación semestral o anual para ver el estado de cumplimiento de la norma”, sugiere.
Montezuma también puntualiza en la urgencia de compaginar este marco normativo con el ritmo que exige la transformación digital: “Tiene que ser un reglamento vivo. En el momento en que esto se convierta en una letra inmodificable, corre el riesgo de quedar desfasada; por eso requiere de un acompañamiento de la autoridad muy cercano. No se acaba el tema con el reglamento, recién empieza”.
Dada la opción de “movilidad” de los lineamientos, el vocero de Niubox detalla que, con el paso del tiempo y los análisis bajo lupa, se podría evaluar una recategorización.
“Hay que hacerle seguimiento a cómo se va aplicando este modelo y, sobre la base, hacer los ajustes que sean necesarios. De repente, la categorización queda muy amplia o quizá muy corta. […] Lo que no recomiendo es que [el reglamento] no se quede estático, porque las tecnologías evolucionan muy rápido”, subraya.
¿Qué ente supervisa la correcta implementación del reglamento sobre el uso de la IA en Perú? (Foto: Pexels)
LEA TAMBIÉN: Superar el “tecnopánico”: el esfuerzo de la academia para sumar la IA al mercado peruano
¿Y las sanciones?
Si bien el reglamento designa a la Secretaría de Gobierno y Transformación Digital (SGTD) de PCM como la autoridad a cargo, no se contempla entre sus funciones aplicar un sistema de sanciones en caso de que detecte infracciones a las normas establecidas.
¿Qué significa para el desempeño de la ley? “La SGTD no tiene potestad sancionadora, pero sí puede conducir o derivar a las autoridades con competencias para sancionar; por ejemplo, Indecopi. Esto va a exigir que haya una articulación muy fuerte entre la SGTD y estas entidades”, argumenta Montezuma.
Juan José Hopkins, socio de TMC de CMS Grau, también opina sobre esta arista: “Para cubrir cualquier incumplimiento, el reglamento establece que la SGTD debe derivar los casos a entidades competentes. Por ejemplo, a la Autoridad Nacional de Protección de Datos Personales si se vulnera la normativa de privacidad; a Indecopi si hay afectación a derechos de los consumidores o casos de competencia desleal; o a la Contraloría cuando se trate de responsabilidades de funcionarios públicos”.
Este diseño —determina Hopkins— busca concentrar a la SGTD en su rol rector y de coordinación, mientras que la potestad sancionadora permanece en organismos ya especializados en fiscalización.
“La lógica es evitar duplicidades y aprovechar marcos existentes, aunque esto plantea interrogantes sobre la eficacia práctica frente a infracciones tan diversas como el uso indebido de biometría, la manipulación algorítmica o la discriminación en procesos de selección laboral. A futuro, otra norma podría considerar ampliar las funciones de la SGTD para incluir estos temas, por ahora la potestad sancionadora se mantiene en otros organismos estatales”, explica.
Sin embargo, el líder de Niubox refiere: “Ojo que la SGTD ha dicho que va a emitir lineamientos para algunas cosas que todavía quedan bajo lenguajes abiertos. […] Es importante dar seguridad jurídica de cómo se va a operar en la práctica”.
¿Quién sanciona el uso inadecuado de la IA en Perú? (Foto: Pexels)
LEA TAMBIÉN: La verdadera disrupción de la IA será redefinir qué significa agregar valor profesional
Uso de la IA: etiquetado visible
En búsqueda de la transparencia algorítmica, este reglamento obliga a los desarrolladores e implementadores a informar con claridad a los usuarios acerca del objetivo, funcionalidades y tipo de decisiones de la IA mediante el etiquetado visible de productos o servicios que surgieron de esta tecnología.
“Recurrir al etiquetado es una tendencia, pero tengo dudas sobre si es la medida que resuelve el problema de la transparencia. Son mucho más relevantes las conductas que decir que algo se ha hecho con IA. […] Más que con qué herramienta tecnológica se diseñó algo, es que ese algo no caiga en situaciones de discriminación a grupos vulnerables”, refiere Montezuma.
Por ello, hay un elemento que no se puede quedar atrás en este circuito: la formación de capacidades y la sensibilización en IA en todos los niveles, desde la educación básica hasta el fomento de talentos especializados.
En ese sentido, se ha dispuesto un cronograma de implementación gradual que oscila entre uno y cuatro años, el cual les otorga a los sectores público y privado un tiempo prudente para adaptarse a estas exigencias. La IA no es el futuro, es el presente.
