Este tema era y es crucial para Bruselas, que quiere aprobar definitivamente el reglamento antes de las elecciones europeas previstas para junio de este año. En el tortuoso camino legislativo de Europa, eso supone ir dando pequeños pasos a partir de ese gran consenso de diciembre, hasta culminar con un texto que, no obstante, entrará en pleno funcionamiento dentro de dos años.

Por lo pronto, y tras el trílogo que dio luz verde al borrador de la ley, el Comité de Representantes Permanentes (COREPER), compuesto por las personas designadas por cada uno de los estados miembros para personificar su posición ante la Unión Europea, ya dio su visto bueno el pasado mes de febrero. A pesar de los numerosos rumores, no hubo oposiciones a la AI Act, si bien se sabe que Francia y Alemania manifestaron sus dudas sobre el impacto que la norma podía tener en el tejido innovador y empresarial del Viejo Continente.

[Análisis de la ley europea de inteligencia artificial: pionera en el mundo, pero con rebajas en las prohibiciones]

Con el OK de este organismo, el Consejo de la Unión Europea, que actualmente está presidido por Bélgica tras la finalización del turno español el pasado 31 de diciembre, envió una carta al Parlamento Europeo para que lo refrende también. Y, en este punto nos encontramos: el próximo martes, 12 de marzo, la Eurocámara se reunirá en Estrasburgo para dar su visto bueno a la AI Act.

La cita, en la que estará presente D+I - EL ESPAÑOL, será pues uno de los últimos escollos para que Europa vuelva a consolidarse como una potencia regulatoria en materia digital -como ya hiciera con el Reglamento General de Protección de Datos-, en un nuevo esfuerzo por situar la escala humanista en el centro del desarrollo tecnológico.

90 artículos y un enfoque basado en el riesgo

La AI Act, en la que las autoridades comunitarias llevan trabajando desde el año 2020, está formada por más de 90 artículos que han sido debatido en cinco trílogos distintos, de los cuales 21 han suscitado una mayor controversia, debido a las posiciones enfrentadas entre el Parlamento Europeo y el Consejo de la Unión Europa. Entre ellos, han destacado temas específicos como la biometría en tiempo real en espacios públicos o la designación de la entidad reguladora. 

En general, el Reglamento (del que solo se conocen algunos detalles) se ha basado en un enfoque de riesgo, dividiendo los diferentes usos en categorías que indican los peligros que entrañan. De hecho, el documento recoge una lista limitada de aplicaciones de la IA que se prohibirán de forma terminante debido al "riesgo inadmisible" que plantean para los usuarios, según han dado a conocer las autoridades. 

Se desconoce el texto final

Hasta ahora, apenas se conocen algunos detalles del borrador de la ley que las autoridades europeas que han participado han ido dando a conocer en los últimos días durante las diferentes ruedas de prensa y entrevistas celebradas. 

De hecho, hace unas semanas se filtró en la red social X (antes Twitter) un texto que se consideraba final, pero fuentes de la UE descartaron a este medio que fuera tal. Desde Bruselas aseguraban a D+I - EL ESPAÑOL que, tras la mencionada aprobación por todas las instituciones, el borrador de la ley deberá someterse a una meticulosa revisión, tanto legal como lingüística, que se extenderá hasta dos meses antes de que sea formalmente adoptada por el Consejo y por el Parlamento. Esto se espera, aproximadamente, para finales de abril de 2024, es decir, antes que acabe la actual legislatura. 

Solo en ese momento, insisten, estará disponible la versión oficial del Reglamento, que se publicará en el EU’s Official Journal, el BOE europeo, tras la adopción formal de los colegisladores.

Entre lo que sí sabemos están algunos de los puntos que han generado una mayor fricción en el debate, por ejemplo, el relacionado con el tratamiento del reconocimiento facial y biométrico en tiempo real en los espacios públicos por parte de los gobiernos. Como ya adelantó hace unos meses Artigas, por un lado, el Parlamento quería desestimarlo por completo; por otro, el Consejo pedía introducir algunos casos de excepcionalidad vinculados a la seguridad nacional. 

Finalmente, la posición del Consejo ha sido la que ha primado y la ley contemplará una serie de excepciones limitadas en los que estará permitido aplicar estos sistemas, a los que irán unidos una serie de salvaguardas. De esta forma, solo se podrá acudir a ella bajo autorización judicial previa y se limitará a listas estrictamente definidas de delitos. 

