Efectivamente, toda norma jurídica válida parte de la necesidad de proteger uno o varios bienes jurídicos relevantes para la sociedad. En el caso de una legislación sobre inteligencia artificial (IA) en Costa Rica, los bienes jurídicos a tutelar no deberían limitarse únicamente a los derechos fundamentales. Se trata de una tecnología transversal cuyas implicaciones alcanzan esferas personales, sociales, económicas e institucionales. Por tanto, la regulación debe contemplar una gama más amplia de bienes jurídicos, como la dignidad humana, la confianza pública, la seguridad jurídica y tecnológica, la libertad individual, la equidad, la información veraz, el orden público digital y, en ciertos contextos, incluso el interés económico general del Estado.

Dado que la IA tiene impacto potencial en prácticamente toda actividad humana —desde decisiones automatizadas en salud hasta creación de contenido, transporte, finanzas y ciberseguridad—, sería inviable una legislación que pretenda abarcar todos los usos posibles. En su lugar, debe estructurarse una ley marco que establezca principios rectores, criterios de evaluación de riesgo, responsabilidades claras, y una arquitectura normativa que habilite el uso de leyes ya existentes (como el Código Penal, la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, la Ley General de Telecomunicaciones, etc.) para intervenir cuando la IA sea utilizada como medio para afectar bienes jurídicos ya protegidos.

Esta ley marco debe girar en torno a principios de tecnología ética y de gobernanza algorítmica, incluyendo:

• Centralidad de la persona humana
• Prevención de sesgos y discriminación algorítmica
• Transparencia y explicabilidad de los sistemas
• Seguridad tecnológica
• Responsabilidad proactiva
• Supervisión y fiscalización técnica y jurídica

Me parece apropiado considerer dos grandes grupos de escenarios:

Aquí la IA no genera un nuevo tipo penal per se, pero potencia o facilita la comisión de delitos ya tipificados. En estos escenarios, debe permitirse a las normas penales, civiles y administrativas existentes operar plenamente. Algunos ejemplos:

• Estafa Informática: Generación de correos electrónicos, sitios web o mensajes falsos por IA generativa para obtener transferencias o datos personales.
• Suplantación de identidad: Uso de deepfakes para hacerse pasar por terceros y acceder a recursos, cuentas bancarias o manipular procesos legales.
• Acoso Predatorio: Bots programados para hostigar o amenazar a personas en redes sociales.
• Difamación: Generación de videos falsos con IA para desprestigiar a una persona pública o privada.
• Sabotaje informático: IA empleada para automatizar ataques de fuerza bruta o vulneración de sistemas protegidos.

Estos ejemplos afectan bienes jurídicos como el patrimonio, la honra, la integridad psicológica, la seguridad de sistemas informáticos, entre otros. Aquí, la IA actúa como instrumento accesorio, pero no como el núcleo estructural del delito. La legislación debería prever explícitamente la posibilidad de agravar la pena o ampliar la responsabilidad cuando el uso de IA aumente la lesividad, sofisticación o impunidad del acto.

En esta categoría, la conducta delictiva emerge directamente del comportamiento del sistema de IA o su implementación negligente o intencionada. Aquí se hace necesaria la creación o modificación de tipos penales y normativas específicas, dado que el bien jurídico se ve amenazado por fenómenos antes inexistentes.

Ejemplos:

• Generación de pornografía infantil sintética: Creación de imágenes hiperrealistas de menores en contextos sexuales inexistentes. Afecta el bien jurídico de la indemnidad sexual de la niñez, aunque no haya un menor físico involucrado.
• Discriminación algorítmica autónoma: IA que descarta sistemáticamente a personas por sexo, raza, discapacidad o edad en procesos de selección laboral, crédito o servicios. Aquí el bien jurídico es la igualdad real y no discriminación.
• Manipulación de información pública: IA generativa utilizada para crear y difundir campañas de desinformación (fake news, manipulación electoral), que afectan el orden democrático y la libertad informativa.
• Sistemas autónomos que toman decisiones letales o peligrosas: Por ejemplo, IA aplicada en entornos industriales, vehículos autónomos o sistemas de Seguridad o aplicación militar (o adjacente). El bien jurídico aquí es la vida humana, la integridad física y la seguridad colectiva.

En estos casos, el ordenamiento jurídico costarricense debe prever figuras nuevas, ya sea penales o administrativas, que sancionen conductas ligadas directamente a los resultados autónomos y previsibles de la IA. En varios de estos ejemplos prodríamos decir que estos Bienes juridcos ya están protegidos pero en mi opinion, la necesidad de hacer la distinción en el sentido de que el desarrollo e implementación sea de forma intecional o negligente de tecnologías que generan estos resultados está en el centro del cada comportamiento y es donde una regulación eventual sería más efectiva.

En mi opinion, la regulación de la inteligencia artificial en Costa Rica debe construirse sobre un equilibrio entre tutela efectiva de bienes jurídicos y estímulo al desarrollo tecnológico. Algunas recomendaciones concretas:

Inspirándose en el modelo del AI Act europeo, se sugiere una clasificación normativa que distinga entre:

• IA de riesgo inaceptable: sistemas que por su propia naturaleza atentan contra bienes jurídicos fundamentales, como la manipulación subliminal, puntuación social estatal, o sistemas de identificación biométrica en espacios públicos sin control judicial. Deben ser expresamente prohibidos.
• IA de alto riesgo: aquellas que afectan derechos fundamentales o decisiones críticas (salud, justicia, educación, empleo, migración). Su uso debería estar condicionado a requisitos estrictos como:
  • evaluación de impacto sobre bienes jurídicos y derechos humanos
  • auditorías técnicas independientes
  • sistemas de trazabilidad y explicabilidad de decisiones
  • supervisión humana significativa
  • inscripción en un registro nacional de sistemas de IA de alto riesgo
• IA de riesgo limitado o mínimo: asistentes virtuales, traducción automática, recomendaciones de contenido, etc. En estos casos, bastaría con normas de transparencia (por ejemplo, el derecho del usuario a saber que interactúa con una IA) y principios éticos de diseño responsable.

