Una ley pionera para una tecnolog¨ªa con muchos interrogantes : las claves de la regulaci¨®n de la IA en la UE
Bruselas celebra como un ¡°momento hist¨®rico¡± el acuerdo, que deja dudas sobre su aplicaci¨®n y el control efectivo a las empresas
La Uni¨®n Europea ha conseguido su objetivo de ser la primera regi¨®n del mundo que se dotar¨¢ de una ley integral para regular la inteligencia artificial (IA), una tecnolog¨ªa que genera tantas expectativas como inquietudes por su potencial disruptivo. Aunque el acuerdo alcanzado tras varias maratonianas sesiones negociadoras todav¨ªa es provisional, a falta de ser ratificado tanto por los Estados miembros como por el Parlamento Europeo, en Bruselas el pacto...
La Uni¨®n Europea ha conseguido su objetivo de ser la primera regi¨®n del mundo que se dotar¨¢ de una ley integral para regular la inteligencia artificial (IA), una tecnolog¨ªa que genera tantas expectativas como inquietudes por su potencial disruptivo. Aunque el acuerdo alcanzado tras varias maratonianas sesiones negociadoras todav¨ªa es provisional, a falta de ser ratificado tanto por los Estados miembros como por el Parlamento Europeo, en Bruselas el pacto se ha celebrado como un ¡°momento hist¨®rico¡± con el que, en palabras de la presidenta de la Comisi¨®n Europea, Ursula von der Leyen, ¡°se transponen los valores europeos a una nueva era¡±, la de la IA. Con este hito, Europa no solo busca ofrecer un marco legislativo que impulse la competitividad e innovaci¨®n en el sector a la par que protege a sus ciudadanos; tambi¨¦n quiere sentar el modelo normativo a seguir por el resto del mundo.
?C¨®mo se cocina una ley para el futuro?
Parad¨®jicamente, una de las leyes m¨¢s futuristas ¡ªhasta el punto de que busca poder regular tecnolog¨ªas o funciones que ni siquiera existen a¨²n¡ª fue negociada bajo la presidencia espa?ola de turno de la UE de la manera m¨¢s tradicional de Bruselas: cara a cara, a puerta cerrada, en una sesi¨®n maratoniana en la que los representantes de todas las instituciones europeas, el Consejo (los Estados), la Euroc¨¢mara y la Comisi¨®n Europea discutieron punto por punto y art¨ªculo por art¨ªculo la normativa, apenas sin pausas, con mucho caf¨¦ ¡ªaunque la m¨¢quina se rompi¨® en la primera madrugada¡ª, bocadillos y zumos para aguantar lo que acab¨® siendo un¨¢nimemente calificada como un ¡°ultramarat¨®n¡± de 36 horas (22 horas seguidas la primera tanda y, tras una pausa el jueves, otras 14 el viernes hasta casi la medianoche).
?C¨®mo se regula la IA en la ley?
Los negociadores europeos han intentado nadar entre dos aguas, buscando reglas que permitan controlar la de inteligencia artificial y garantizar que los desarrolladores compartan informaci¨®n importante con los proveedores de IA intermedia, incluidas muchas pymes europeas y, al mismo tiempo, evitar una ¡°carga excesiva¡± para las empresas, seg¨²n el comisario de Mercado Interior, Thierry Breton, uno de los grandes impulsores de la normativa.
La ley se fija, especialmente, en la llamada ¡°IA de prop¨®sito general¡±, por ejemplo, el popular ChatGPT. La ley acuerda un enfoque de dos niveles: exige transparencia para todos estos modelos de IA de uso general, y requisitos a¨²n m¨¢s estrictos para modelos ¡°potentes¡±, dice, ¡°con impactos sist¨¦micos en todo nuestro Mercado ?nico de la UE¡±. Lo que m¨¢s preocupa a los legisladores es que los modelos como ChatGPT son totalmente cerrados, es decir, no se conocen sus tripas t¨¦cnicas, como s¨ª ocurre con los modelos de fuente abierta (open source).
