“Esta ley establecerá el estándar mundial en los años venideros”, aseguró la presidenta del Parlamento, Roberta Metsola, en una rueda de prensa posterior a la votación. En un contexto de ansiedad regulatoria por la emergencia de ChatGPT, la noticia ha sido bien recibida, aunque con importantes matices.

“Hoy es un día para celebrar. Es una gran victoria para los derechos digitales”, asegura Simona Levi, fundadora de Xnet, que recientemente presentó en la Eurocámara una propuesta por la para una digitalización democrática y soberana de Europa. “Es de aplaudir ver que hay tanta unidad en el Parlamento Europeo alineada con lo que desde la sociedad civil hemos estado defendiendo”, comenta Levi en conversación con D+I - EL ESPAÑOL.

[Análisis: Regular la IA para ser un superpoder tecnológico]

Se refiere, fundamentalmente, a la prohibición de la identificación biométrica remota en tiempo real, y a la ampliación de las prohibiciones relacionadas con la creación de bases de datos de reconocimiento facial a partir de imágenes de internet y con el uso de software de reconocimiento de emociones en la aplicación de la ley, la gestión de fronteras, el lugar de trabajo y la educación.

“Ahora toca permanecer vigilantes para que los 27 no trunquen este avance para una inteligencia artificial con los derechos humanos en el centro”, dice Levi. En efecto, es pronto para cantar victoria. Antes de entrar en vigor, la norma tiene que superar la barrera de las negociaciones tripartitas entre los europarlamentarios, el Consejo de la UE y la Comisión Europea.

Los llamados ‘trílogos’ entrarán en su punto álgido durante la presidencia española del Parlamento. Tanto la Eurocámara como la Comisión son optimistas sobre la posibilidad de llegar a un acuerdo para finales de 2023, aunque el texto no entraría en vigor hasta 2026. La pregunta es, ¿qué texto? ¿Se incluirán en él modificaciones? ¿En qué dirección?

Enmiendas y críticas

Entre las organizaciones de la sociedad civil preocupa que se aprueben enmiendas como la propuesta por el Partido Popular Europeo de incluir excepciones en la prohibición de identificación biométrica remota en tiempo real, entre otras. Así lo manifiesta Judith Membrives i Llorens, técnica de incidencia en IA de Lafede.cat y miembro del colectivo Algorights.

Membrives i Llorens cree que, en todo caso, los cambios deberían dirigirse a la inclusión de mecanismos de gobernanza colectiva y de participación real de la sociedad civil. Considera que el texto actual se queda corto también en relación con los mecanismos de salvaguarda de los derechos.

“Creemos que es una norma pretendidamente enfocada hacia las empresas y no a las personas”, afirma la activista. También lamenta “profundamente” que las tecnologías predictivas de flujos migratorios hayan escapado a las prohibiciones. Asimismo, critica que la ley se centre en regular los riesgos de la IA. “Creemos que habría sido mejor pensar en la reparación del daño y en la gobernanza, sobre quién toma la decisión de implementar una tecnología, cómo participa la ciudadanía en esa decisión, etc.”.

[EEUU quiere regular la inteligencia artificial pero no sabe cómo: “Europa va por delante. Necesitamos liderar”]

Sin embargo, no todo está perdido. “Aún queda una oportunidad para trabajar con la sociedad civil en los mecanismos de despliegue de esta norma, en clave de participación y gobernanza”, afirma. Entre otras cosas, para evitar que se convierta “en una escalada de burocratización que acabe perjudicando a las pymes y a las organizaciones de la sociedad civil a la hora de aprovecharse de la innovación tecnológica”.

Coincide con parte de este análisis Lorena Jaume-Palasí, fundadora de Ethical Tech Society, que va más allá. Recuerda que la AI Act es un instrumento legal mercantilista, “en el que los derechos humanos están relegados a un segundo plano”. “El documento va en una dirección muy diferente de la retórica con la que se nos vende: no como una forma de regular las compañías sino de darles medidas cosméticas”, señala.

Como Lafede.cat y Algorights, Jaume-Palasí critica el enfoque en niveles de riesgo, que describe como “método para normalizar tecnologías problemáticas”. Cree que es un sistema “altamente cuestionable y simplificador, incapaz de reflejar la multidimensionalidad del problema”. “Existen diferentes tipos de riesgo -medioambientales, de discriminación, de privacidad…- y la regulación no da instrumentos para sopesarlos”, añade.

En específico, sobre el punto de la biometría, la experta no cree que haya mucho que celebrar, pues considera que las prohibiciones solo protegen a los grupos privilegiados y no criminalizados de la sociedad. De hecho, frente a la idea de que se prohíbe la biometría en ciertos usos de alto riesgo, sostiene que en realidad la UE está fomentando su uso mediante otros instrumentos legales.