La normativa debe establecer claramente las obligaciones de:

• Desarrolladores de IA: diseño seguro, documentación técnica, verificación de sesgos, pruebas antes del despliegue.
• Proveedores o distribuidores: deber de informar sobre limitaciones, monitorear fallos y actualizar.
• Usuarios institucionales (públicos o privados): uso conforme al fin declarado, respeto al marco jurídico sectorial, evaluación de impacto previa en usos críticos.
• Usuarios finales comunes: educación sobre riesgos, deber de uso lícito (por ejemplo, responsabilidad en la generación de contenido con deepfakes).

Esto permite distribuir la responsabilidad conforme a la función que cada actor desempeña en el ciclo de vida de la IA.

Costa Rica requiere una entidad autónoma o adscrita al MICITT con competencias técnicas, jurídicas y éticas para:

• Emitir guías técnicas y protocolos de seguridad
• Supervisar la implementación de IA en el sector público
• Coordinar evaluaciones de impacto
• Mantener un registro nacional de sistemas de alto riesgo
• Imponer sanciones en caso de negligencia, opacidad o discriminación algorítmica

Esta autoridad podría trabajar en conjunto con PRODHAB (en temas de datos personales), la Defensoría de los Habitantes y el Poder Judicial.

La regulación debe incluir mecanismos para no frenar el desarrollo tecnológico nacional:

• Sandboxes regulatorios: entornos controlados donde startups y empresas puedan probar sistemas de IA bajo supervisión institucional antes de su despliegue comercial
• Incentivos fiscales y financieros para empresas que certifiquen buenas prácticas en IA (auditoría ética, diseño inclusivo, seguridad proactiva)
• Formación y acompañamiento legal-técnico para pymes y actores no especializados que deseen implementar IA conforme a la ley
• Promoción de estándares abiertos y compartición de buenas prácticas mediante convenios universidad-empresa, foros multiactor, y cooperación regional

Así, la regulación no actúa como un freno, sino como una plataforma de gobernanza confiable que atrae inversión y fortalece capacidades locales.

Para esto, el derecho comparado nos ofrece valiosas lecciones para el diseño de un modelo costarricense propio, fundamentado en nuestra tradición jurídica y compromiso con los derechos humanos.

• Establece el estándar más robusto a nivel global
• Reconoce que el bien jurídico central es la dignidad humana y la confianza del público en la tecnología
• Introduce mecanismos de gobernanza dinámica, como comités de expertos, actualizaciones técnicas periódicas y cooperación interestatal
• Impone multas similares al GDPR, lo que da señales claras de seriedad

Costa Rica puede inspirarse en este modelo especialmente en la clasificación de riesgos, la exigencia de explicabilidad en decisiones automatizadas y la prohibición de sistemas que atenten contra la autonomía individual.

• Apuesta por marcos normativos flexibles, guías no vinculantes y códigos de conducta sectoriales
• Introduce principios claves como: no discriminación algorítmica, opción de intervención humana, protección del consumidor y explicabilidad razonable
• Fortalece la vigilancia administrativa en sectores clave: vivienda, crédito, salud y empleo

Para Costa Rica, este modelo aporta el valor de la cooperación público-privada y la relevancia de adaptar los estándares técnicos a los contextos sectoriales más críticos.

• En Japón, la ética se convierte en principio vinculante desde la formulación técnica: “la IA debe ser humanocéntrica”
• Corea del Sur articula una Ley Marco con medidas de fomento productivo, protección legal y obligación de transparencia algorítmica
• Ambos modelos equilibran bien la vigilancia con la promoción del desarrollo

Costa Rica puede aprender de la experiencia asiática en crear mecanismos de autorregulación supervisada, diseño ético y enfoque preventivo.

• Brasil propone una ley general que replica el enfoque europeo, con especial atención a la protección de grupos vulnerables
• El Salvador ha optado por una ley de impulso tecnológico más que de control

Esto refuerza la idea de que la región debe abordar la IA como una cuestión de soberanía tecnológica, equilibrando marcos ético-jurídicos con políticas activas de desarrollo nacional.

---

Desde una perspectiva jurídica, técnica y ética, sostengo que la regulación de la IA no es solo una cuestión normativa, sino una cuestión de proyecto-país.
Se trata de decidir qué tipo de relación queremos tener con la tecnología: una que se limite a reaccionar cuando los daños ya están hechos, o una que se anticipe, que construya confianza y que ponga límites claros desde el diseño.

Costa Rica, con su vocación por los derechos humanos, la educación y la paz social, tiene la oportunidad de posicionarse como referente regional de inteligencia artificial ética, segura y centrada en la persona humana. Pero para lograrlo no basta una ley declarativa: se requiere una arquitectura institucional y regulatoria real, eficaz y adaptable.

Mi recomendación es clara:

• Apostemos por una ley marco bien estructurada, con principios rectores y umbrales de intervención según el riesgo
• Fortalezcamos nuestras instituciones técnicas y jurídicas, creando capacidades en supervisión algorítmica, ciberética y análisis de impacto
• Y sobre todo, impulsemos una cultura en que la IA no sea vista como una amenaza, sino como una herramienta poderosa, siempre que sirva a la protección de los bienes jurídicos que constituyen el fundamento de nuestra convivencia: la dignidad, la igualdad, la libertad, la seguridad y la confianza pública

Una regulación inteligente no controla la innovación. La hace posible, legítima y sostenible.