“Tras tres días de conversaciones "maratonianas",
la Presidencia del Consejo y los negociadores del Parlamento Europeo han
llegado a un acuerdo provisional sobre la propuesta de normas armonizadas sobre
inteligencia artificial (IA), la llamada ley de inteligencia artificial. El
proyecto de reglamento pretende garantizar que los sistemas de IA
comercializados en el mercado europeo y utilizados en la UE sean seguros y
respeten los derechos fundamentales y los valores de la UE. Esta propuesta
histórica también pretende estimular la inversión y la innovación en IA en
Europa.
La Ley de Inteligencia Artificial es una iniciativa
legislativa emblemática que puede fomentar el desarrollo y la adopción de una
inteligencia artificial segura y fiable en el mercado único de la UE, tanto por
parte del sector público como del privado. La idea principal es regular la IA
en función de su capacidad para causar daños a la sociedad siguiendo un
planteamiento "basado en el riesgo": cuanto mayor sea el riesgo, más
estrictas serán las normas. Como primera propuesta legislativa de este tipo en
el mundo, puede establecer una norma global para la regulación de la IA en
otras jurisdicciones, al igual que ha hecho el GDPR, promoviendo así el enfoque
europeo de la regulación tecnológica en la escena mundial.
Principales elementos del acuerdo provisional
En comparación con la propuesta inicial de la Comisión, los
principales elementos nuevos del acuerdo provisional pueden resumirse como
sigue:
- normas sobre los modelos de IA de propósito general de alto impacto que puedan causar un riesgo sistémico en el futuro, así como sobre los sistemas de IA de alto riesgo
- un sistema revisado de gobernanza con algunos poderes
coercitivos a nivel de la UE
- ampliación de la lista de prohibiciones, pero con la
posibilidad de que las autoridades policiales utilicen la identificación
biométrica a distancia en los espacios públicos, con sujeción a salvaguardias
- una mejor protección de los derechos mediante la obligación
de que quienes implanten sistemas de IA de alto riesgo realicen una evaluación
de impacto sobre los derechos fundamentales antes de poner en funcionamiento un
sistema de IA.
En términos más concretos, el acuerdo provisional abarca los
siguientes aspectos:
Definiciones y ámbito de aplicación
Para garantizar que la definición de sistema de IA proporciona criterios suficientemente claros para distinguir la IA de sistemas de software más simples, el acuerdo de compromiso ajusta la definición al enfoque propuesto por la OCDE.
El acuerdo provisional también aclara que el reglamento no se aplicará a ámbitos ajenos a la legislación de la UE y que, en ningún caso, afectará a las competencias de los Estados miembros en materia de seguridad nacional ni a ninguna entidad que tenga encomendadas tareas en este ámbito. Además, el acto sobre IA no se aplicará a los sistemas que se utilicen exclusivamente con fines militares o de defensa. Del mismo modo, el acuerdo establece que el reglamento no se aplicará a los sistemas de IA utilizados con el único fin de la investigación y la innovación, ni a las personas que utilicen la IA por motivos no profesionales.
Clasificación de los sistemas de IA como de alto riesgo y
prácticas de IA prohibidas
El acuerdo de compromiso prevé una capa horizontal de
protección, incluida una clasificación de alto riesgo, para garantizar que no
se capten los sistemas de IA que no sean susceptibles de causar graves
violaciones de los derechos fundamentales u otros riesgos significativos. Los
sistemas de IA que solo presenten un riesgo limitado estarían sujetos a
obligaciones de transparencia muy leves, por ejemplo revelar que el contenido
fue generado por IA para que los usuarios puedan tomar decisiones informadas
sobre su uso posterior.
Se autorizaría una amplia gama de sistemas de IA de alto riesgo, pero sujetos a una serie de requisitos y obligaciones para acceder al mercado de la UE. Los colegisladores han aclarado y ajustado estos requisitos de manera que sean más viables técnicamente y menos gravosos de cumplir para las partes interesadas, por ejemplo en lo que respecta a la calidad de los datos, o en relación con la documentación técnica que deben elaborar las PYME para demostrar que sus sistemas de IA de alto riesgo cumplen los requisitos.
Dado que los sistemas de IA se desarrollan y distribuyen a
través de complejas cadenas de valor, el acuerdo de compromiso incluye cambios
que aclaran la asignación de responsabilidades y funciones de los distintos
agentes de esas cadenas, en particular los proveedores y los usuarios de los
sistemas de IA. También aclara la relación entre las responsabilidades
derivadas de la Ley de IA y las que ya existen en virtud de otra legislación,
como la legislación sectorial o de protección de datos pertinente de la UE.
