¿Qué ocurrió?
El pasado 7 de mayo se ingresó un proyecto de ley que busca regular los sistemas de IA (Boletín 16821-19). Si bien es cierto que aún queda un largo trecho hasta que el proyecto sea ley, y muy probablemente sufra modificaciones, es importante empezar a familiarizarse con ella, puesto que la iniciativa se ingresó tan solo días después de que el Ministerio de Ciencias, Tecnología, Conocimiento e Innovación anunciara la actualización de la Política Nacional de Inteligencia Artificial, y pareciera ser un compromiso del gobierno empujar su legislación.
¿Por qué es importante?
El último tiempo nuestro país ha experimentado una intensa actividad que tiene como eje central la regulación de la tecnología en distintos ámbitos y ha tenido como consecuencia la complejización del compliance dentro de las industrias, debido al incremento de la carga regulatoria y la intersección de la normativa existente, sobre todo en temas relacionados a las recientes leyes de Delitos Informáticos, Ley Marco de Ciberseguridad, Fintec y Delitos Económicos, entre otros, y a lo cual se puede sumar una próxima ley sobre Protección de Datos.
¿Cuál es el objetivo del proyecto?
La iniciativa, que puede ser consultada en el sitio web de la Cámara de Diputados y Diputadas de la República, nace bajo la premisa de proveer de certeza regulatoria suficiente sobre los sistemas de inteligencia artificial (“IA”), para permitir su investigación, desarrollo e implementación con respeto a los derechos fundamentales de las personas. En este sentido, el proyecto explica que existe la necesidad de garantizar que la IA se desarrolle y utilice de forma ética, responsable y al servicio de las personas, para lo cual es necesario que su uso esté orientado por valores, como el respeto, protección y promoción de los derechos fundamentales, y principios, como la supervisión humana, la transparencia y explicabilidad, no discriminación y equidad, entre otros.
¿Cuál es el contenido del proyecto?
El proyecto de ley se estructura en base a los siguientes títulos:
A. Disposiciones generales.
Corresponde al título I y contempla el objeto de la ley, su ámbito de aplicación, las definiciones y principios aplicables al proyecto y los sistemas de IA, y la clasificación de los sistemas de IA.
a. Ámbito de aplicación.
Los sujetos pasivos se determinan utilizando como factor de atribución la utilización de la información de salida del sistema de IA en Chile, con el objetivo de identificar a un responsable del uso del sistema de IA dentro del territorio nacional. Para esto, el proyecto define un catálogo se sujetos a quienes será aplicable la ley, entre los que se encuentra:
a) Los proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA en el territorio nacional.
b) Los implementadores de sistemas de IA que se encuentren domiciliados en el territorio nacional.
c) Los proveedores e implementadores de sistemas de IA que se encuentren domiciliados en el extranjero, cuando la información de salida generada por el sistema de IA se utilice en Chile.
d) Los importadores y distribuidores de sistemas de IA, así como los representantes autorizados de los proveedores de sistemas de IA, cuando dichos importadores, distribuidores o representantes autorizados se encuentren domiciliados en el territorio nacional.
Asimismo, exceptúa de su aplicación determinados sistemas:
a) Sistemas de IA desarrollados y utilizados con fines de defensa nacional.
b) Las actividades de investigación, pruebas y desarrollo sobre sistemas de IA de forma previa a su introducción en el mercado o puesta en servicio, siempre que dichas actividades se lleven a cabo respetando los derechos fundamentales de las personas.
b. Principios aplicables a sistemas de IA.
El proyecto plantea una serie de principios generales que deberán ser observados por los sujetos pasivos del proyecto, entre los que se encuentran los siguientes:
a) Intervención y supervisión humana. Los sistemas de IA deben ser desarrollados y utilizados como una herramienta a disposición de las personas.
b) Solidez y seguridad técnica. Los sistemas de IA deben ser desarrollados y utilizados de manera que se minimicen los daños previsibles en contra de las personas
c) Privacidad y gobernanza de datos. Los sistemas de IA sean desarrollados y utilizados de conformidad con las normas vigentes en materia de privacidad y protección de datos personales.
d) Transparencia y explicabilidad. Los sistemas de IA deben ser transparentes en su funcionamiento y los procesos de toma de decisiones deben ser explicables.
e) Diversidad, no discriminación y equidad. Los sistemas de IA deben ser diseñados y utilizados promoviendo la igualdad de oportunidades, igualdad de género y la diversidad cultural.
f) Bienestar social y medioambiental. Los usos de los sistemas de IA se desarrollarán y utilizarán de manera sostenible y respetuosa con el medio ambiente y las personas, verificando los efectos a largo plazo que su aplicación genera en estos ámbitos.
g) Rendición de cuentas y responsabilidad.
h) Protección de los derechos de los consumidores. Los sistemas de IA deben asegurar un trato justo, entregar información veraz, oportuna y transparente y resguardad la libertad de elección y la seguridad en el consumo de este tipo de tecnologías.
