El 8 de diciembre, rozando la madrugada, la Unión Europea daba luz verde a la primera regulación del mundo sobre inteligencia artificial, la AI Act. Esta norma, en la que se lleva trabajando desde 2021, ha sido objeto del trílogo (conversaciones entre el Consejo, el Parlamento y la Comisión Europea) más largo que se recuerda para su aprobación: nada menos que 38 horas de maratoniana negociación a lo largo de tres largas jornadas en Bruselas, como narró nuestro corresponsal en Bruselas, Juan Sanhermelando.

El nuevo reglamento de la UE mantiene su enfoque basado en el riesgo, tanto para la seguridad como para los derechos fundamentales de los ciudadanos. En el peldaño más alto de la pirámide se encuentran el número muy limitado de aplicaciones de inteligencia artificial que según Bruselas plantean un "riesgo inadmisible" y que se prohibirán de forma terminante.

Sin embargo, tal y como ya adelantó D+I - EL ESPAÑOL en julio, el punto más crítico, con posturas alejadas entre ambos organismos, estaba relacionado con el tratamiento del reconocimiento facial y biométrico en tiempo real por parte de los gobiernos en los espacios públicos, algo que el Parlamento quería desestimar por completo, introduciendo una prohibición absoluta, mientras que el Consejo quería definir algunos casos de excepcionalidad vinculados con la seguridad nacional. Esta vía, como veremos a continuación, es la que ha resultado mayoritariamente victoriosa.

[La Declaración de Bletchley: el primer paso de consenso global para regular los riesgos de la inteligencia artificial]

Otro de los puntos esenciales en la discusión era la gobernanza de la inteligencia artificial a nivel europeo, es decir, desde qué tipología de organismo se va a revisar o controlar, si será desde una agencia o, por ejemplo, una oficina de coordinación. Esto, a falta de conocer el detalle del documento, parece haber quedado en la misma dirección que la propuesta original del Parlamento.

Qué cambia con el nuevo texto

Una de las medidas clave del acuerdo es la prohibición de ciertas aplicaciones de IA que se consideran una amenaza para los derechos de los ciudadanos y la democracia. Estas incluyen sistemas de categorización biométrica que utilizan características sensibles, como creencias políticas, religiosas, filosóficas, orientación sexual o raza. También se prohíbe la recopilación indiscriminada de imágenes faciales de internet o de cámaras CCTV para crear bases de datos de reconocimiento facial. Otras aplicaciones vetadas son el reconocimiento de emociones en el lugar de trabajo y en instituciones educativas, la puntuación basada en comportamiento social o características personales, sistemas de IA que manipulan el comportamiento humano para eludir su libre albedrío y aquellos utilizados para explotar vulnerabilidades de las personas debido a su edad, discapacidad o situación social o económica.

Eso sí, y aquí vienen las novedades, los negociadores también acordaron una serie de salvaguardias y excepciones limitadas para el uso de sistemas de identificación biométrica en espacios públicos con fines de aplicación de la ley. Esto estará sujeto a autorización judicial previa y se limitará a listas estrictamente definidas de delitos.

Por ejemplo, la identificación biométrica "post-remota" se utilizará estrictamente en la búsqueda dirigida de una persona condenada o sospechosa de haber cometido un delito grave. La identificación biométrica "en tiempo real" deberá cumplir con condiciones estrictas y su uso estará limitado en tiempo y lugar para fines específicos como la búsqueda de víctimas de secuestro, trata, explotación sexual, prevención de amenazas terroristas específicas y actuales, o la localización o identificación de una persona sospechosa de haber cometido delitos específicos mencionados en la regulación.

Para los sistemas de inteligencia artificial clasificados como de alto riesgo, debido a su potencial daño significativo para la salud, la seguridad, los derechos fundamentales, el medioambiente, la democracia y el estado de derecho, se acordaron obligaciones claras. Los diputados lograron incluir una evaluación obligatoria del impacto en los derechos fundamentales, entre otros requisitos, aplicables también a los sectores de seguros y banca. Los sistemas de IA utilizados para influir en el resultado de las elecciones y el comportamiento de los votantes también se clasifican como de alto riesgo. Los ciudadanos tendrán derecho a presentar quejas sobre sistemas de IA y recibir explicaciones sobre decisiones basadas en sistemas de IA de alto riesgo que impacten en sus derechos.

En otro orden de cosas, y para dar cuenta de la amplia gama de tareas que pueden realizar los sistemas de IA y la rápida expansión de sus capacidades, se acordó que los sistemas de IA de propósito general (GPAI) y los modelos GPAI en los que se basan tendrán que adherirse a los requisitos de transparencia propuestos inicialmente por el Parlamento. Estos incluyen la elaboración de documentación técnica, el cumplimiento de la ley de derechos de autor de la UE y la difusión de resúmenes detallados sobre el contenido utilizado para su entrenamiento.

Para los modelos GPAI de alto impacto con riesgo sistémico, como ChatGPT, los negociadores del Parlamento lograron asegurar obligaciones más estrictas. Si estos modelos cumplen con ciertos criterios, tendrán que realizar evaluaciones de modelos, evaluar y mitigar riesgos sistémicos, realizar pruebas adversarias, informar a la Comisión sobre incidentes graves, garantizar la ciberseguridad y reportar sobre su eficiencia energética. Los colegisladores también insistieron en que, hasta que se publiquen normas armonizadas de la UE, los GPAI con riesgo sistémico puedan basarse en códigos de práctica para cumplir con la regulación.

El incumplimiento de las normas puede llevar a multas que van desde 35 millones de euros o el 7% del volumen de negocios global hasta 7,5 millones o el 1,5% del volumen de negocios, dependiendo de la infracción y el tamaño de la empresa.