Así, el texto provisional incluye, por ejemplo, la identificación biométrica "post-remota" como una de las excepciones y define que solo se podrá utilizar en la búsqueda de una persona condenada o sospechosa de haber cometido un delito grave. Además, las autoridades han acordado que la identificación deberá cumplir una serie de condiciones estrictas y su uso estará limitado en tiempo y lugar para fines específicos, entre ellos, la búsqueda de víctimas de secuestro, trata, explotación sexual o la prevención de amenazas terroristas. 

Por otro lado, otra de las medidas que han sido clave en el acuerdo es la prohibición de los sistemas de categorización biométrica que utilizan características sensibles como la orientación sexual, la raza o las creencias políticas. Así, se veta cualquier aplicación que divida a los usuarios en base a este tipo de categorías u otras como la religión. 

Siguiendo con la categorización, la legislación también ha desestimado cualquier uso relacionado con la puntuación basada en el comportamiento social o las características sociales, ya que han convenido que esto implica la manipulación del comportamiento humano y elude su libre albedrío. También, eliminar aquellos utilizados para explotar vulnerabilidades de las personas debido a su edad, discapacidad o situación social o económica. 

La normativa prohíbe, asimismo, la recopilación indiscriminada de imágenes faciales de internet o de cámaras CCTV para crear bases de datos de reconocimiento facial.

En la misma línea, para los sistemas de inteligencia artificial clasificados como de alto riesgo, los reguladores han acordado incluir una evaluación obligatoria del impacto en los derechos fundamentales, entre otros requisitos, aplicables también a los sectores de seguros y banca o los sistemas utilizados para influir en el resultado de las elecciones y el comportamiento de los votantes.

Las autoridades también han concluido que los sistemas de IA de propósito general (GPAI) y los modelos GPAI en los que se basan tendrán que adherirse a requisitos de transparencia, en los que se incluyen la elaboración de documentación técnica, el cumplimiento de la ley de derechos de autor de la UE y la difusión de resúmenes detallados sobre el contenido utilizado para su entrenamiento, entre otros. 

Además, para los modelos GPAI de alto impacto con riesgo sistémico, como ChatGPT, los negociadores han asegurado obligaciones más estrictas, por ejemplo, realizar evaluaciones de modelos, evaluar y mitigar riesgos sistémicos, realizar pruebas adversarias, informar a la Comisión sobre incidentes graves, garantizar la ciberseguridad o reportar sobre su eficiencia energética. 

La ley también incluye medidas relativas a la protección de la propiedad intelectual en todos los datos y elementos que se utilicen y que estén protegidos desde el propio entrenamiento de los modelos, así como la obligatoriedad de marcar cuándo un producto audiovisual está realizado a partir de esta tecnología. 

Multas de hasta el 7% del negocio

Otro de los aspectos claves de la normativa tiene que ver, directamente, con las sanciones asociadas al incumplimiento de los preceptos presentados en la ley. Las autoridades comunitarias han querido respaldar las líneas rojas de la legislación con multas millonarias que eviten que el texto quede simplemente en "papel mojado" y garantice que las empresas afectadas cumplan las obligaciones descritas. 

En concreto, el borrador precisa que las compañías que no se adhieran a las reglamentaciones podrán ser sancionadas desde 7,5 millones de euros o el 1,5 de su facturación anual hasta 35 millones o el 7% del volumen de negocio, dependiendo de la gravedad del incumplimiento, así como del tamaño de la entidad. 

Cómo gobernar la inteligencia artificial

El arduo y largo debate sobre esta normativa también ha versado sobre la gobernanza de esta tecnología a nivel europeo. Así, las entidades europeas han enfrentado diferentes opiniones sobre la tipología de organismo encargado de revisar o controlar dicha materia (entre las propuestas, desde una agencia hasta una oficina de coordinación). 

Finalmente, y a la espera de la publicación del texto definitivo, los reguladores han acordado conformar una oficina (AI Office, en inglés), que será la encargada de pactar los códigos y las prácticas, así como coordinar sistemas de alertas. Tal y como ha detallado Artigas a este medio, estará formada por un comité de los países miembros, un comité científico y tendrá participación de la sociedad civil. 

Asimismo, las autoridades han precisado que los ciudadanos tendrán derecho a presentar quejas sobre sistemas de IA y recibir explicaciones sobre decisiones basadas en sistemas de alto riesgo que impacten en sus derechos.

Entrará en vigor en 2026

Recordemos en todo caso que el texto final de esta legislación dará un plazo de dos años para su adopción completa, algo que se espera para finales de 2026, si bien algunos de los puntos que define empezarán a operar antes de esta fecha, entre ellos, los casos de uso prohibidos.