Para los primeros, la ley incluyen la exigencia a las empresas de que elaboren documentaci¨®n t¨¦cnica, el cumplimiento de la ley de derechos de autor de la UE y la difusi¨®n de res¨²menes detallados sobre el contenido utilizado para la formaci¨®n.
Para los modelos de alto impacto ¡°con riesgo sist¨¦mico¡±, los negociadores del Parlamento buscaron obligaciones m¨¢s estrictas. Si estos modelos cumplen ciertos criterios (que a¨²n est¨¢n por definir), tendr¨¢n que realizar evaluaciones de modelos, evaluar y mitigar riesgos sist¨¦micos, realizar pruebas constantes, informar a la Comisi¨®n sobre incidentes graves, garantizar la ciberseguridad e informar sobre su eficiencia energ¨¦tica. Y si no cumplen, ser¨¢n sancionadas.
?Cu¨¢les son los riesgos de la IA por los que la UE podr¨ªa intervenir?
El enfoque de la UE ha sido el de no intervenir de origen, sino en funci¨®n de los riesgos que tenga cada una de las tecnolog¨ªas. En palabras de Breton: ¡°[Esta ley] nos permite prohibir los usos de la IA que violen los derechos fundamentales y los valores de la UE, establecer reglas claras para los casos de uso de alto riesgo y promover la innovaci¨®n sin barreras para todos los casos de uso de bajo riesgo¡±.
Ejemplos de sistemas de IA de alto riesgo incluyen ciertas infraestructuras cr¨ªticas, por ejemplo, el agua, el gas y la electricidad; dispositivos m¨¦dicos; sistemas para determinar el acceso a instituciones educativas; o determinados sistemas utilizados en los ¨¢mbitos de la aplicaci¨®n de la ley, el control de fronteras, la administraci¨®n de justicia y los procesos democr¨¢ticos.
?C¨®mo impedir que la IA vulnere los derechos ciudadanos?
Europa se vanagloria de sus ¡°valores europeos¡± y el respeto a los derechos fundamentales y, a la hora de legislar sobre una tecnolog¨ªa con tantos interrogantes de futuro y tal capacidad intrusiva, la Euroc¨¢mara libr¨® desde el primer momento una dura batalla para preservar al m¨¢ximo las libertades y derechos ciudadanos. Los representantes de los legisladores europeos llegaron a la mesa de negociaciones con una largu¨ªsima lista de funciones de la IA a prohibir, sobre todo los llamados sistemas de vigilancia biom¨¦trica. Unos l¨ªmites que varios Estados quer¨ªan rebajar sustancialmente en aras de la seguridad nacional e intereses militares (m¨¢s all¨¢ de otros econ¨®micos menos proclamados) y que provocaron algunas concesiones. Pero tras las negociaciones, los dos ponentes de la normativa, el socialdem¨®crata italiano Brando Benifei y el liberal rumano Dragos Tudorache, salieron con una amplia sonrisa y afirmando que hab¨ªan logrado ¡°defender a los ciudadanos de los riesgos que la IA puede implicar en el d¨ªa a d¨ªa¡±.
As¨ª, la futura ley de IA se?ala ¡°riesgos inaceptables¡± por los que se prohibir¨¢n los sistemas de IA que se consideren una clara amenaza a los derechos fundamentales. Esto incluye sistemas o aplicaciones de inteligencia artificial que ¡°manipulen el comportamiento humano¡± para eludir el libre albedr¨ªo de los usuarios o sistemas que permiten la ¡°puntuaci¨®n social¡± por parte de gobiernos o empresas. Esos sistemas de puntuaci¨®n social (social scoring) son muy pol¨¦micos porque usan la IA para evaluar la fiabilidad de un individuo bas¨¢ndose en su sexo, su raza, su salud, su comportamiento social o en sus preferencias. Tambi¨¦n estar¨¢n prohibidos los sistemas de reconocimiento de emociones en el lugar de trabajo e instituciones educativas y la categorizaci¨®n biom¨¦trica para deducir datos sensibles como la orientaci¨®n sexual o las creencias pol¨ªticas o religiosas, as¨ª como algunos casos de polic¨ªa predictiva para individuos y los sistemas que crean bases de datos faciales captando datos de manera indiscriminada a trav¨¦s de internet o de grabaciones audiovisuales, como Clearview A.