B. Clasificación de los sistemas de IA.
Está contemplado en los títulos II, III y IV. A grandes rasgos, los sistemas de IA se clasifican en distintas categorías de acuerdo con su riesgo, según las siguientes definiciones:
a) Sistemas de IA de riesgo inaceptable: son incompatibles con el respeto y garantía de los derechos fundamentales de las personas y por lo mismo se estiman contrarios al ordenamiento jurídico y se prohíbe su uso.
b) Sistemas de IA de alto riesgo: aquellos que pueden causar perjuicios a la salud, seguridad, derechos fundamentales, medioambiente o a los derechos de los consumidores. Su uso estará permitido siempre y cuando los sujetos obligados cuenten, entre otros, con un sistema de gestión de riesgos, gobernanza de datos, y un sistema de registro de información y eventos de seguridad,
c) Sistemas de IA de riesgo limitado, cuyo uso presenta riesgos no significativos de manipulación, engaño o error, producto de su interacción con personas, por lo cual deben procurar proveerse en condiciones transparentes, para el conocimiento del consumidor.
d) Sistemas de IA sin riesgo evidente.
C. Incidentes graves.
Corresponde al título V de la ley y plantea que todo sujeto aquel que identifique un incidente grave podrá reportarlo a la Agencia a cargo de la Protección de Datos Personales, quien informará al operador, para que éste tome conocimiento del incidente y adopte las medidas de información y respuesta frente a contingencias.
Los incidentes graves son aquellos que, directa o indirectamente, tenga, pueda haber tenido o pueda tener alguna de las siguientes consecuencias:}
a) El fallecimiento de una persona o daños graves para su salud.
b) Una alteración grave de la gestión y el funcionamiento de infraestructura crítica.
c) Una vulneración de derechos fundamentales protegidos en virtud de la Constitución y las leyes.
d) Causar un daño en la persona o propiedad de otro, o daño ambiental, en los términos del artículo 2 letra e) de la ley N°19.300 sobre bases generales de medio ambiente.
D. Gobernanza.
La gobernanza en materia de IA se estructura de la siguiente manera:
a) Creación del Consejo Asesor Técnico de IA. Sus principales funciones serán proponer los listados de sistemas de IA de alto riesgo y riesgo limitado, asesorar respecto del alcance y modo de cumplimiento de las reglas a las que deberán sujetarse los operadores de sistemas de IA de alto riesgo y de riesgo limitado, y proponer los lineamientos para el desarrollo de espacios controlados de prueba para los sistemas de IA, así como para la fijación de estándares mínimos de cumplimiento y rendición de cuentas para su desarrollo.
b) Agencia de Protección de Datos Personales. Esta Agencia, que se creará a propósito del proyecto de ley que eleva los estándares en materia de protección de datos personales, estará a cargo de la fiscalización y cumplimiento de la ley.
E. Medidas de apoyo a la innovación.
Se plantean medidas de apoyo a la innovación relacionadas a espacios controlados de pruebas (conocidos como sandbox) y otras dirigidas a empresas de menor tamaño.
F. Confidencialidad, infracciones y sanciones.
Se establece normas de resguardo de la confidencialidad de la información y los datos obtenidos de un sistema de IA en el ejercicio de sus funciones y actividades.
También se establece el catálogo de infracciones y sanciones administrativas aplicables por parte de la Agencia en caso de incumplimiento de las prohibiciones y obligaciones establecidas en la ley, además de las reglas a las que se sujetará el procedimiento administrativo sancionador y el de reclamación judicial que pueda originarse como consecuencia de imposición de una sanción administrativa.
Por último, se regula la acción de responsabilidad civil por culpa que podría derivarse de la generación de un daño provocado por la utilización de un sistema de IA, así como su procedimiento aplicable.
G. Disposiciones finales y modificaciones a otros cuerpos legales.
Se mandata la dictación de un reglamento que regule en profundidad aspectos de la ley y especifique especialmente el contenido mínimo y forma dar cumplimiento a las reglas aplicables a los sistemas de IA de alto riesgo; los tipos de medidas frente a contingencias aplicables a los sistemas de IA de alto riesgo, en función de la finalidad del sistema de IA de alto riesgo; y, el contenido mínimo y forma dar cumplimiento a las reglas aplicables a los sistemas de IA de riesgo limitado.