Cita como ejemplos la directiva PSD2 (sobre servicios de pagos electrónicos), la regulación para la seguridad del transporte y la del control de fronteras. Es más, “se han inventado nuevas formas de llamarle, como ‘métrica fisiológica’, para esconder el uso de la biometría en la ley”, asegura. ¿En qué tipo de contextos? En casos de poder asimétrico -apunta- como en el control de fronteras, trabajo policial y de justicia, movilidad… “Afectará a los de siempre: las comunidades negras, indígenas, romaníes, LGTBIQ+, personas con discapacidad, etc.”, lamenta.

Imagen de recurso de una solución biométrica.

Desde el ámbito académico, el director del Instituto para la Ética en la IA de la Universidad de Oxford, John Tasioulas, critica también el enfoque de la UE basado en riesgos. En una conversación con él durante su participación en una nueva edición del Future Trends Forum de Fundación Innovación Bankinter en Madrid, expuso sus preocupaciones al respecto. “La discriminación racial grave se puede dar en cualquier área, no solo en las contempladas como de alto riesgo, y ese es un fundamento serio desde la perspectiva de los derechos humanos”, aseguró.

Tasioulas destacó otro problema en este sentido, del que alerta su colega Jeremias Adams-Prassl, del Centro de Derecho Europeo y Comparado de la Universidad de Oxford: que la ley de IA europea establezca un estándar más bajo para la protección de los derechos humanos que las leyes de derechos humanos existentes, y entren en colisión. Es algo que también apuntaban desde Lafede.cat y Algorights, y que preocupa igualmente a Jaume-Palasí.

‘Sandbox’ regulatorio

Desde el sector privado los reclamos son diferentes. DIGITALEUROPE, patronal europea que reúne -según sus propias cifras- a 45.000 empresas de diferentes tamaños del sector de la transformación digital, considera que el reglamento europeo de IA sienta las bases para la negociación, pero contiene áreas de mejora.

Su directora general, Cecilia Bonefeld-Dahl, compartió en un comunicado algunas recomendaciones: acompañar la regulación con un plan de inversión; aclarar el alcance de la norma, en especial en lo relativo a sistemas de IA de propósito general; la existencia de estándares armonizados que proporcionen claridad en cuanto a las obligaciones exactas de las empresas; alinear los estándares y terminologías a nivel internacional; una implementación gradual de la norma, acompañada de apoyo práctico; la provisión de más fondos y recursos de la UE para el cumplimiento, y la posibilidad de adaptar el texto en función de la experiencia práctica.

DIGITALEUROPE también hace referencia a la necesidad de un banco de pruebas (sandbox) que facilite el proceso de clasificación de riesgos a todas las empresas, así como la proporción de fondos para hacer que este y otros sandboxes sean fácilmente accesibles. Precisamente España será responsable de conducir el sandbox europeo que probará el texto final de la AI Act, para ayudar a organizaciones y autoridades a que se preparen para su entrada en vigor.

La vicepresidenta de la Comisión y responsable de Competencia, Margrethe Vestager Comisión Europea

La tramitación administrativa urgente de dicho entorno de pruebas se aprobó el pasado martes en Consejo de Ministros. La asociación DigitalES, patronal de la industria digital en España, pedía algunas enmiendas: que se asegure la participación del número más amplio posible de empresas y organizaciones que lo deseen (sobre todo de aquellas con amplia implantación en otros países de la UE), que los criterios de evaluación y selección sean transparentes, y garantizar la confidencialidad de los resultados, entre otras.

Víctor Calvo-Sotelo, director general de DigitalES, da, no obstante, la bienvenida a la ley de IA europea. Cree que “se convertirá en una pieza muy importante, que complementará todos los esfuerzos que la UE ha estado realizando para actualizar el marco legislativo de los mercados digitales en nuestro continente”.

Por su parte, la asociación Adigital, miembro de DIGITALEUROPE, espera cambios. Su director de Estrategia y Agenda Pública, Miguel Ferrer, señala que la regulación “debe ayudar al desarrollo de esta tecnología [la IA] y permitir a las empresas innovar y experimentar”, y destaca el apoyo de Adigital a las iniciativas de autorregulación.

IA y orden global

Más allá de cuál sea el texto final de la AI Act, lo que está claro es que, con ella, la UE está mandando un mensaje al mundo: “Este es el modelo europeo para la IA, basado en nuestros valores”.

