La fumata blanca ha llegado tras una maratón negociadora de 35 horas en 3 días, con una noche en blanco incluida. La presidencia española del Consejo y los negociadores de la Eurocámara han alcanzado este viernes un acuerdo final sobre un reglamento pionero a nivel mundial cuyo objetivo es mitigar los riesgos que plantea la Inteligencia Artificial (IA). La norma pretende al mismo tiempo preservar la innovación en el sector, de modo que la Unión Europea no se quede descolgada frente a Estados Unidos y otras potencias mundiales.

El acuerdo tiene que ser ratificado ahora tanto por el pleno del Parlamento Europeo como por los Gobiernos de los Veintisiete, algo que se espera que suceda durante el primer trimestre de 2024. La entrada en vigor íntegra del reglamento está prevista para 2026.

En total, las negociaciones sobre la Ley de Inteligencia Artificial han costado más de dos años. La Comisión de Ursula von der Leyen presentó el primer borrador del texto en abril de 2021 y los Estados miembros lo aprobaron en primera lectura en diciembre del año pasado. A mitad de la tramitación, la irrupción fulgurante de los modelos generativos como ChatGPT pilló por sorpresa a los legisladores y ha trastocado todo el procedimiento.

[Google anuncia Gemini, su alternativa a ChatGPT: así es su IA que llegará a Android, Bard, Pixel 8 Pro y sus apps]

El reflejo inicial del Parlamento Europeo fue proponer toda una serie de restricciones a ChatGPT y a otros modelos de IA generativa por considerarlos de alto riesgo. Un movimiento contra el que se han rebelado en las últimas semanas Alemania, Francia e Italia para impedir que las nuevas reglas acaben asfixiando la innovación en Europa.

Las grandes potencias europeas alegan que la UE debe posicionarse a la vanguardia de la revolución de la IA, lo que requiere un marco regulatorio que fomente la innovación y la competencia y que facilite la aparición de actores europeos en este sector.

Según el acuerdo final, los modelos fundacionales tendrán que cumplir con requisitos de transparencia, que incluyen la elaboración de documentación técnica, el cumplimiento de la ley de derechos de autor de la UE y la difusión de resúmenes detallados sobre el contenido utilizado para su entrenamiento.

Para los modelos generativos de alto impacto con riesgo sistémico, los negociadores del Parlamento han impuesto obligaciones más estrictas. Tendrán que evaluar y mitigar riesgos sistémicos, realizar pruebas contradictorias, informar a la Comisión sobre incidentes graves, garantizar la ciberseguridad e informar sobre su eficiencia energética.

"Las pequeñas y medianas empresas europeas que integren modelos como ChatGPT en sus propios sistemas no se verán lastradas por cargas regulatorias innecesarias. Además, estamos dando a las empresas europeas innovadoras de IA el espacio que necesitan para jugar en la primera liga de la innovación", ha dicho la eurodiputada liberal Svenja Hahn.

Por su parte, la Secretaria de Estado de Digitalización e Inteligencia Artificial, Carme Artigas, ha querido destacar que esta ley es "el mayor hito de la historia" y ha querido destacar que "se ha conseguido durante la presidencia española" del Consejo de la Unión Europea. 

"Es una ley muy buena que impulsará la innovación y de forma compatible los derechos fundamentales" porque da una "certeza legal y técnica" a los ciudadanos y las empresas, ha asegurado Artigas en rueda de prensa para después añadir que "los ciudadanos podemos decidir qué se puede hacer y qué no con la IA".

El otro gran asunto que ha enfrentado hasta el final a la Eurocámara con los Gobiernos de la UE, el más difícil de resolver, ha sido el uso de la Inteligencia Artificial por parte de las fuerzas de seguridad del Estado. 

El Parlamento Europeo exigía una prohibición total de los sistemas de identificación biométrica remota, en tiempo real o no, en espacios públicos. Esto resultaba inaceptable para los Gobiernos, que han impuesto toda una serie de excepciones por motivos de seguridad o aplicación de la ley. 

La identificación biométrica remota en tiempo real estará sujeta a condiciones estrictas y su uso está limitado en tiempo y ubicación para los fines de: búsquedas selectivas de víctimas (secuestro, trata, explotación sexual); prevención de una amenaza terrorista específica y presente; o la localización o identificación de una persona sospechosa de haber cometido uno de los delitos específicos mencionados en el reglamento (por ejemplo, terrorismo, trata, explotación sexual, asesinato, secuestro, violación, robo a mano armada, participación en una organización criminal, delitos medioambientales).

El nuevo reglamento de la UE se estructura con un enfoque basado en el riesgo, tanto para la seguridad como para los derechos fundamentales de los ciudadanos. En el peldaño más alto de la pirámide se encuentran el número muy limitado de aplicaciones de inteligencia artificial que plantean un "riesgo inadmisible" y que se prohibirán de forma terminante. Se trata, por ejemplo, de los modelos que permiten la "puntuación social" de los ciudadanos, como hace China.

En la lista de aplicaciones prohibidas figuran también los sistemas de categorización biométrica que utilizan características sensibles (por ejemplo, creencias políticas, religiosas, filosóficas, orientación sexual, raza); la extracción de imágenes faciales de internet o de cámaras de vigilancia para crear bases de datos de reconocimiento facial; el reconocimiento de emociones en el lugar de trabajo y en instituciones educativas; o los sistemas de IA que manipulan el comportamiento humano o explotan las vulnerabilidades de las personas.

En el segundo escalón de la pirámide se encuentran las aplicaciones de inteligencia artificial que según Bruselas presentan un riesgo alto. Estos sistemas estarán sujetos a una serie de obligaciones estrictas antes de poder comercializarse. Entre ellos, procedimientos adecuados de evaluación y mitigación de riesgos, garantías de alta calidad de los datos empleados, registros de actividad, información clara y adecuada a los usuarios y medidas apropiadas de supervisión humana.

En el tercer peldaño del reglamento se encuentran los sistemas de inteligencia artificial de uso general, a los que se impondrá obligaciones específicas de transparencia. 

El incumplimiento de las normas puede dar lugar a multas que van desde 7,5 millones o el 1,5% del volumen de negocios hasta 35 millones de euros o el 7% del volumen de negocios global.