Tras tres días de conversaciones «maratonianas», la Presidencia del Consejo y los negociadores del Parlamento Europeo han llegado a un acuerdo provisional sobre la propuesta de normas armonizadas sobre inteligencia artificial (IA), la llamada ley de inteligencia artificial.
El proyecto de reglamento pretende garantizar que los sistemas de IA comercializados en el mercado europeo y utilizados en la UE sean seguros y respeten los derechos fundamentales y los valores de la UE. Esta propuesta histórica también pretende estimular la inversión y la innovación en IA en Europa.
La Ley de Inteligencia Artificial es una iniciativa legislativa emblemática que puede fomentar el desarrollo y la adopción de una inteligencia artificial segura y fiable en el mercado único de la UE, tanto por parte del sector público como del privado. La idea principal es regular la IA en función de su capacidad para causar daños a la sociedad siguiendo un planteamiento «basado en el riesgo»: cuanto mayor sea el riesgo, más estrictas serán las normas. Como primera propuesta legislativa de este tipo en el mundo, puede establecer una norma global para la regulación de la IA en otras jurisdicciones, al igual que ha hecho el GDPR, promoviendo así el enfoque europeo de la regulación tecnológica en la escena mundial.
Principales elementos del acuerdo provisional
En comparación con la propuesta inicial de la Comisión, los principales elementos nuevos del acuerdo provisional pueden resumirse como sigue:
- normas sobre los modelos de IA de propósito general de alto impacto que puedan causar un riesgo sistémico en el futuro, así como sobre los sistemas de IA de alto riesgo
- un sistema revisado de gobernanza con algunos poderes coercitivos a nivel de la UE
- ampliación de la lista de prohibiciones, pero con la posibilidad de que las autoridades policiales utilicen la identificación biométrica a distancia en los espacios públicos, con sujeción a salvaguardias
- una mejor protección de los derechos mediante la obligación de que quienes desplieguen sistemas de IA de alto riesgo realicen una evaluación de impacto sobre los derechos fundamentales antes de poner en funcionamiento un sistema de IA.
En términos más concretos, el acuerdo provisional abarca los siguientes aspectos:
Definiciones y ámbito de aplicación
Para garantizar que la definición de sistema de IA proporciona criterios suficientemente claros para distinguir la IA de sistemas de software más simples, el acuerdo de compromiso ajusta la definición al enfoque propuesto por la OCDE.
El acuerdo provisional también aclara que el reglamento no se aplicará a ámbitos ajenos a la legislación de la UE y que, en ningún caso, afectará a las competencias de los Estados miembros en materia de seguridad nacional ni a ninguna entidad a la que se hayan encomendado tareas en este ámbito. Además, el acto sobre IA no se aplicará a los sistemas que se utilicen exclusivamente con fines militares o de defensa. Del mismo modo, el acuerdo establece que el reglamento no se aplicará a los sistemas de IA utilizados con el único fin de la investigación y la innovación, ni a las personas que utilicen la IA por motivos no profesionales.
Clasificación de los sistemas de IA como de alto riesgo y prácticas de IA prohibidas
El acuerdo de compromiso prevé una capa horizontal de protección, incluida una clasificación de alto riesgo, para garantizar que no se capten los sistemas de IA que no sean susceptibles de causar graves violaciones de los derechos fundamentales u otros riesgos significativos. Los sistemas de IA que solo presenten un riesgo limitado estarían sujetos a obligaciones de transparencia muy leves, por ejemplo revelar que el contenido fue generado por IA para que los usuarios puedan tomar decisiones informadas sobre su uso posterior.
Se autorizaría una amplia gama de sistemas de IA de alto riesgo, pero sujetos a una serie de requisitos y obligaciones para acceder al mercado de la UE. Los colegisladores han aclarado y ajustado estos requisitos de manera que sean más viables técnicamente y menos gravosos de cumplir para las partes interesadas, por ejemplo en lo que respecta a la calidad de los datos, o en relación con la documentación técnica que deben elaborar las PYME para demostrar que sus sistemas de IA de alto riesgo cumplen los requisitos.
