Ley de Inteligencia Artificial: Europa se coloca a la vanguardia de la regulación de la IA en el mundo

Tras tres días de conversaciones “maratonianas”, la presidencia del Consejo y los negociadores del Parlamento Europeo han llegado a un acuerdo provisional sobre la propuesta de normas armonizadas sobre inteligencia artificial (IA), la llamada ley de inteligencia artificial. El borrador del reglamento tiene como objetivo garantizar que los sistemas de IA comercializados en el mercado europeo y utilizados en la UE sean seguros y respeten los derechos fundamentales y los valores de la UE. Esta propuesta histórica también tiene como objetivo estimular la inversión y la innovación en IA en Europa.

La Ley de IA es una iniciativa legislativa emblemática con el potencial de fomentar el desarrollo y la adopción de IA segura y confiable en todo el mercado único de la UE por parte de actores públicos y privados. La idea principal es regular la IA en función de su capacidad de causar daño a la sociedad siguiendo un enfoque “basado en el riesgo”: cuanto mayor es el riesgo, más estrictas son las reglas. Como primera propuesta legislativa de este tipo en el mundo, puede establecer un estándar global para la regulación de la IA en otras jurisdicciones, tal como lo ha hecho el GDPR, promoviendo así el enfoque europeo de la regulación tecnológica en el escenario mundial.

Los principales elementos del acuerdo provisional

En comparación con la propuesta inicial de la Comisión Europea, los principales elementos nuevos del acuerdo provisional pueden resumirse como sigue:

- Reglas sobre modelos de IA de propósito general de alto impacto que puedan causar riesgo sistémico en el futuro, así como sobre sistemas de IA de alto riesgo.
- Un sistema revisado de gobernanza con algunos poderes de ejecución a nivel de la UE.
- Ampliación de la lista de prohibiciones, pero con la posibilidad de utilizar la identificación biométrica remota por parte de las autoridades encargadas de hacer cumplir la ley en espacios públicos, sujeto a salvaguardias.
- Una mejora en la protección de los derechos mediante la obligación de que quienes implementen sistemas de IA de alto riesgo realicen una evaluación del impacto en los derechos fundamentales antes de poner en uso un sistema de IA.
- En términos más concretos, el acuerdo provisional cubre los siguientes aspectos:

Definiciones y alcance

Para garantizar que la definición de un sistema de IA proporcione criterios suficientemente claros para distinguir la IA de los sistemas de software más simples, el acuerdo de compromiso alinea la definición con el enfoque propuesto por la OCDE.

El acuerdo provisional también aclara que el reglamento no se aplica a áreas fuera del alcance de la legislación de la UE y no debería, en ningún caso, afectar las competencias de los Estados miembros en materia de seguridad nacional o cualquier entidad a la que se le hayan confiado tareas en esta área. Además, la ley de IA no se aplicará a los sistemas que se utilicen exclusivamente con fines militares o de defensa. De manera similar, el acuerdo establece que la regulación no se aplicaría a los sistemas de IA utilizados con el único fin de investigación e innovación, ni a las personas que utilizan la IA por motivos no profesionales.

Clasificación de los sistemas de IA como prácticas prohibidas y de alto riesgo de la IA

El acuerdo de compromiso prevé una capa horizontal de protección, incluida una clasificación de alto riesgo, para garantizar que no se capturen los sistemas de inteligencia artificial que probablemente no causen violaciones graves de los derechos fundamentales u otros riesgos importantes. Los sistemas de IA que presenten solo un riesgo limitado estarían sujetos a obligaciones de transparencia muy leves, por ejemplo, revelar que el contenido fue generado por IA para que los usuarios puedan tomar decisiones informadas sobre su uso posterior.

Se autorizaría una amplia gama de sistemas de IA de alto riesgo, pero sujetos a una serie de requisitos y obligaciones para acceder al mercado de la UE. Estos requisitos han sido aclarados y ajustados por los colegisladores de tal manera que sean más viables técnicamente y menos gravosos de cumplir para las partes interesadas, por ejemplo, en lo que respecta a la calidad de los datos o en relación con la documentación técnica que debe ser elaborada por pymes para demostrar que sus sistemas de IA de alto riesgo cumplen los requisitos.