Para algunos usos de la IA, el riesgo se considera inaceptable y, por tanto, estos sistemas estarán prohibidos en la UE. El acuerdo provisional prohíbe, por ejemplo, la manipulación cognitiva del comportamiento, la extracción no selectiva de imágenes faciales de Internet o de grabaciones de CCTV, el reconocimiento de emociones en el lugar de trabajo y en instituciones educativas, la puntuación social, la categorización biométrica para inferir datos sensibles, como la orientación sexual o las creencias religiosas, y algunos casos de vigilancia policial predictiva de personas.
Excepciones para las fuerzas de seguridad
Teniendo en cuenta las especificidades de las autoridades policiales y la necesidad de preservar su capacidad de utilizar la IA en su trabajo vital, se acordaron varios cambios a la propuesta de la Comisión en relación con el uso de sistemas de IA para fines policiales. Con las salvaguardias adecuadas, estos cambios pretenden reflejar la necesidad de respetar la confidencialidad de los datos operativos sensibles en relación con sus actividades. Por ejemplo, se ha introducido un procedimiento de emergencia que permite a los cuerpos y fuerzas de seguridad desplegar en caso de urgencia una herramienta de IA de alto riesgo que no haya superado el procedimiento de evaluación de la conformidad. Sin embargo, también se ha introducido un mecanismo específico para garantizar que los derechos fundamentales estarán suficientemente protegidos contra cualquier posible uso indebido de los sistemas de IA.
Por otra parte, en lo que respecta al uso de sistemas de
identificación biométrica a distancia en tiempo real en espacios de acceso
público, el acuerdo provisional aclara los objetivos en los que dicho uso es
estrictamente necesario a efectos policiales y para los que, por tanto, las
autoridades policiales deben estar autorizadas excepcionalmente a utilizar
dichos sistemas. El acuerdo transaccional establece salvaguardias adicionales y
limita estas excepciones a los casos de víctimas de determinados delitos,
prevención de amenazas reales, presentes o previsibles, como atentados
terroristas, y búsquedas de personas sospechosas de los delitos más graves.
Sistemas de IA de propósito general y modelos fundacionales
Se han añadido nuevas disposiciones para tener en cuenta las situaciones en las que los sistemas de IA pueden utilizarse para muchos fines diferentes (IA de propósito general) y en las que la tecnología de IA de propósito general se integra posteriormente en otro sistema de alto riesgo. El acuerdo provisional también aborda los casos específicos de los sistemas de IA de propósito general (GPAI).
También se han acordado normas específicas para los modelos
fundacionales, grandes sistemas capaces de realizar de forma competente una
amplia gama de tareas distintivas, como generar vídeo, texto, imágenes,
conversar en lenguaje lateral, calcular o generar código informático. El
acuerdo provisional establece que los modelos fundacionales deben cumplir
obligaciones específicas de transparencia antes de su comercialización. Se
introdujo un régimen más estricto para los modelos fundacionales de "alto
impacto". Se trata de modelos de cimentación entrenados con gran cantidad
de datos y con una complejidad, capacidades y rendimiento avanzados muy por
encima de la media, que pueden diseminar riesgos sistémicos a lo largo de la
cadena de valor.
Una nueva arquitectura de gobernanza
A raíz de las nuevas normas sobre modelos GPAI y de la
evidente necesidad de hacerlas cumplir a escala de la UE, se crea en la
Comisión una Oficina de IA encargada de supervisar estos modelos de IA más
avanzados, contribuir a fomentar normas y prácticas de ensayo y hacer cumplir
las normas comunes en todos los Estados miembros. Un grupo científico de
expertos independientes asesorará a la Oficina de IA sobre los modelos GPAI,
contribuyendo al desarrollo de metodologías de evaluación de las capacidades de
los modelos de cimentación, asesorando sobre la designación y la aparición de
modelos de cimentación de alto impacto, y vigilando los posibles riesgos de
seguridad material relacionados con los modelos de cimentación.
El Consejo de IA, que estaría compuesto por representantes de los Estados miembros, seguirá siendo una plataforma de coordinación y un órgano consultivo de la Comisión y dará un papel importante a los Estados miembros en la aplicación del reglamento, incluido el diseño de códigos de prácticas para los modelos de cimentación. Por último, se creará un foro consultivo para las partes interesadas, como representantes de la industria, las PYME, las start-ups, la sociedad civil y el mundo académico, que aportará conocimientos técnicos al Consejo de IA.