Y aunque los eurodiputados cedieron en la l¨ªnea roja que hab¨ªan trazado sobre el uso de sistemas de vigilancia biom¨¦trica en tiempo real en espacios p¨²blicos, estos solo podr¨¢n ser empleados por las fuerzas del orden y requerir¨¢n estrictas salvaguardias, como una orden judicial y que su uso est¨¦ muy restringido: para buscar v¨ªctimas de secuestro, tr¨¢fico humano o de explotaci¨®n sexual, para prevenir una amenaza terrorista ¡°genuina y previsible¡± o ¡°genuina y presente¡±, es decir, que ya est¨¢ ocurriendo, o para la localizaci¨®n o identificaci¨®n de un sospechoso de cr¨ªmenes espec¨ªficos (terrorismo, tr¨¢fico, asesinato, secuestro, violaci¨®n, robo armado o un crimen medioambiental, entre otros). Aunque con menos restricciones, el uso ¡°ex post¡± de estos sistemas tambi¨¦n estar¨¢ muy controlado.
La ley obligar¨¢ adem¨¢s a realizar una ¡°evaluaci¨®n de impacto en los derechos fundamentales¡± antes de que un sistema de IA de ¡°alto riesgo¡± pueda ser sacado al mercado.
?C¨®mo se controlar¨¢ que se cumple la ley?
Entre otros, la normativa prev¨¦ la creaci¨®n de una Oficina de IA, que estar¨¢ dentro de la Comisi¨®n Europea y cuya tarea ser¨¢ ¡°supervisar los modelos m¨¢s avanzados de IA, contribuir a promover los est¨¢ndares y pr¨¢cticas de prueba, as¨ª como el cumplimiento de las normas en todos los Estados miembros. Recibir¨¢ asesoramiento sobre los modelos GPAI de un panel cient¨ªfico compuesto de expertos independientes y de la sociedad civil.
Adem¨¢s, no es una ley sin dientes: la normativa prev¨¦ duras sanciones para los infractores, bien un porcentaje del volumen total de negocios de la compa?¨ªa infractora el a?o fiscal previo o incluso una cantidad predeterminada ¡°a¨²n mayor¡±. La multa puede llegar a 35 millones de euros o 7% para violaciones de aplicaciones prohibidas de la IA y la m¨¢s baja es de 7,5 millones o 1,5% del volumen de negocios por proporcionar informaci¨®n incorrecta.
?Cu¨¢les son los siguientes pasos?
El acuerdo pol¨ªtico ¡°provisional¡± est¨¢ ahora sujeto a la aprobaci¨®n formal del Parlamento Europeo y del Consejo. Una vez que se adopte la Ley de IA, habr¨¢ un per¨ªodo de transici¨®n antes de que sea aplicable. Para salvar este tiempo, la Comisi¨®n asegura que lanzar¨¢ un ¡°pacto sobre IA¡±: convocar¨¢ a desarrolladores de IA de Europa y de todo el mundo para que se comprometan de forma voluntaria a implementar las obligaciones clave de la Ley de IA antes de los plazos legales. No se espera que la ley est¨¦ totalmente en vigor antes de 2026, aunque algunas partes empezar¨¢n a funcionar antes.
?Cu¨¢les han sido las reacciones a la ley?
Las principales empresas que est¨¢n detr¨¢s de los modelos de IA actuales ya han dicho que respetar¨¢n la ley, aunque han pedido que su aplicaci¨®n ¡°no suponga un freno¡±. Las compa?¨ªas responsables de estos desarrollos han venido trabajando en paralelo a la negociaci¨®n de la norma para asegurarse una evoluci¨®n ¨¦tica de estas herramientas, por lo que la norma coincide con sus expectativas generales siempre que, seg¨²n Christina Montgomery, vicepresidenta y directora de Privacidad y Confianza de IBM, ¡°proporcione barreras de protecci¨®n para la sociedad al tiempo que promueve la innovaci¨®n¡±.