El texto acordado ahora tendrá que ser adoptado formalmente tanto por el Parlamento como por el Consejo para convertirse en ley. Ya sabemos, por ejemplo, que las comisiones de Mercado Interior y Libertades Civiles del Parlamento votarán el acuerdo en una próxima reunión. La entrada en vigor íntegra del reglamento está prevista para 2026.

Voces críticas con el acuerdo

"Un acuerdo a medias". Así califican desde la Asociación de la Industria de la Computación y las Comunicaciones (CCIA Europa) el resultado de este trílogo de 38 horas. "Reconocemos el arduo trabajo de los colegisladores, pero lamentamos la ausencia de debates en profundidad sobre muchas partes críticas. Sin mejoras importantes a nivel técnico en las próximas semanas, la AI Act corre el riesgo de ser una oportunidad perdida para Europa".

Esta patronal, en reflexiones facilitadas a este medio, destaca algunas mejoras en el nuevo texto, como la posibilidad de que los desarrolladores demuestren que un sistema no representa un alto riesgo. Pero al mismo tiempo denuncian que "el texto final se aleja en gran medida del enfoque sensato basado en el riesgo propuesto por la Comisión, que priorizó la innovación sobre la regulación excesivamente prescriptiva. Además, ciertos sistemas de inteligencia artificial de bajo riesgo ahora estarán sujetos a requisitos estrictos sin mayor justificación, mientras que otros serán prohibidos por completo. Esto podría provocar un éxodo de empresas europeas de IA y de talentos que busquen crecer en otros lugares".

Mientras las empresas critican las restricciones adicionales que incluye el nuevo texto, el mundo académico critica precisamente lo opuesto

"Lamentablemente, la velocidad parece haber prevalecido sobre la calidad, con consecuencias potencialmente desastrosas para la economía europea. El impacto negativo podría sentirse mucho más allá del sector de la IA", sentencia el vicepresidente senior y director de CCIA Europa, Daniel Friedlaender.

Lo curioso es que mientras las empresas se quejan de que la nueva propuesta de ley es más restrictiva, el mundo académico y más ligado al tercer sector denuncia precisamente lo opuesto.

Sarah Chander, activista por los derechos sociales y la tecnología, miembro de la red EDRI y cofundadora de Equinox, critica en ese sentido las "lagunas legales" de la nueva AI Act en lo que se refiere a que "los desarrolladores puedan definir lo que es un alto riesgo, en la transparencia para la aplicación de la ley o en un enfoque menor en las tecnologías de inteligencia artificial de propósito general".

Por su parte, Laurence Meyer, del Digital Freedom Fund, alertaba de que "la exención para la seguridad nacional abrirá litigios para intentar garantizar los derechos humanos básicos de los grupos marginados, por los que, para empezar, no deberíamos tener que luchar en los tribunales. La protección de recursos humanos retrasada es la protección de recursos humanos denegada".

A su vez, el exrepresentante de Microsoft ante la Unión Europea, Casper Klynge, introduce un último elemento a la ecuación: la adaptación del tejido productivo a esta norma. "Aún no se sabe si esto sofocará la innovación en Europa. Sin embargo, una cosa está clara: los requisitos de cumplimiento serán un gran desafío para la columna vertebral de la economía europea: las pymes", afirmaba en X.

El trasfondo de la ley

El origen de esta legislación se remonta a abril de 2021, cuando la Comisión propuso un primer marco regulador en el que se abordaban estos sistemas, que ha ido evolucionando hasta la actualidad, y que busca convertir a la UE en la primera región en el mundo en poner reglas sobre las oportunidades y riesgos derivados de esta tecnología que avanza imparable. 

[Carme Artigas: "España no quiere ser testigo, sino protagonista de los grandes cambios digitales"]

Sin embargo, no ha sido hasta hace relativamente poco, el pasado 14 de junio, cuando los eurodiputados han adoptado una posición negociadora sobre dicha ley. A partir de ese momento, comenzaron las conversaciones sobre la forma en la que la legislación con el objetivo de alcanzar un acuerdo a finales de este año. 

El camino trazado por los organismos europeos para la adopción de esta ley coincide, de lleno, con la presidencia española de la UE. De hecho, el Ejecutivo español ha afirmado, en varias ocasiones, que sacar adelante este Reglamento constituía una de sus "principales metas" a abordar en este período. 

"España hará sus mejores esfuerzos para concluir las negociaciones del IA Act con el Parlamento Europeo, garantizando que no menoscabe la innovación y, al mismo tiempo, que proteja los derechos fundamentales de las personas", apuntaban desde la delegación española en el mencionado documento remitido al Consejo con sus prioridades.

No obstante, al final el tiempo es el que es y, si bien el Ejecutivo y el tejido empresarial español en un primer momento hablaban en términos que daban a entender que esta ley se llevaría a término durante la presidencia española, lo cierto es que esta situación era altamente improbable. 

Tal y como adelantó D+I - EL ESPAÑOL, el máximo objetivo de la presidencia española era este acuerdo provisional del trílogo, no la aprobación misma de la AI Act

Según fuentes de la UE consultadas por este medio, durante los seis meses que durará el mandato, lo que se esperaba conseguir es un acuerdo político provisional del proceso de trílogo en el mejor de los casos. Y eso es justo lo que se ha producido tras esta maratoniana sesión en Bruselas.

"La adopción es un proceso complicado y largo que requiere una meticulosa revisión jurídica y lingüística del texto, algo que tarda entre dos y tres meses tras el acuerdo entre el Consejo y el Parlamento", precisan dichas fuentes. Así, es "altamente improbable" que se apruebe hasta "una fase posterior" que, seguramente, tendrá lugar bajo el siguiente mandato belga.