Sanciones
Las multas por infracciones de la ley de IA se fijaron como un porcentaje del volumen de negocios anual global de la empresa infractora en el ejercicio financiero anterior o una cantidad predeterminada, la que sea mayor. Serían 35 millones de euros o el 7% por infracciones de las aplicaciones de IA prohibidas, 15 millones de euros o el 3% por infracciones de las obligaciones de la ley de IA y 7,5 millones de euros o el 1,5% por el suministro de información incorrecta. Sin embargo, el acuerdo provisional prevé límites más proporcionados para las multas administrativas a las PYME y las empresas de nueva creación en caso de infracción de las disposiciones de la ley sobre IA.
El acuerdo de compromiso también deja claro que una persona
física o jurídica puede presentar una denuncia ante la autoridad de vigilancia
del mercado pertinente en relación con el incumplimiento de la ley sobre IA y
puede esperar que dicha denuncia se tramite de acuerdo con los procedimientos
específicos de dicha autoridad.
Transparencia y protección de los derechos fundamentales
El acuerdo provisional prevé una evaluación de impacto sobre los derechos fundamentales antes de que los implantadores comercialicen un sistema de IA de alto riesgo. El acuerdo provisional también prevé una mayor transparencia en relación con el uso de sistemas de IA de alto riesgo. En particular, se han modificado algunas disposiciones de la propuesta de la Comisión para indicar que determinados usuarios de un sistema de IA de alto riesgo que sean entidades públicas también estarán obligados a registrarse en la base de datos de la UE para sistemas de IA de alto riesgo. Además, las nuevas disposiciones añadidas hacen hincapié en la obligación de los usuarios de un sistema de reconocimiento de emociones de informar a las personas físicas cuando estén expuestas a dicho sistema.
Medidas de apoyo a la innovación
Con vistas a crear un marco jurídico más favorable a la
innovación y a promover el aprendizaje normativo basado en pruebas, las
disposiciones relativas a las medidas de apoyo a la innovación se han
modificado sustancialmente en comparación con la propuesta de la Comisión.
En particular, se ha aclarado que los "cajones de arena" reguladores de la IA, que se supone que establecen un entorno controlado para el desarrollo, prueba y validación de sistemas innovadores de IA, también deben permitir la prueba de sistemas innovadores de IA en condiciones del mundo real. Además, se han añadido nuevas disposiciones que permiten probar sistemas de IA en condiciones del mundo real, bajo condiciones y salvaguardias específicas. Para aliviar la carga administrativa de las empresas más pequeñas, el acuerdo provisional incluye una lista de acciones que deben emprenderse para apoyar a estos operadores y prevé algunas excepciones limitadas y claramente especificadas.
Entrada en vigor
El acuerdo provisional prevé que la ley sobre IA se aplique dos años después de su entrada en vigor, con algunas excepciones para disposiciones específicas.
Próximos pasos
Tras el acuerdo provisional de hoy, en las próximas semanas proseguirán los trabajos a nivel técnico para ultimar los detalles del nuevo reglamento. La Presidencia presentará el texto transaccional a los representantes de los Estados miembros (Coreper) para su aprobación una vez concluidos estos trabajos.
El texto completo deberá ser confirmado por ambas
instituciones y someterse a una revisión jurídico-lingüística antes de su
adopción formal por los colegisladores.
Información general
La propuesta de la Comisión, presentada en abril de 2021, es
un elemento clave de la política de la UE para fomentar el desarrollo y la
adopción en todo el mercado único de una IA segura y legal que respete los
derechos fundamentales.
La propuesta sigue un enfoque basado en el riesgo y establece un marco jurídico uniforme y horizontal para la IA que pretende garantizar la seguridad jurídica. El proyecto de Reglamento pretende fomentar la inversión y la innovación en IA, mejorar la gobernanza y la aplicación efectiva de la legislación vigente en materia de derechos fundamentales y seguridad, y facilitar el desarrollo de un mercado único de aplicaciones de IA. Va de la mano de otras iniciativas, incluido el plan coordinado sobre inteligencia artificial que pretende acelerar la inversión en IA en Europa. El 6 de diciembre de 2022, el Consejo alcanzó un acuerdo para una orientación general (mandato de negociación) sobre este expediente y entabló conversaciones interinstitucionales con el Parlamento Europeo ("trílogos") a mediados de junio de 2023."