Dado que los sistemas de IA se desarrollan y distribuyen a través de cadenas de valor complejas, el acuerdo de compromiso incluye cambios que aclaran la asignación de responsabilidades y roles de los diversos actores en esas cadenas, en particular los proveedores y usuarios de sistemas de IA. También aclara la relación entre las responsabilidades en virtud de la Ley de IA y las responsabilidades que ya existen en virtud de otra legislación, como la legislación sectorial o de protección de datos de la UE pertinente.

Para algunos usos de la IA, el riesgo se considera inaceptable y, por lo tanto, estos sistemas serán prohibidos en la UE. El acuerdo provisional prohíbe, por ejemplo, la manipulación cognitivo-conductual, la eliminación no selectiva de imágenes faciales de Internet o imágenes de CCTV, el reconocimiento de emociones en el lugar de trabajo y en instituciones educativas, la puntuación social, la categorización biométrica para inferir datos sensibles, como la orientación sexual o creencias reeligiosas y algunos casos de vigilancia policial predictiva para individuos.

Excepciones de aplicación de la ley

Teniendo en cuenta las especificidades de las autoridades encargadas de hacer cumplir la ley y la necesidad de preservar su capacidad de utilizar la IA en su trabajo vital, se acordaron varios cambios en la propuesta de la Comisión en relación con el uso de sistemas de IA con fines policiales. Sujetos a las salvaguardias adecuadas, estos cambios pretenden reflejar la necesidad de respetar la confidencialidad de los datos operativos sensibles en relación con sus actividades. Por ejemplo, se ha introducido un procedimiento de emergencia que permite a los organismos encargados de hacer cumplir la ley desplegar en caso de urgencia una herramienta de inteligencia artificial de alto riesgo que no haya pasado el procedimiento de evaluación de la conformidad. Sin embargo, también se ha introducido un mecanismo específico para garantizar que los derechos fundamentales estén suficientemente protegidos contra posibles usos indebidos de los sistemas de IA.

Además, en lo que respecta al uso de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público, el acuerdo provisional aclara los objetivos cuando dicho uso sea estrictamente necesario para fines policiales y para los cuales, por tanto, debe permitirse excepcionalmente a las autoridades policiales utilizar dichos sistemas. El acuerdo de compromiso prevé salvaguardias adicionales y limita estas excepciones a los casos de víctimas de ciertos delitos, la prevención de amenazas genuinas, presentes o previsibles, como ataques terroristas, y la búsqueda de personas sospechosas de los delitos más graves.

Sistemas de IA de propósito general y modelos básicos

Se han añadido nuevas disposiciones para tener en cuenta situaciones en las que los sistemas de IA pueden utilizarse para muchos fines diferentes (IA de propósito general) y en las que la tecnología de IA de propósito general se integra posteriormente en otro sistema de alto riesgo. El acuerdo provisional también aborda los casos específicos de los sistemas de IA de propósito general (GPAI).

También se han acordado reglas específicas para los modelos básicos, grandes sistemas capaces de realizar de manera competente una amplia gama de tareas distintivas, como generar vídeo, texto, imágenes, conversar en lenguaje lateral, informática o generar código informático. El acuerdo provisional establece que los modelos de base deben cumplir con obligaciones específicas de transparencia antes de su comercialización. Se introdujo un régimen más estricto para los modelos de fundaciones de “alto impacto”. Se trata de modelos básicos entrenados con una gran cantidad de datos y con una complejidad, capacidades y rendimiento avanzados muy por encima del promedio, que pueden difundir riesgos sistémicos a lo largo de la cadena de valor.

