Una ley pionera para una tecnología con muchos interrogantes: las claves de la regulación de la inteligencia artificial en Europa
La Unión Europea ha conseguido su objetivo de ser la primera región del mundo que se dotará de una ley integral para regular la inteligencia artificial ai (IA), una tecnología que genera tantas expectativas como inquietudes por su potencial disruptivo. Aunque el acuerdo alcanzado tras varias maratonianas sesiones negociadoras todavía es provisional, a falta de ser ratificado tanto por los Estados miembros como por el Parlamento Europeo, en Bruselas el pacto se ha celebrado como un “momento histórico” con el que, en palabras de la presidenta de la Comisión Europea, Ursula von der Leyen, “se transponen los valores europeos a una nueva era”, la de la IA. Con este hito, Europa no solo busca ofrecer un marco legislativo que impulse la competitividad e innovación en el sector a la par que protege a sus ciudadanos; también quiere sentar el modelo normativo a seguir por el resto del mundo.
¿Cómo se cocina una ley para el futuro?
Paradójicamente, una de las leyes más futuristas —hasta el punto de que busca poder regular tecnologías o funciones que ni siquiera existen aún— fue negociada bajo la presidencia española de turno de la UE de la manera más tradicional de Bruselas: cara a cara, a puerta cerrada, en una sesión maratoniana en la que los representantes de todas las instituciones europeas, el Consejo (los Estados), la Eurocámara y la Comisión Europea discutieron punto por punto y artículo por artículo la normativa, apenas sin pausas, con mucho café —aunque la máquina se rompió en la primera madrugada—, bocadillos y zumos para aguantar lo que acabó siendo unánimemente calificada como un “ultramaratón” de 36 horas (22 horas seguidas la primera tanda y, tras una pausa el jueves, otras 14 el viernes hasta casi la medianoche).
¿Cómo se regula la IA en la ley?
Los negociadores europeos han intentado nadar entre dos aguas, buscando reglas que permitan controlar la de inteligencia artificial y garantizar que los desarrolladores compartan información importante con los proveedores de IA intermedia, incluidas muchas pymes europeas y, al mismo tiempo, evitar una “carga excesiva” para las empresas, según el comisario de Mercado Interior, Thierry Breton, uno de los grandes impulsores de la normativa.
La ley se fija, especialmente, en la llamada “IA de propósito general”, por ejemplo, el popular ChatGPT. La ley acuerda un enfoque de dos niveles: exige transparencia para todos estos modelos de IA de uso general, y requisitos aún más estrictos para modelos “potentes”, dice, “con impactos sistémicos en todo nuestro Mercado Único de la UE”. Lo que más preocupa a los legisladores es que los modelos como ChatGPT son totalmente cerrados, es decir, no se conocen sus tripas técnicas, como sí ocurre con los modelos de fuente abierta (open source).
Para los primeros, la ley incluye la exigencia a las empresas de que elaboren documentación técnica, el cumplimiento de la ley de derechos de autor de la UE y la difusión de resúmenes detallados sobre el contenido utilizado para la formación.
Para los modelos de alto impacto “con riesgo sistémico”, los negociadores del Parlamento buscaron obligaciones más estrictas. Si estos modelos cumplen ciertos criterios (que aún están por definir), tendrán que realizar evaluaciones de modelos, evaluar y mitigar riesgos sistémicos, realizar pruebas constantes, informar a la Comisión sobre incidentes graves, garantizar la ciberseguridad e informar sobre su eficiencia energética. Y si no cumplen, serán sancionadas.x
¿Cuáles son los riesgos de la IA por los que la UE podría intervenir?
El enfoque de la UE ha sido el de no intervenir de origen, sino en función de los riesgos que tenga cada una de las tecnologías. En palabras de Breton: “[Esta ley] nos permite prohibir los usos de la IA que violen los derechos fundamentales y los valores dIAe la UE, establecer reglas claras para los casos de uso de alto riesgo y promover la innovación sin barreras para todos los casos de uso de bajo riesgo”.
