Hace unas semanas, durante su intervención en el Congreso Internacional de Privacidad organizado por la Asociación Profesional Española de Privacidad (APEP), Miguel Valle del Olmo, miembro de la Representación Permanente de España ante la UE y una de las personas que ha estado inmersa en el despliegue del Reglamento Europeo de Inteligencia Artificial (IA Act, en inglés) bromeó diciendo que, dadas las veces que se había anunciado la aprobación de esta ley, parecía que había entrado en vigor "dieciséis veces".
Valle del Olmo explicó que el cauce legislativo que está siguiendo esta normativa es el habitual y que, por ende, requiere de firmas, pactos, aprobaciones o ratificaciones por parte de las diferentes instituciones europeas.
Así, señaló que todos estos pasos en el laberinto regulatorio europeo habían sido considerados por el sector como "la luz verde" a la regla, pero que esta todavía seguía sin estar operativa.
Hasta hoy. Y es que, por fin, esta ley pionera ha superado todos los escollos normativos hasta llegar al que es considerado el último paso: su publicación en el EU’s Official Journal, es decir, el BOE europeo. A partir de aquí comienza una cuenta atrás fechada en 20 días tras la que se considerará que la ley ha entrado en vigor.
De esta forma, a finales de este mes, se podrá decir, oficialmente, que el Reglamento Europeo de IA es una realidad.
Más fechas a tener en cuenta
Aún así, a pesar de que a partir de entonces ya se podrá hablar de que el Reglamento Europeo de Inteligencia Artificial ha entrado en vigor, todavía habrá que tener en cuenta otras fechas de cara a la aplicabilidad real de la ley.
Y es que la normativa tendrá un plazo de dos años para su adopción completa, algo que se espera para finales de 2026.
No obstante, para no extenderse en el tiempo debido al rápido avance y cambio que está experimentando esta tecnología, los legisladores coincidieron en adelantar la obligatoriedad de cumplimiento de algunos puntos concretos de la directiva. Así, este mismo año, en noviembre, los casos de uso prohibido entrarán en vigor. A ello se sumarán las normas de uso general, que serán aplicables un año después y, posteriormente, las que regulan los sistemas de alto riesgo.
Un camino largo y "de récord"
El camino hasta llegar aquí no ha sido fácil. Tal y como contó el propio Valle del Olmo, fueron necesarias más de medio centenar de reuniones técnicas entre los legisladores europeos que se extendieron en varios años para encontrar una posición común ante la regulación de esta tecnología.
El último de los trílogos (conversaciones entre el Consejo, el Parlamento y la Comisión Europea), clave en este proceso, no solo será recordado por ser el que dio fin a los debates en el marco de esta ley, sino también por romper un récord: el de duración, ya que casi alcanzó las 40 horas, un hecho que da cuenta de la magnitud y de la importancia del asunto. Según las autoridades comunitarias, fue el más largo que se recuerda en toda la historia.
La extensión de estos encuentros no solo fue por la complejidad del tema, sino también por las posiciones enfrentadas de los colegisladores en aspectos tan sensibles como, por ejemplo, el reconocimiento facial y biométrico en tiempo real. Por un lado, el Parlamento quería desestimarlo por completo y, por otro, el Consejo pedía introducir algunos casos de excepcionalidad vinculados a la seguridad nacional. Finalmente, primó la posición del Consejo, por lo que la legislación integra una serie de excepciones limitadas en los que estará permitido aplicarlos, siempre en base a una serie de salvaguardas.
A estas fricciones se sumó el hecho de que, a medida que se sucedían las reuniones que debatían sobre la inteligencia artificial y su regulación, esta tecnología iba evolucionando. Los implicados en el desarrollo de esta norma han explicado en diferentes ocasiones que uno de los puntos críticos fue la aparición de la IA generativa, lo que obligó a replantear lo que se tenía acordado hasta entonces y a introducir nuevos conceptos, riesgos y obligaciones.
En todo este proceso, España tuvo un papel crucial, no solo a través de sus representantes europeos, sino también durante la presidencia rotatoria del Consejo de la Unión Europa, un puesto que ostentó en los últimos seis meses de 2023, es decir, durante el tramo final de debates que sucedieron al acuerdo alcanzado entre los legisladores comunitarios.
Los problemas, no obstante, no terminaron ahí, ya que, una vez alcanzado el consenso durante el último trílogo, empezaron a proliferar los rumores de la posible oposición de varios países, entre ellos Alemania y Francia, debido a sus dudas sobre el impacto que podría tener la ley en el tejido innovador y empresarial. Al final, la directiva fue respaldada y refrendada, saliendo adelante.
"Lo que vemos es el fruto de muchos años de trabajo", afirmó la entonces secretaria de Estado de Digitalización e Inteligencia Artificial, Carme Artigas, en una entrevista con DISRUPTORES tras el anuncio del acuerdo alcanzado. "Era un gran reto porque no podíamos mirar a ninguna otra ley de otro país que lo hubiera hecho antes".
"Sin duda, el Reglamento de IA viene a ser el colofón en el conjunto de las leyes que hemos ido aprobando y que conforman el ecosistema legislativo digital europeo", precisó, por su parte, Ibán García del Blanco, eurodiputado del Grupo de la Alianza Progresista de Socialistas y Demócratas en el Parlamento Europeo, grupo en el que se integra el PSOE en el Parlamento Europeo, y otro de los artífices de que esta norma llegase a buen puerto, en otra conversación con este medio.
Un enfoque basado en el riesgo
El Reglamento Europeo de Inteligencia Artificial integra un enfoque basado en el riesgo, dividiendo los diferentes usos de esta tecnología en categorías que indican la peligrosidad que entrañan. A ellas se suma una lista limitada de aplicaciones de la IA que se prohibirán de forma terminante debido al peligro "inadmisible" que plantean.
Asimismo, para los sistemas clasificados de alto riesgo la norma incluye una evaluación obligatoria del impacto en los derechos fundamentales, entre otros requisitos. También, los sistemas de IA de propósito general (GPAI) y los modelos GPAI en los que se basan tendrán que adherirse a requisitos de transparencia, en los que se incluyen la elaboración de documentación técnica o el cumplimiento de la ley de derechos de autor, entre otros.
Todas estas obligaciones van reforzadas por una serie de sanciones asociadas al incumplimiento que van desde 7,5 millones de euros o el 1,5% del volumen del negocio hasta los 35 millones o el 7% del volumen de negocio, dependiendo de la infracción y del tamaño de empresa. Todo ello será gestionado a través de la AI Office, la entidad creada específicamente para velar por el cumplimiento de la ley.