Dado que los sistemas de IA se desarrollan y distribuyen a través de complejas cadenas de valor, el acuerdo de compromiso incluye cambios que aclaran la asignación de responsabilidades y funciones de los distintos agentes de esas cadenas, en particular los proveedores y los usuarios de los sistemas de IA. También aclara la relación entre las responsabilidades derivadas de la Ley de IA y las que ya existen en virtud de otra legislación, como la legislación sectorial o de protección de datos pertinente de la UE.
Para algunos usos de la IA, el riesgo se considera inaceptable y, por tanto, estos sistemas estarán prohibidos en la UE. El acuerdo provisional prohíbe, por ejemplo, la manipulación cognitiva del comportamiento, la extracción no selectiva de imágenes faciales de Internet o de grabaciones de CCTV, el reconocimiento de emociones en el lugar de trabajo y en instituciones educativas, la puntuación social, la categorización biométrica para inferir datos sensibles, como la orientación sexual o las creencias religiosas, y algunos casos de vigilancia policial predictiva de personas.
Excepciones a la aplicación de la ley
Teniendo en cuenta las especificidades de las autoridades policiales y la necesidad de preservar su capacidad para utilizar la IA en su trabajo vital, se acordaron varios cambios a la propuesta de la Comisión en relación con el uso de sistemas de IA para fines policiales. Con las salvaguardias adecuadas, estos cambios pretenden reflejar la necesidad de respetar la confidencialidad de los datos operativos sensibles en relación con sus actividades.
Por ejemplo, se ha introducido un procedimiento de emergencia que permite a los cuerpos y fuerzas de seguridad desplegar en caso de urgencia una herramienta de IA de alto riesgo que no haya superado el procedimiento de evaluación de la conformidad. Sin embargo, también se ha introducido un mecanismo específico para garantizar que los derechos fundamentales estarán suficientemente protegidos contra cualquier posible uso indebido de los sistemas de IA.
Por otra parte, en lo que respecta al uso de sistemas de identificación biométrica a distancia en tiempo real en espacios de acceso público, el acuerdo provisional aclara los objetivos en los que dicho uso es estrictamente necesario a efectos policiales y para los que, por tanto, las autoridades policiales deben estar autorizadas excepcionalmente a utilizar dichos sistemas. El acuerdo de compromiso establece salvaguardias adicionales y limita estas excepciones a los casos de víctimas de determinados delitos, prevención de amenazas reales, presentes o previsibles, como atentados terroristas, y búsquedas de personas sospechosas de los delitos más graves.
Sistemas de IA de propósito general y modelos fundacionales
Se han añadido nuevas disposiciones para tener en cuenta las situaciones en las que los sistemas de IA pueden utilizarse para muchos fines diferentes (IA de propósito general) y en las que la tecnología de IA de propósito general se integra posteriormente en otro sistema de alto riesgo. El acuerdo provisional también aborda los casos específicos de los sistemas de IA de propósito general (GPAI).
También se han acordado normas específicas para los modelos fundacionales, grandes sistemas capaces de realizar de forma competente una amplia gama de tareas distintivas, como generar vídeo, texto, imágenes, conversar en lenguaje lateral, calcular o generar código informático. El acuerdo provisional establece que los modelos fundacionales deben cumplir obligaciones específicas de transparencia antes de su comercialización. Se introdujo un régimen más estricto para los modelos fundacionales de «alto impacto». Se trata de modelos fundacionales entrenados con gran cantidad de datos y con una complejidad, capacidades y rendimiento avanzados muy por encima de la media, que pueden diseminar riesgos sistémicos a lo largo de la cadena de valor.
Una nueva arquitectura de gobernanza
A raíz de las nuevas normas sobre modelos GPAI y de la evidente necesidad de hacerlas cumplir a escala de la UE, se crea en la Comisión una Oficina de IA encargada de supervisar estos modelos de IA más avanzados, contribuir a fomentar normas y prácticas de ensayo y hacer cumplir las normas comunes en todos los Estados miembros. Un grupo científico de expertos independientes asesorará a la Oficina de IA sobre los modelos GPAI, contribuyendo al desarrollo de metodologías de evaluación de las capacidades de los modelos de cimentación, asesorando sobre la designación y la aparición de modelos de cimentación de alto impacto, y vigilando los posibles riesgos de seguridad material relacionados con los modelos de cimentación.
