Es un mal común de las leyes que suelen llegar tarde: el legislador reacciona con retraso poniendo en marcha su lenta maquinaria después de observar los retos que plantea la realidad ya sea social, económica, o tecnológica.
En el caso concreto de la tecnología, su rápido desarrollo pone todavía más en evidencia este desajuste temporal con las leyes: a veces cuando las normas ven la luz y se aprueban después de largas tramitaciones, nacen ya obsoletas. Y paradójicamente, en el ámbito de la Inteligencia Artificial (IA) la Unión Europea está en proceso de aprobar una norma con la que prevé regular una tecnología cuyas posibilidades, alcance y usos potenciales están todavía por ver.
A mediados del pasado mes de mayo se votó y aprobó en Comisión del Parlamento de la UE la propuesta de Reglamento sobre la Inteligencia Artificial; una norma que se lleva gestando desde 2021. El siguiente paso será la ratificación por el Pleno del Parlamento, prevista en inicio para el 14 de junio. Si la propuesta resulta aprobada en el Pleno del Parlamento, se abrirían las negociaciones con el Consejo y la Comisión de la UE, fase final para la aprobación definitiva.
Cuando esta norma se apruebe y entre en vigor -en un plazo de meses, un año o más-, será de aplicación para regular la IA en todos los estados miembros de la Unión Europea. No obstante, la existencia de un Reglamento sobre IA -aplicable de forma uniforme a los estados de la UE- no significa necesariamente que los estados miembros no aprueben a su vez, cada uno, su propia ley sobre IA.
El Reglamento sobre IA será la primera piedra en el camino regulatorio de una tecnología cuyo desarrollo avanza mucho más rápido que las leyes. En los últimos meses han sido muchos y muy notables los expertos que han solicitado regulación para la IA mientras advertían de los peligros que puede suponer, llegando incluso a plantear que se paralizasen los desarrollos más potentes durante un tiempo.
¿Cómo regular una tecnología deslocalizada en los distintos territorios, a través de normas locales? No parece viable la posibilidad de un gran acuerdo regulatorio global sobre la IA: sus potenciales usos y la capacidad transformadora de la sociedad y la economía pueden ser entendidos al mismo tiempo como una amenaza por unos, y como una oportunidad por otros.
De tal forma que parece que nos encontraremos con distintas regulaciones territoriales, que determinarán el uso de la IA por los grandes actores económicos. La Unión Europea se ha colocado en vanguardia, y es previsible que el Reglamento sobre IA sea la primera gran norma sobre IA, desde un enfoque protector con los derechos fundamentales.
Este enfoque no será necesariamente compartido por otros países, con posiciones geopolíticas muy diferentes. Lo cual puede colocar a la UE en desventaja respecto de la innovación que pueda presentar la IA: algo que ya ocurrió con la normativa de protección de datos, pero que puede amplificarse con la IA debido a su potencial capacidad transformadora.
Estados Unidos está trabajando en su propia regulación, que parece que será más laxa o tendrá un enfoque de aplicación voluntaria para facilitar los intercambios comerciales con Europa, pero no vinculante (aunque existen corrientes que defienden una regulación más dura). En China sin embargo llevan años usando la IA para reconocer biométricamente a sus ciudadanos, registrar sus acciones y puntuarles al efecto de reconocerles o restringirles derechos, en un enfoque que choca radicalmente con el planteamiento europeo.
El Reglamento europeo clasifica y regula las IAs según el nivel de riesgo que representen. En el nivel más alto de riesgo se prohíbe directamente el empleo de la IA para determinados usos considerados peligrosos. Por ejemplo, la IA para puntuación social (al estilo del mencionado carnet ciudadano de China), las IAs para subyugar voluntades, o de reconocimiento de emociones.
No obstante no se trata de prohibiciones absolutas, sino restringidas a determinados ámbitos o para determinados agentes: la puntuación social solo se prohíbe a autoridades públicas, la manipulación de la voluntad no está permitida sólo en caso de que provoque perjuicios psicológicos o físicos, y el reconocimiento de emociones se veta en determinados espacios como fronteras, el lugar de trabajo y centros educativos, o para su uso por los cuerpos de seguridad.
En el siguiente nivel estarían las IAs de riesgo alto: aquellas que presenten un "riesgo significativo". Las empresas que utilicen IAs de riesgo alto tendrán que realizar una evaluación de impacto sobre los derechos fundamentales. Este requisito previo supone una inversión adicional que puede llegar a limitar el empleo de IA por empresas más pequeñas o con menos recursos, limitándolo a los grandes gigantes tecnológicos. Al igual que ocurre con el sistema de sanciones para obligar al cumplimiento de la norma: sus cuantías son de tal entidad que entrañan un riesgo que no cualquier empresa podría asumir.
En el transcurso de la tramitación del Reglamento desde 2021, se han presentado más de 3.000 enmiendas al texto, que afectan desde los “Considerandos” (la parte introductoria de la norma donde se explica el porqué de la norma) a la propia regulación. Parte de las enmiendas que afectan a la regulación han surgido de forma natural asociadas al avance de la IA generativa y a la popularización de ChatGPT. La versión original del Reglamento de IA no contemplaba los sistemas de IA sin un propósito o uso definido.
En estos casos, se ha optado por hacer responsables a los diferentes operadores: las empresas que integren estos sistemas de IA deben cumplir con la norma, pero los proveedores de estas IAs deberán facilitar a las primeras la información y documentación necesarias para apoyar este cumplimiento normativo. Esta regulación plantea la posibilidad de que gigantes del software de Estados Unidos dejen de poner a disposición sus herramientas para IA a desarrolladores europeos que no cuentan con la capacidad de cómputo de estas grandes tecnológicas.
Respecto de ChatGPT y otros modelos generativos, se les obliga a informar al usuario de que el resultado ofrecido se ha generado por IA, y a facilitar un resumen "suficientemente detallado" sobre los datos de entrenamiento utilizados que estén protegidos por derechos de autor.
Y es que la inexistencia de una norma aprobada para regular específicamente la IA no significa que ésta pueda vulnerar otras normas ya vigentes. Un choque o infracción que ya hemos podido ver respecto de los derechos de autor, y también con la normativa de protección de datos. Según el Reglamento General de Protección de Datos de la UE, nuestros datos personales no pueden ser utilizados para entrenar IAs salvo que así lo hayamos consentido de forma informada y expresa.
Se espera que el Reglamento sobre IA aporte un marco estable para su desarrollo y usos que garantice el respecto de los derechos fundamentales, sin impedir que los países de la UE puedan beneficiarse del potencial económico y social de esta tecnología, pero desde luego no es un equilibrio fácil.