El pasado 8 de diciembre, rozando la madrugada, se alcanzaron varias metas. Por un lado, se rompió el récord del trílogo (conversaciones entre el Consejo, el Parlamento y la Comisión Europea) más largo que se recuerda hasta la fecha, con cerca de 40 horas de negociaciones, y, por otro, se dio luz verde a la primera ley de inteligencia artificial en Europa.
Tres días de negociaciones fueron necesarios en esta última reunión (a los que precedieron otros cuatro trílogos anteriores) para afirmar con rotundidad que Europa ya cuenta con un reglamento pionero con el que quiere garantizar que los sistemas de IA que operen o sean usados en este mercado lo hagan acorde a los derechos y valores del ecosistema comunitario, a la vez que se estimula y promueve la innovación.
"Era ahora o nunca… ¡Y ha sido ahora!". Esa fue la frase escogida por la cuenta en X (antes Twitter) de la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) del Gobierno de España que había "fumata blanca", es decir, que la normativa sobre la que se llevaba trabajando más de tres años, desde 2020, se había convertido en una realidad.
Un enfoque basado en el riesgo
Sin embargo, a pesar de las celebraciones, cabe mencionar que apenas se conocen más que detalles de las particularidades del acuerdo provisional sobre el borrador de la ley. Según ha explicado la secretaria de Estado de Digitalización e Inteligencia Artificial, Carme Artigas, en la primera entrevista que concedió tras la aprobación a este medio, el documento completo se revelará a principios del año que viene, ya que debe pasar el filtro legalista antes de poder vez la luz.
Por ello, hasta ahora solo se conocen cómo han quedado algunos de los puntos que han generado una mayor fricción en el acuerdo, en base a las ruedas de prensa y los comunicados que han emitido los diferentes representantes europeos en los últimos días.
Así, lo que se sabe es que la ley se ha basado en un enfoque de riesgo, dividiendo los diferentes usos en categorías que indican la peligrosidad que entrañan y elaborando una lista limitada de aplicaciones de la IA que se prohibirán de forma terminante debido al peligro "inadmisible" que plantean para los usuarios.
Esta perspectiva se desarrolla en los cerca de 90 artículos con los que cuenta el texto de la legislación y que han sido debatidos arduamente en los cinco trílogos. De estos, 21 han suscitado una mayor controversia, debido a las posiciones enfrentadas entre el Parlamento Europeo y el Consejo de la Unión Europa, tal y como ha precisado Artigas.
La biometría, el principal escollo
Entre ellos, se encuentran temas como el tratamiento del reconocimiento facial y biométrico en tiempo real en los espacios públicos por parte de los gobiernos, ya que, como adelantó la SEDIA, por un lado, el Parlamento quería desestimarlo por completo; por otro, el Consejo pedía introducir algunos casos de excepcionalidad vinculados a la seguridad nacional.
Finalmente, según los detalles dados a conocer en estos días, ha primado la posición del Consejo, por lo que la ley contemplará una serie de excepciones limitadas en los que estará permitido aplicar estos sistemas, siempre en base a una serie de salvaguardas (bajo autorización judicial previa y se limitará a listas estrictamente definidas de delitos).
Por ejemplo, se incluye la identificación biométrica "post-remota" como una de las excepciones, que solo se podrá utilizar en la búsqueda de una persona condenada o sospechosa de haber cometido un delito grave y bajo una serie de condiciones (con un uso limitado en tiempo y lugar para fines específicos como la búsqueda de víctimas de secuestro o la prevención de amenazas terroristas).
Siguiendo con la biometría, el Reglamento también contempla la prohibición de los sistemas de categorización que utilizan características sensibles como la orientación sexual, la raza o las creencias políticas y veta cualquier aplicación que divida a los usuarios en base a este tipo de categorías. De la misma forma, se desestima cualquier uso relacionado con la puntuación basada en el comportamiento social o las características sociales y cualquier sistema utilizado para explotar vulnerabilidades de las personas debido a su edad, discapacidad o situación social o económica.
La normativa prohíbe, asimismo, la recopilación indiscriminada de imágenes faciales de internet o de cámaras CCTV para crear bases de datos de reconocimiento facial.