Tasioulas -que además de académico es miembro del Consejo Asesor Internacional del Panel para el Futuro de la Ciencia y la Tecnología (STOA) del Parlamento Europeo y miembro del Grupo Consultivo de IA de la Conferencia Administrativa de EEUU- cree que el intento regulatorio de la UE “es impresionante, pero tiene serios problemas”, a los que añade los relativos a la aplicabilidad de la norma: a cómo hacer que se cumpla.

Tasioulas considera que es “fascinante” cómo están abordando la regulación de la IA los diferentes países. “Hay que tener mucho respeto por la Unión Europea, que está tratando de crear una legislación integral”. En el otro extremo están -dice- los estadounidenses, “más libertarios”. Y los británicos estarían en un punto intermedio.

Jaume-Palasí sostiene, de hecho, que la ley de IA de Europa es simplemente la forma europea de posicionarse, “creando una narrativa de batalla, de guerra fría: los chinos hacen una IA amoral, los americanos una IA ‘turbocapitalista’ y los europeos una IA de confianza”.

En realidad, hay más grises de los que pudiera parecer, y la tendencia parece estar cambiando. El Índice de IA de 2023 de la Universidad de Stanford muestra que en 2022 se aprobaron en todo el mundo 37 proyectos de ley relacionados con la IA. EEUU lideró el impulso de la regulación, con la aprobación de nueve leyes, seguido de España, con cinco.

El senado estadounidense se mostraba recientemente muy preocupado por el impacto de la IA, y proclive a regular. El secretario de Estado de EEUU Anthony Blinken argüía el mes pasado en favor de un código de conducta para la IA al que puedan adherirse el G7 y otros países. Y en Reino Unido, el gobierno saca pecho por una estrategia regulatoria proinnovación sin ley específica para la IA.

Tasioulas coincide con esta aproximación. “De alguna forma, el mensaje es que el hecho de que no haya una ley de IA no significa que no existan, ya, leyes que rijan su comportamiento”, afirma. Señala que hay principios legales generales que se aplican a esta tecnología y a la industria de la IA, y que la cuestión es averiguar cuáles son y cómo deben complementarse.

Una persona utilizando el ChatGPT, en una imagen de archivo.

En cuanto a China, no cabe duda de que las normativas relativas a la IA están dirigidas a reforzar su modelo autocrático, si bien en parte pueden evitar impactos negativos derivados de su despliegue y uso. Según un análisis de Carnegie Endowment for International Peace, el nuevo borrador de ley china sobre IA generativa (los llamados ‘modelos fundacionales’ como ChatGPT) “ofrece lecciones para construir un marco verdaderamente democrático” de regulación de la IA.

El think tank destaca los requisitos de privacidad, que prohibirían la creación de perfiles en función de la actividad del usuario y la retención de datos que podrían conducir a prácticas como la reidentificación; o los relativos a transparencia, que facilitarían la identificación de violaciones de derechos potenciales o reales derivadas de los sistemas de IA.

“Al mismo tiempo, el borrador demuestra una intención obvia de fortalecer el control del gobierno sobre los ecosistemas de tecnología e información de China”, señala el documento. Por ejemplo, se requeriría que el contenido generado "refleje los valores fundamentales socialistas" y se prohibiría lo que contribuya a la "subversión del poder estatal", sometiendo a creadores y empresas a las reglas de censura.

Aparte de esta norma, que se espera que se apruebe en los próximos meses, ya se aplican en el gigante asiático algunas leyes que afectan a la IA, como la de uso de IA para la creación de contenido sintético y deepfakes (falsificaciones hiperrealistas); o la que regula el uso de sistemas de recomendación algorítmica (por ejemplo, en buscadores, redes sociales o servicios de contenido bajo demanda, entre otros muchos).

En este contexto, los temores sobre el riesgo de que la regulación europea frene la carrera por la supremacía de la IA frente a China y EEUU podría atenuarse si ambas potencias cuentan también con regulaciones que establezcan claros límites. La UE se quedaría sin excusas para justificar la ausencia de grandes actores digitales europeos y se vería obligada a afrontar el problema desde otras perspectivas.

Lo expuso bien ayer Dragos Tudorache -correlator de la propuesta de Ley sobre IA en el Parlamento- en la rueda de prensa posterior a la votación: “No es la legislación lo que obstaculiza el desarrollo de un GPT europeo, sino el acceso a los enormes recursos y al tipo de financiación que requiere”.

En cualquier caso, este no debe ser el fin último. Como manifiesta Membrives i Lloren, “la retórica de que hay que equilibrar la innovación tecnológica con la protección de derechos es falaz. La protección de derechos tiene que estar siempre por encima de todo”. Aunque la norma no les convenza al 100%, desde Lafede.cat y Algorights creen que “es un buen primer paso, que demuestra que la innovación tecnológica tiene que seguir una serie de normas y salvaguardas”.