Ejemplos de sistemas de IA de alto riesgo incluyen ciertas infraestructuras críticas, por ejemplo, el agua, el gas y la electricidad; dispositivos médicos; sistemas para determinar el acceso a instituciones educativas; o determinados sistemas utilizados en los ámbitos de la aplicación de la ley, el control de fronteras, la administración de justicia y los procesos democráticos.
¿Cómo impedir que la IA vulnere los derechos ciudadanos?
Europa se vanagloria de sus “valores europeos” y el respeto a los derechos fundamentales y, a la hora de legislar sobre una tecnología con tantos interrogantes de futuro y tal capacidad intrusiva, la Eurocámara libró desde el primer momento una dura batalla para preservar al máximo las libertades y derechos ciudadanos. Los representantes de los legisladores europeos llegaron a la mesa de negociaciones con una larguísima lista de funciones de la IA a prohibir, sobre todo los llamados sistemas de vigilancia biométrica. Unos límites que varios Estados querían rebajar sustancialmente en aras de la seguridad nacional e intereses militares (más allá de otros económicos menos proclamados) y que provocaron algunas concesiones. Pero tras las negociaciones, los dos ponentes de la normativa, el socialdemócrata italiano Brando Benifei y el liberal rumano Dragos Tudorache, salieron con una amplia sonrisa y afirmando que habían logrado “defender a los ciudadanos de los riesgos que la IA puede implicar en el día a día”.
Así, la futura ley de IA señala “riesgos inaceptables” por los que se prohibirán los sistemas de IA que se consideren una clara amenaza a los derechos fundamentales. Esto incluye sistemas o aplicaciones de inteligencia artificial que “manipulen el comportamiento humano” para eludir el libre albedrío de los usuarios o sistemas que permiten la “puntuación social” por parte de gobiernos o empresas. Esos sistemas de puntuación social (social scoring) son muy polémicos porque usan la IA para evaluar la fiabilidad de un individuo basándose en su sexo, su raza, su salud, su comportamiento social o en sus preferencias. También estarán prohibidos los sistemas de reconocimiento de emociones en el lugar de trabajo e instituciones educativas y la categorización biométrica para deducir datos sensibles como la orientación sexual o las creencias políticas o religiosas, así como algunos casos de policía predictiva para individuos y los sistemas que crean bases de datos faciales captando datos de manera indiscriminada a través de internet o de grabaciones audiovisuales, como Clearview A.
Y aunque los eurodiputados cedieron en la línea roja que habían trazado sobre el uso de sistemas de vigilancia biométrica en tiempo real en espacios públicos, estos solo podrán ser empleados por las fuerzas del orden y requerirán estrictas salvaguardias, como una orden judicial y que su uso esté muy restringido: para buscar víctimas de secuestro, tráfico humano o de explotación sexual, para prevenir una amenaza terrorista “genuina y previsible” o “genuina y presente”, es decir, que ya está ocurriendo, o para la localización o identificación de un sospechoso de crímenes específicos (terrorismo, tráfico, asesinato, secuestro, violación, robo armado o un crimen medioambiental, entre otros). Aunque con menos restricciones, el uso “ex post” de estos sistemas también estará muy controlado.
La ley obligará además a realizar una “evaluación de impacto en los derechos fundamentales” antes de que un sistema de IA de “alto riesgo” pueda ser sacado al mercado.
¿Cómo se controlará que se cumpla la ley?
Entre otros, la normativa prevé la creación de una Oficina de IA, que estará dentro de la Comisión Europea y cuya tarea será “supervisar los modelos más avanzados de IA, contribuir a promover los estándares y prácticas de prueba, así como el cumplimiento de las normas en todos los Estados miembros. Recibirá asesoramiento sobre los modelos GPAI de un panel científico compuesto de expertos independientes y de la sociedad civil.
Además, no es una ley sin dientes: la normativa prevé duras sanciones para los infractores, bien un porcentaje del volumen total de negocios de la compañía infractora el año fiscal previo o incluso una cantidad predeterminada “aún mayor”. La multa puede llegar a 35 millones de euros o 7% para violaciones de aplicaciones prohibidas de la IA y la más baja es de 7,5 millones o 1,5% del volumen de negocios por proporcionar información incorrecta.