Las ONG y expertos dedicados al ciberactivismo, sin embargo, se han mostrado sorprendidos y defraudados. Ella Jakubowska, analista especializada en tecnolog¨ªas de identificaci¨®n biom¨¦tricas de la ONG europea en defensa de los derechos digitales EDRi, asegura: ¡°A pesar de muchas promesas, la ley parece destinada a hacer exactamente lo contrario de lo que quer¨ªamos. Allanar¨¢ el camino para que los 27 Estados miembros de la UE legalicen el reconocimiento facial p¨²blico en vivo. Esto sentar¨¢ un precedente peligroso en todo el mundo, legitimar¨¢ estas tecnolog¨ªas de vigilancia masiva profundamente intrusivas e implicar¨¢ que se pueden hacer excepciones a nuestros derechos humanos¡±. Carmela Troncoso, ingeniera de telecomunicaciones especialista en privacidad en la Escuela Polit¨¦cnica Federal de Lausana (Suiza), explica: ¡°Hay muchas prohibiciones muy prometedoras, pero tambi¨¦n muchos agujeros y excepciones que no dejan claro que las prohibiciones de verdad vayan a proteger los derechos humanos como esperamos, por ejemplo, que las fuerzas del orden vayan a usar reconocimiento facial en tiempo real para buscar sospechosos. Tambi¨¦n es triste que Espa?a haya estado detr¨¢s de algunas de las propuestas m¨¢s preocupantes de esta ley¡±, a?ade Troncoso, creadora de la tecnolog¨ªa que hizo posible las apps de rastreamiento de la covid.
Entre los aspectos que no concreta el acuerdo se cuenta el reconocimiento de emociones. Se dice que se prohibir¨¢ en los ¨¢mbitos laborales y educativos, pero al mismo tiempo se permite (con restricciones) en labores policiales y en gesti¨®n de inmigraci¨®n. Lo mismo pasa con el rastreo (scraping) de datos biom¨¦tricos: se prohibe expl¨ªcitamente recoger los patrones faciales, pero no se dice nada del resto de datos biom¨¦tricos. Hay sistemas autoom¨¢ticos capaces de identificar a las personas, por ejemplo, por su forma de andar que no quedar¨ªan inclu¨ªdos en la prohibici¨®n, informa Manuel G. Pascual.
?Qu¨¦ otros pa¨ªses han legislado la IA?
Ning¨²n otro territorio del mundo tiene una ley que abarque tantos aspectos como la europea. El presidente de EE UU, Joe Biden, firm¨® un octubre un decreto que obliga a las tecnol¨®gicas a notificar al Gobierno cualquier avance que suponga un ¡°riesgo grave para la seguridad nacional¡±. En concreto, las empresas dedicadas a la IA en Estados Unidos, trabajen o no con el Gobierno, estar¨¢n obligadas a notificar a las autoridades federales cualquier avance que suponga un ¡°riesgo grave para la seguridad nacional, econ¨®mica o para la salud y seguridad p¨²blicas¡±, as¨ª como a perfeccionar los mecanismos que refuercen la confianza en esos avances tecnol¨®gicos. D¨ªas despu¨¦s, el primer ministro brit¨¢nico, Rishi Sunak, convoc¨® a una cumbre de la que surgi¨® el primer compromiso de 28 pa¨ªses (incluidos EE UU y China) y de la UE sobre estos sistemas, la llamada Declaraci¨®n de Bletchley y la creaci¨®n de un grupo de expertos para el seguimiento de sus avances.
Puedes seguir a EL PA?S Tecnolog¨ªa en Facebook y X o apuntarte aqu¨ª para recibir nuestra newsletter semanal.