Evaluaciones obligatorias
A nivel general, la ley también ha incluido para los sistemas de inteligencia artificial clasificados como de alto riesgo una evaluación obligatoria del impacto en los derechos fundamentales, entre otros requisitos, aplicables también a los sectores de seguros y banca o los sistemas utilizados para influir en el resultado de las elecciones y el comportamiento de los votantes.
Las autoridades también han concluido que los sistemas de IA de propósito general (GPAI) y los modelos GPAI en los que se basan tendrán que adherirse a requisitos de transparencia, en los que se incluyen la elaboración de documentación técnica, el cumplimiento de la ley de derechos de autor de la UE y la difusión de resúmenes detallados sobre el contenido utilizado para su entrenamiento, entre otros.
Además, para los modelos GPAI de alto impacto con riesgo sistémico, como ChatGPT, los negociadores han asegurado obligaciones más estrictas, por ejemplo, realizar evaluaciones de modelos, evaluar y mitigar riesgos sistémicos, realizar pruebas adversarias, informar a la Comisión sobre incidentes graves, garantizar la ciberseguridad o reportar sobre su eficiencia energética.
Multas de hasta 35 millones
Más allá de estas particularidades, las autoridades europeas también han dado a conocer otros detalles de la ley como las sanciones que irán asociadas al incumplimiento de la normativa con el objetivo de que esta no quede "en papel mojado".
En concreto, el borrador precisa que las compañías que no se adhieran a las reglamentaciones podrán ser sancionadas desde 7,5 millones de euros o el 1,5 de su facturación anual hasta 35 millones o el 7% del volumen de negocio, dependiendo de la gravedad del incumplimiento, así como del tamaño de la entidad.
La AI Office será la oficina encargada de velar por el cumplimiento de la norma, una entidad creada específicamente para esta legislación que estará formada por un comité de los países miembros, un comité científico y tendrá participación de la sociedad civil.
Entrada en vigor en 2026
La aprobación provisional de esta normativa se había posicionado como una de las grandes prioridades del ejecutivo español durante su presidencia rotatoria del Consejo de la UE, que termina el próximo 31 de diciembre. Finalmente, y tras superar múltiples escollos, los representantes españoles han conseguido su objetivo, al que definen como "la guinda del pastel" de su mandato.
No obstante, aún habrá que esperar algún tiempo para ver los primeros resultados de esta normativa, ya que, de momento, el texto de la ley está pasando un filtro legalista (que estará terminado a principios del año que viene), tras lo que deberá ser ratificado por ambos legisladores antes de entrar en vigor.
Todas las quinielas apuntan a que el Reglamento entrará en funcionamiento a finales de 2026, aunque la SEDIA ha precisado que hay algunos puntos que empezarán a operar antes de esa fecha, entre ellos, los casos de uso prohibidos, por lo que se podrían ver sus efectos mucho antes.
Una vocación global
A pesar de que se trata de una normativa europea, los impulsores de la misma han manifestado en multitud de ocasiones que esta ley aparece con la intención de ser replicada en otras partes del mundo y, de hecho, han afirmado que su intención es que pase lo mismo que con el Reglamento General de Protección de Datos.
En este sentido, la propia por la secretaria de Estado de Digitalización e Inteligencia Artificial ha apuntado en una entrevista con este medio que el borrador servirá de base para la elaboración de un documento por parte del nuevo organismo consultivo de inteligencia artificial de la ONU, donde ella misma participa, que se espera para finales de diciembre.
D+I EN PROFUNDIDAD
Ley de Inteligencia Artificial
- La ley de inteligencia artificial llega a Europa, pero aspira a tener una vocación global
- Una ley que cubre un vacío legislativo, pero que es "mejorable": así valora el sector la nueva norma
- Ibán García del Blanco: "La ley de inteligencia artificial es el colofón al ecosistema legislativo digital europeo"
- 2024: el año del despliegue de la inteligencia artificial con un mercado capaz de aportar hasta cuatro billones de euros
- ¿Cumplen los modelos como ChatGPT o Bard con la ley europea de IA? La mayoría suspenden el examen
- Mil maneras de controlar la IA en las autonomías: estrategias, observatorios, leyes, clústers…
- Tres años dan para mucho: Carme Artigas, de la ley de startups al Reglamento de IA, la "guinda del pastel"
- Cinco retos de la ley de IA