Europa pone un marco legal a la IA

En los próximos meses la Unión Europea terminará de ajustar la implementación del Reglamento de Inteligencia Artificial (EU IA Act). Anunció su aprobación, a bombo y platillo, el pasado marzo. No es para menos. Se trata del primer marco regulador que existe en el mundo para la IA, al que ya están comenzando a copiar en otras latitudes. Carme Artigas, secretaria de Estado de Digitalización e Inteligencia Artificial de España, explica que el impacto puede ser “similar al que tuvo el Reglamento General de Protección de Datos (RGPD)”, que fue luego copiado por países de diferentes partes del planeta.

El reglamento, que tiene más de 400 páginas, establece dos objetivos principales. Por un lado, pretende asegurar que todos los sistemas de IA comercializados en el mercado europeo sean seguros y respeten los derechos fundamentales de la ciudadanía. Y, por otro, promover la innovación y el desarrollo de la IA en Europa.

“La prioridad del Parlamento es garantizar que los sistemas de IA utilizados en la UE sean seguros, transparentes, trazables, no discriminatorios y respetuosos con el medio ambiente”, explican fuentes del Parlamento Europeo. “Los sistemas de IA deben ser supervisados por personas, en lugar de por la automatización, para evitar resultados perjudiciales”. La Eurocámara también quiere establecer una definición uniforme y tecnológicamente neutra de la IA que pueda aplicarse a futuros sistemas.

Enfoque de riesgos

Como explica Josep Curto Díaz, profesor de Estudios de Informática, Multimedia y Telecomunicación de la UOC, la normativa se enfoca en los diferentes tipos de riesgo, comenzando por el “riesgo inaceptable”. Son, por ejemplo, sistemas de IA que extraen imágenes faciales de Internet o imágenes de circuito cerrado de televisión, explica Curto Díaz. Luego está el “alto riesgo”, aplicaciones que puedan presentar potencial riesgo en la salud, la seguridad y los derechos fundamentales como, por ejemplo, sistemas que determinan el acceso y el disfrute de bienes y servicios privados y públicos esenciales. El “riesgo limitado” existe cuando el usuario pueda no darse cuenta de que está interactuando con la IA, como los chatbots o el contenido generado por la IA. En casos de “riesgo mínimo”, la ley solo recomienda seguir el código de conducta y tener un programa de conocimiento de la AI.

Curto Díaz considera que la normativa es muy positiva, en particular porque implica un enfoque “basado en el riesgo, ligado al caso de uso y no a la tecnología (…). Este enfoque va a obligar a desarrollar una gobernanza de IA en las organizaciones y que esta gobernanza no quede simplemente en una colección de buenas intenciones”.

Para asegurar el cumplimiento de la normativa, la Comisión Europea establecerá la Oficina de IA, que se encargará de supervisar la implementación de la ley por parte de los Estados miembros y de garantizar que los sistemas de IA cumplan con las nuevas regulaciones.

Aunque, evidentemente, la normativa afecta a GPT4 (Open AI), Gemini (Google) y LLaMA (Meta), entre otros grandes, también puede afectar a otras empresas y organizaciones que la usen, aunque no se trate de multinacionales.

¿Cómo afectará a las empresas?

Miquel Peguera, catedrático de los Estudios de Derecho y Ciencia Política, agrega: “Cualquier empresa o profesional que implemente soluciones de IA que tengan cierto nivel de riesgo deberá velar por el cumplimiento de este reglamento”. Esto incluye la prestación de servicios públicos, el control de fronteras, la persecución de delitos y otros campos.

“Creo que, como pasó con la ley de protección de datos, se va a crear todo un mercado de asesorías legales sobre responsabilidad en temas de inteligencia artificial”, dice Mara Balestrini, doctora en Ciencias Informáticas. “Ahora hay que ver cómo se va a implementar la normativa; cómo va a ser la letra pequeña, los detalles. Y cómo se van a valorar todos los usos que no están catalogados, porque es una tecnología que evoluciona muy rápido. Va a haber que hacer un gran trabajo técnico”. La normativa hace un esfuerzo por resguardar derechos sin “matar” la innovación. “Aunque habrá que seguir avanzando, es muy loable el resultado, porque es muy difícil poner de acuerdo todos los intereses, los diferentes países y diferencias ideológicas”, agrega Balestrini.

Aun así, la nueva norma ha recibido algunas críticas por parte de organizaciones. Beatriz Martos, responsable de campañas de tecnología en Amnistía Internacional España, expresó su decepción con la ley, argumentando que, en su forma actual, es preocupante que la normativa permita el uso de sistemas de identificación biométrica en tiempo real en espacios públicos bajo ciertas condiciones, como la autorización judicial en casos específicos. Según Martos, esto “abre la puerta a prácticas que podrían vulnerar derechos fundamentales como la privacidad, la libertad de expresión y la libertad de asociación”. Amnistía Internacional critica que las empresas europeas puedan seguir fabricando tecnologías de IA que están prohibidas dentro de la UE, pero que pueden ser exportadas a otros países. “Esto representa un doble rasero ético y podría facilitar el uso de tecnologías opresivas en países con regulaciones menos estrictas o con históricos de violaciones de derechos humanos”, señala. Además, la organización manifiesta su preocupación por la falta de medidas contundentes para garantizar que todas las aplicaciones de IA, incluidas aquellas utilizadas en contextos de seguridad y defensa, respeten plenamente los derechos humanos.

Por otro lado, desde el sector tecnológico, algunas empresas han expresado que la normativa podría ser demasiado restrictiva y afectar negativamente a la innovación en Europa. La Computer & Communications Industry Association (CCIA) opina que el texto de la ley se aparta en gran medida del “enfoque sensato basado en el riesgo” propuesto originalmente por la Comisión, priorizando la innovación sobre una regulación excesivamente prescriptiva. Daniel Friedlaender, vicepresidente senior y jefe de CCIA Europa, advirtió en Euronews: “La rapidez parece haber prevalecido sobre la calidad, con consecuencias potencialmente desastrosas para la economía europea”.

Por su parte, France Digitale, una organización que representa a startups e inversores europeos, también criticó la normativa, señalando que la obligación de obtener una marca CE para la IA de alto riesgo es un proceso largo y costoso que podría perjudicar a las startups. "La solución adoptada por Europa hoy equivale a regular las matemáticas, lo cual no tiene mucho sentido", afirmó un portavoz de la organización.

Es probable que se necesiten ajustes y revisiones continuas a medida que la tecnología evolucione.