Después de un inicio de mes en donde abundaban las especulaciones, hoy, ya tenemos a la virtual presidenta electa quien ha empezado a estructurar su equipo y a expresar los proyectos normativos con los cuales desea abrir y empezar a definir su presidencia. Algunos de estos no están exentos de controversia y ciertamente serán objeto de mucha discusión en los próximos meses. Sin embargo, en el marco de dichos proyectos, hay dos que casi no se mencionan de forma seria y creíble: 1) su estrategia regulatoria para hacer frente a los riesgos y a las oportunidades que la Inteligencia Artificial (IA) presenta, y 2) una ley de ciberseguridad. Seguramente, habrá lectores que señalarán de inmediato las numerosas propuestas (incluyendo un par en donde se cita a su servidor) que han buscado presentar diferentes soluciones a lo que aquí se plantea, pero ninguna con un soporte creíble y que se ajuste plenamente a las necesidades de la sociedad mexicana. Lo anterior no es tarea sencilla. Ambas materias no se destacan por su sencillez y se definen por un alto grado de dinamismo lo cual significa que, si tu esfuerzo intenta ser muy específico, una vez que la normativa pase por todo el proceso legislativo y entre en vigor, te vas a encontrar con un anacronismo que no refleja la realidad en la cual estará siendo aplicada.
Ante lo aquí expresado, se ha argumentado que se necesitan regulaciones de carácter general en materia de IA y de ciberseguridad, buscando incorporar los principios establecidos por instituciones como UNESCO y la OCDE, así como replicar la experiencia en otras jurisdicciones como es en el caso de la Unión Europea, ante lo cual también se puede argumentar que se corre el riesgo de sobre regular, con las externalidades negativas que ello implicaría. Ahora, se podría argumentar que, en ausencia de un esfuerzo concreto, nuestra sociedad y sus mercados se encontrarían vulnerables frente a las acciones de otras partes tanto públicas como privadas. En este punto, no estoy completamente de acuerdo. En primer lugar, el conjunto de técnicas que se han denominado IA desde que el término fue acuñado en el Dartmouth Summer Research Project on AI en 1956, han sido numerosas y han sido incorporadas en diversas industrias desde mediados del siglo pasado con la finalidad de automatizar procesos, fomentar la interoperabilidad, y proteger infraestructuras de diversa índole de acciones maliciosas. Por ejemplo, en materia de la autodeterminación informativa de la persona, dichos sistemas fomentaron el surgimiento de la materia referida a finales del siglo pasado a la luz de la inclusión de un sistema de automatización en el marco de un censo poblacional en Alemania, en un ejercicio que actualmente se asociaría al concepto de Big Data. Por supuesto, complementando dichos sistemas en industrias como la banca comercial podemos destacar el rol del riesgo operacional bajo Basilea II y III, así como en la creación de manuales operacionales como los que han presentado instituciones como el Banco de México y la Financial Conduct Authority en el Reino Unido, los cuales siguen siendo viables en materia de ciberseguridad.
De lo anterior, se puede colegir que el uso de sistemas informáticos para automatizar tareas ha generado un numeroso catálogo de experiencias y normas que, aplicando el principio de neutralidad tecnológica, pueden ser aplicadas a la realidad de la Cuarta Revolución Industrial. Es decir, antes de plantear la creación de leyes novedosas en materia de IA y de ciberseguridad que -por lo visto en algunos de los proyectos- suman a la complejidad que ya define a las materias, debemos verificar que los instrumentos normativos con los que actualmente contamos no se ajusten a la realidad en la que nos encontramos. Si en la práctica se demuestra que nuestras normas no se ajustan a las necesidades de nuestra sociedad, ya podemos discutir la creación de leyes estructuradas alrededor de demandas concretas, no de especulaciones ni de intereses académicos, políticos ni económicos concretos.