El Consejo de IA, que estaría compuesto por representantes de los Estados miembros, seguirá siendo una plataforma de coordinación y un órgano consultivo de la Comisión y dará un papel importante a los Estados miembros en la aplicación del reglamento, incluido el diseño de códigos de prácticas para los modelos de cimentación. Por último, se creará un foro consultivo para las partes interesadas, como representantes de la industria, las PYME, las start-ups, la sociedad civil y el mundo académico, que aportará conocimientos técnicos al Consejo de IA.
Sanciones
Las multas por infracción de la ley de IA se fijaron como un porcentaje del volumen de negocios anual global de la empresa infractora en el ejercicio financiero anterior o una cantidad predeterminada, la que sea mayor. Serían 35 millones de euros, es decir, el 7%, por las infracciones de las aplicaciones de IA prohibidas, 15 millones de euros, es decir, el 3%, por las infracciones de las obligaciones de la ley de IA y 7,5 millones de euros, es decir, el 1,5%, por el suministro de información incorrecta. Sin embargo, el acuerdo provisional prevé límites más proporcionados para las multas administrativas a las PYME y las empresas de nueva creación en caso de infracción de las disposiciones de la ley sobre IA.
El acuerdo transaccional también deja claro que una persona física o jurídica puede presentar una reclamación a la autoridad de vigilancia del mercado pertinente en relación con el incumplimiento de la ley sobre IA y puede esperar que dicha reclamación se tramite de acuerdo con los procedimientos específicos de dicha autoridad.
Transparencia y protección de los derechos fundamentales
El acuerdo provisional prevé una evaluación de impacto sobre los derechos fundamentales antes de que un sistema de IA de alto riesgo sea puesto en el mercado por sus implantadores. El acuerdo provisional también prevé una mayor transparencia en relación con el uso de sistemas de IA de alto riesgo. En particular, se han modificado algunas disposiciones de la propuesta de la Comisión para indicar que determinados usuarios de un sistema de IA de alto riesgo que sean entidades públicas también estarán obligados a registrarse en la base de datos de la UE para sistemas de IA de alto riesgo. Además, las nuevas disposiciones añadidas hacen hincapié en la obligación de los usuarios de un sistema de reconocimiento de emociones de informar a las personas físicas cuando estén expuestas a dicho sistema.
Medidas de apoyo a la innovación
Con vistas a crear un marco jurídico más favorable a la innovación y a promover el aprendizaje normativo basado en pruebas, las disposiciones relativas a las medidas de apoyo a la innovación se han modificado sustancialmente en comparación con la propuesta de la Comisión.
En particular, se ha aclarado que los espacios aislados de regulación de la IA, que se supone que establecen un entorno controlado para el desarrollo, la prueba y la validación de sistemas innovadores de IA, también deben permitir la prueba de sistemas innovadores de IA en condiciones del mundo real. Además, se han añadido nuevas disposiciones que permiten probar sistemas de IA en condiciones del mundo real, bajo condiciones y salvaguardias específicas. Para aliviar la carga administrativa de las empresas más pequeñas, el acuerdo provisional incluye una lista de acciones que deben emprenderse para apoyar a estos operadores y prevé algunas excepciones limitadas y claramente especificadas.
Entrada en vigor
El acuerdo provisional prevé que la ley sobre IA se aplique dos años después de su entrada en vigor, con algunas excepciones para disposiciones específicas.
Próximos pasos
Tras el acuerdo provisional de hoy, en las próximas semanas proseguirán los trabajos a nivel técnico para ultimar los detalles del nuevo reglamento. La Presidencia presentará el texto transaccional a los representantes de los Estados miembros (Coreper) para su aprobación una vez concluidos estos trabajos.
El texto completo deberá ser confirmado por ambas instituciones y someterse a una revisión jurídico-lingüística antes de su adopción formal por los colegisladores.
