Claroscuros del nuevo Reglamento de la IA
Hace poco más de tres meses, concretamente el 12 de julio pasado, se publicó en el Diario Oficial de la UE el Reglamento 2024/1689 de inteligencia artificial, que regula una tecnología que nos ha llegado casi de improvisto y que supondrá un cambio productivo y social.
La gran cuestión, especialmente en su aplicación al ámbito sanitario, es garantizar los derechos fundamentales. Desde la publicación oficial llegan ahora varias fases de implementación de disposiciones que marcarán el calendario de los próximos dos años. Entre ellas, las obligaciones para las empresas que gestionan sistemas de IA. La norma establece un enfoque basado en el riesgo, prohíbe los sistemas que plantean un riesgo inaceptable e impone una serie de obligaciones, como la de identificar los contenidos creados por inteligencia artificial, y otros todavía por desarrollar.
Pero si nos adentramos en el campo de la salud, la norma despeja dudas en estos campos: cualquier sistema que tenga un fin médico específico y que entre en el ámbito de los reglamentos de productos sanitarios e in vitro tiene que pasar por un organismo notificado para su certificación. Es decir, debe someterse a una evaluación clínica y demostrar su efectividad. También la gobernanza de datos de salud es una cuestión de especial relevancia. En este sentido aplica el principio de minimización de datos, de modo que legitima el uso de la mínima información para el fin que se persigue, pero ni uno más. Finalmente, la LOPD en materia de uso secundario para investigación en salud introduce la posibilidad de utilizar la información para la investigación sin consentimiento específico sobre el dato y aquí, donde pone investigación, podemos pensar en desarrollos de IA. Está claro que ese uso de datos deberá hacerse con determinadas garantías, ya que no implica consentimiento: un informe favorable del un comité de investigación -tampoco se dice qué tipo de comité -, con datos seudoanalizados y realizar una evaluación de impacto de los riesgos del tratamiento en cuestión, así como que no es posible la reidentificación de los sujetos.
Estos son, hasta ahora, los tres mensajes claros para el uso y tratamiento de datos de salud en el nuevo reglamento. No debemos conformarnos con ellos, pues son de fácil soslayo, e insistir en mayores medidas de control ante lo que podría ser un uso indiscriminado que no tendría vuelta atrás. JGS. SJD