¿Cuáles son los siguientes pasos?
El acuerdo político “provisional” está ahora sujeto a la aprobación formal del Parlamento Europeo y del Consejo. Una vez que se adopte la Ley de IA, habrá un período de transición antes de que sea aplicable. Para salvar este tiempo, la Comisión asegura que lanzará un “pacto sobre IA”: convocará a desarrolladores de IA de Europa y de todo el mundo para que se comprometan de forma voluntaria a implementar las obligaciones clave de la Ley de IA antes de los plazos legales. No se espera que la ley esté totalmente en vigor antes de 2026, aunque algunas partes empezarán a funcionar antes.
¿Cuáles han sido las reacciones a la ley?
Las principales empresas que están detrás de los modelos de IA actuales ya han dicho que respetarán la ley, aunque han pedido que su aplicación “no suponga un freno”. Las compañías responsables de estos desarrollos han venido trabajando en paralelo a la negociación de la norma para asegurarse una evolución ética de estas herramientas, por lo que la norma coincide con sus expectativas generales siempre que, según Christina Montgomery, vicepresidenta y directora de Privacidad y Confianza de IBM, “proporcione barreras de protección para la sociedad al tiempo que promueve la innovación”.
Las ONG y expertos dedicados al ciberactivismo, sin embargo, se han mostrado sorprendidos y defraudados. Ella Jakubowska, analista especializada en tecnologías de identificación biométricas de la ONG europea en defensa de los derechos digitales EDRi, asegura: “A pesar de muchas promesas, la ley parece destinada a hacer exactamente lo contrario de lo que queríamos. Allanará el camino para que los 27 Estados miembros de la UE legalicen el reconocimiento facial público en vivo. Esto sentará un precedente peligroso en todo el mundo, legitimará estas tecnologías de vigilancia masiva profundamente intrusivas e implicará que se pueden hacer excepciones a nuestros derechos humanos”. Carmela Troncoso, ingeniera de telecomunicaciones especialista en privacidad en la Escuela Politécnica Federal de Lausana (Suiza), explica: “Hay muchas prohibiciones muy prometedoras, pero también muchos agujeros y excepciones que no dejan claro que las prohibiciones de verdad vayan a proteger los derechos humanos como esperamos, por ejemplo, que las fuerzas del orden vayan a usar reconocimiento facial en tiempo real para buscar sospechosos. También es triste que España haya estado detrás de algunas de las propuestas más preocupantes de esta ley”, añade Troncoso, creadora de la tecnología que hizo posible las apps de rastreamiento de la covid.
Entre los aspectos que no concreta el acuerdo se cuenta el reconocimiento de emociones. Se dice que se prohibirá en los ámbitos laborales y educativos, pero al mismo tiempo se permite (con restricciones) en labores policiales y en gestión de inmigración. Lo mismo pasa con el rastreo (scraping) de datos biométricos: se prohibe explícitamente recoger los patrones faciales, pero no se dice nada del resto de datos biométricos. Hay sistemas autoomáticos capaces de identificar a las personas, por ejemplo, por su forma de andar que no quedarían incluídos en la prohibición, informa Manuel G. Pascual.
¿Qué otros países han legislado la IA?
Ningún otro territorio del mundo tiene una ley que abarque tantos aspectos como la europea. El presidente de EE.UU., Joe Biden, firmó un octubre un decreto que obliga a las tecnológicas a notificar al Gobierno cualquier avance que suponga un “riesgo grave para la seguridad nacional”. En concreto, las empresas dedicadas a la IA en Estados Unidos, trabajen o no con el Gobierno, estarán obligadas a notificar a las autoridades federales cualquier avance que suponga un “riesgo grave para la seguridad nacional, económica o para la salud y seguridad públicas”, así como a perfeccionar los mecanismos que refuercen la confianza en esos avances tecnológicos. Días después, el primer ministro británico, Rishi Sunak, convocó a una cumbre de la que surgió el primer compromiso de 28 países (incluidos EE.UU. y China) y de la UE sobre estos sistemas, la llamada Declaración de Bletchley y la creación de un grupo de expertos para el seguimiento de sus avances.
