"Era ahora o nunca… ¡Y ha sido ahora!". Con esta frase anunciaban el pasado 8 de diciembre desde la cuenta en X (antes Twitter) de la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) del Gobierno de España que el Reglamento Europeo de Inteligencia Artificial, la llamada IA Act en inglés, se había convertido en una realidad.

Este organismo, dirigido por Carme Artigas, ha sido el encargado de representar la posición del Consejo de la Unión Europea en las negociaciones que han tenido lugar durante los diferentes trílogos (conversaciones entre el Consejo, el Parlamento y la Comisión Europea) hasta dar luz verde a esta normativa, la primera de su tipo en todo el mundo. 

[Artigas: "Hemos medido muy bien la prohibición de que la IA segmente por raza, creencia u orientación sexual"]

Han sido necesarias casi 40 horas de negociaciones repartidas en tres días distintos para concluir de forma exitosa esta legislación, con la que se espera garantizar que los sistemas de IA que operen o que sean usados en el mercado europeo sean seguros y respeten los derechos y valores del ecosistema comunitario, a la vez que se estimula y promueve la innovación.

Desde D+I analizamos las claves de la normativa y explicamos de qué forma impactarán en la operativa de las empresas y los ciudadanos de la Unión Europea en base a lo que se conoce hasta la fecha de esta novedosa normativa. 

Qué: una ley basada en el riesgo

El pasado 8 de diciembre se dio a conocer acuerdo provisional sobre el borrador del Reglamento Europeo de Inteligencia Artificial, una normativa en la que las autoridades comunitarias llevan trabajando desde el año 2020. La novedad de la ley recae en que es la primera a nivel mundial que aborda la regulación de esta tecnología y se espera que se termine replicando en otras regiones.

La IA Act está formada por más de 90 artículos que han sido debatido en cinco trílogos distintos, de los cuales 21 han suscitado una mayor controversia, debido a las posiciones enfrentadas entre el Parlamento Europeo y el Consejo de la Unión Europa. Entre ellos, han destacado temas específicos como la biometría en tiempo real en espacios públicos o la designación de la entidad reguladora. 

La vicepresidenta primera, Nadia Calviño, en una visita sorpresa durante la celebración del quinto trílogo del Reglamento Europeo de Inteligencia Artificial. Alberto Polo (SEDIA)

Finalmente, el Reglamento (del que solo se conocen algunos detalles) se ha basado en un enfoque de riesgo, dividiendo los diferentes usos en categorías que indican los peligros que entrañan. De hecho, el documento recoge una lista limitada de aplicaciones de la IA que se prohibirán de forma terminante debido al "riesgo inadmisible" que plantean para los usuarios, según han dado a conocer las autoridades. 

Cómo: biometría como principal escollo

Hasta ahora, apenas se conocen algunos detalles del borrador de la ley que las autoridades europeas que han participado han ido dando a conocer en los últimos días durante las diferentes ruedas de prensa y entrevistas celebradas. 

Entre ellos, se han explicado cómo han quedado, finalmente, los puntos que han generado una mayor fricción en el debate, por ejemplo, el relacionado con el tratamiento del reconocimiento facial y biométrico en tiempo real en los espacios públicos por parte de los gobiernos. Como ya adelantó hace unos meses Artigas, por un lado, el Parlamento quería desestimarlo por completo; por otro, el Consejo pedía introducir algunos casos de excepcionalidad vinculados a la seguridad nacional. 

Finalmente, la posición del Consejo ha sido la que ha primado y la ley contemplará una serie de excepciones limitadas en los que estará permitido aplicar estos sistemas, a los que irán unidos una serie de salvaguardas. De esta forma, solo se podrá acudir a ella bajo autorización judicial previa y se limitará a listas estrictamente definidas de delitos. 

[Análisis de la ley europea de inteligencia artificial: pionera en el mundo, pero con rebajas en las prohibiciones]

Así, el texto provisional incluye, por ejemplo, la identificación biométrica "post-remota" como una de las excepciones y define que solo se podrá utilizar en la búsqueda de una persona condenada o sospechosa de haber cometido un delito grave. Además, las autoridades han acordado que la identificación deberá cumplir una serie de condiciones estrictas y su uso estará limitado en tiempo y lugar para fines específicos, entre ellos, la búsqueda de víctimas de secuestro, trata, explotación sexual o la prevención de amenazas terroristas. 

Por otro lado, otra de las medidas que han sido clave en el acuerdo es la prohibición de los sistemas de categorización biométrica que utilizan características sensibles como la orientación sexual, la raza o las creencias políticas. Así, se veta cualquier aplicación que divida a los usuarios en base a este tipo de categorías u otras como la religión. 

Un instante durante el quinto trílogo en el que se debatió el Reglamento Europeo de Inteligencia Artificial. Alberto Polo (SEDIA)

Siguiendo con la categorización, la legislación también ha desestimado cualquier uso relacionado con la puntuación basada en el comportamiento social o las características sociales, ya que han convenido que esto implica la manipulación del comportamiento humano y elude su libre albedrío. También, eliminar aquellos utilizados para explotar vulnerabilidades de las personas debido a su edad, discapacidad o situación social o económica. 

La normativa prohíbe, asimismo, la recopilación indiscriminada de imágenes faciales de internet o de cámaras CCTV para crear bases de datos de reconocimiento facial.

En la misma línea, para los sistemas de inteligencia artificial clasificados como de alto riesgo, los reguladores han acordado incluir una evaluación obligatoria del impacto en los derechos fundamentales, entre otros requisitos, aplicables también a los sectores de seguros y banca o los sistemas utilizados para influir en el resultado de las elecciones y el comportamiento de los votantes.

Las autoridades también han concluido que los sistemas de IA de propósito general (GPAI) y los modelos GPAI en los que se basan tendrán que adherirse a requisitos de transparencia, en los que se incluyen la elaboración de documentación técnica, el cumplimiento de la ley de derechos de autor de la UE y la difusión de resúmenes detallados sobre el contenido utilizado para su entrenamiento, entre otros. 

Además, para los modelos GPAI de alto impacto con riesgo sistémico, como ChatGPT, los negociadores han asegurado obligaciones más estrictas, por ejemplo, realizar evaluaciones de modelos, evaluar y mitigar riesgos sistémicos, realizar pruebas adversarias, informar a la Comisión sobre incidentes graves, garantizar la ciberseguridad o reportar sobre su eficiencia energética. 

La ley también incluye medidas relativas a la protección de la propiedad intelectual en todos los datos y elementos que se utilicen y que estén protegidos desde el propio entrenamiento de los modelos, así como la obligatoriedad de marcar cuándo un producto audiovisual está realizado a partir de esta tecnología. 

Por qué: multas de hasta el 7% del negocio

Otro de los aspectos claves de la normativa tiene que ver, directamente, con las sanciones asociadas al incumplimiento de los preceptos presentados en la ley. Las autoridades comunitarias han querido respaldar las líneas rojas de la legislación con multas millonarias que eviten que el texto quede simplemente en "papel mojado" y garantice que las empresas afectadas cumplan las obligaciones descritas. 

En concreto, el borrador precisa que las compañías que no se adhieran a las reglamentaciones podrán ser sancionadas desde 7,5 millones de euros o el 1,5 de su facturación anual hasta 35 millones o el 7% del volumen de negocio, dependiendo de la gravedad del incumplimiento, así como del tamaño de la entidad. 

Quién: una agencia reguladora

El arduo y largo debate sobre esta normativa también ha versado sobre la gobernanza de esta tecnología a nivel europeo. Así, las entidades europeas han enfrentado diferentes opiniones sobre la tipología de organismo encargado de revisar o controlar dicha materia (entre las propuestas, desde una agencia hasta una oficina de coordinación). 

Finalmente, y a la espera de la publicación del texto definitivo, los reguladores han acordado conformar una oficina (AI Office, en inglés), que será la encargada de pactar los códigos y las prácticas, así como coordinar sistemas de alertas. Tal y como ha detallado Artigas a este medio, estará formada por un comité de los países miembros, un comité científico y tendrá participación de la sociedad civil. 

Un instante del quinto trílogo del Reglamento Europeo de Inteligencia Artificial. Alberto Polo (SEDIA)

Asimismo, las autoridades han precisado que los ciudadanos tendrán derecho a presentar quejas sobre sistemas de IA y recibir explicaciones sobre decisiones basadas en sistemas de alto riesgo que impacten en sus derechos.

Dónde: vocación global

A pesar de que se trata de una normativa europea, los impulsores de la misma han manifestado en multitud de ocasiones que esta ley aparece con la intención de ser replicada de forma global, al igual que pasó con el Reglamento General de Protección de Datos.

[La presidencia española del Consejo de la UE: seis meses para reescribir las leyes de la era digital]

Esta vocación global, con esperanzas de que se produzca el "efecto Bruselas", como mencionaba la secretaria de Estado de Digitalización e Inteligencia Artificial es doblemente importante porque se trata de la primera norma que regula esta tecnología en todo el mundo.

De hecho, Artigas señalaba en una entrevista con este medio que dicho borrador servirá de base para la elaboración de un documento por parte del nuevo organismo consultivo de inteligencia artificial de la ONU, donde ella misma participa, que se espera para finales de diciembre. 

Cuándo: entrará en vigor en 2026

La aprobación provisional de esta normativa se había posicionado como una de las grandes prioridades del ejecutivo español durante su presidencia rotatoria del Consejo de la UE, que termina el próximo 31 de diciembre. Finalmente, y tras superar múltiples escollos, los representantes españoles han conseguido su objetivo. 

El texto final de esta legislación deberá ser ratificado por ambas partes antes de entrar en vigor, algo que se espera para finales de 2026, aunque algunos de los puntos que define empezarán a operar antes de esta fecha, entre ellos, los casos de uso prohibidos.