Una nueva arquitectura de gobernanza

A raíz de las nuevas normas sobre los modelos GPAI y la evidente necesidad de su aplicación a nivel de la UE, se crea una Oficina de IA dentro de la Comisión encargada de supervisar estos modelos de IA más avanzados, contribuir a fomentar estándares y prácticas de prueba, y hacer cumplir las normas comunes en todos los estados miembros. Un panel científico de expertos independientes asesorará a la Oficina de AI sobre los modelos GPAI, contribuyendo al desarrollo de metodologías para evaluar las capacidades de los modelos de cimientos, asesorando sobre la designación y el surgimiento de modelos de cimientos de alto impacto y monitoreando posibles riesgos de seguridad de materiales relacionados. a modelos de cimentación.

La Junta de AI, que estaría compuesta por representantes de los Estados miembros, seguirá siendo una plataforma de coordinación y un órgano asesor de la Comisión y otorgará un papel importante a los Estados miembros en la implementación del reglamento, incluido el diseño de códigos de prácticas para modelos de fundación. Por último, se creará un foro consultivo para las partes interesadas, como representantes de la industria, las pymes, las empresas emergentes, la sociedad civil y el mundo académico, para proporcionar los conocimientos técnicos a la Junta de IA.

Penalizaciones

Las multas por violaciones de la ley de IA se establecieron como un porcentaje de la facturación anual global de la empresa infractora en el año financiero anterior o una cantidad predeterminada, el que fuera mayor. Una cifra que representaría 35 millones de euros o el 7% por violaciones de las aplicaciones de IA prohibidas, 15 millones de euros o el 3% por violaciones de las obligaciones de la ley de IA y 7,5 millones de euros o el 1,5% por el suministro de información incorrecta. Sin embargo, el acuerdo provisional establece límites más proporcionados a las multas administrativas para las pymes y las empresas de nueva creación en caso de infracción de las disposiciones de la Ley de IA.

El acuerdo de transacción también deja claro que una persona física o jurídica puede presentar una queja ante la autoridad de vigilancia del mercado pertinente en relación con el incumplimiento de la Ley de IA y puede esperar que dicha queja se tramite de acuerdo con los procedimientos específicos de esa autoridad.

Transparencia y protección de los derechos fundamentales

El acuerdo provisional prevé una evaluación del impacto sobre los derechos fundamentales antes de que sus implementadores pongan en el mercado un sistema de inteligencia artificial de alto riesgo. El acuerdo provisional también prevé una mayor transparencia con respecto al uso de sistemas de inteligencia artificial de alto riesgo. En particular, se han modificado algunas disposiciones de la propuesta de la Comisión para indicar que ciertos usuarios de un sistema de IA de alto riesgo que sean entidades públicas también estarán obligados a registrarse en la base de datos de la UE para sistemas de IA de alto riesgo. Además, las disposiciones recientemente añadidas hacen hincapié en la obligación de que los usuarios de un sistema de reconocimiento de emociones informen a las personas físicas cuando estén expuestas a dicho sistema.

Medidas de apoyo a la innovación

Con vistas a crear un marco jurídico más favorable a la innovación y promover el aprendizaje normativo basado en pruebas, las disposiciones relativas a las medidas de apoyo a la innovación se han modificado sustancialmente en comparación con la propuesta de la Comisión.

En particular, se ha aclarado que los entornos limitados de pruebas regulatorias de IA, que se supone deben establecer un entorno controlado para el desarrollo, prueba y validación de sistemas de IA innovadores, también deberían permitir probar sistemas de IA innovadores en condiciones del mundo real. Además, se han agregado nuevas disposiciones que permiten probar sistemas de IA en condiciones del mundo real, bajo condiciones y salvaguardias específicas. Para aliviar la carga administrativa para las empresas más pequeñas, el acuerdo provisional incluye una lista de acciones que deben emprenderse para apoyar a dichos operadores y prevé algunas derogaciones limitadas y claramente especificadas. 

Entrada en vigor

El acuerdo provisional establece que la ley sobre IA debería aplicarse dos años después de su entrada en vigor, con algunas excepciones para disposiciones específicas.

Próximos pasos

Tras la firma del acuerdo provisional, en las próximas semanas se seguirá trabajando a nivel técnico para ultimar los detalles del nuevo reglamento. La Presidencia presentará el texto transaccional a los representantes de los Estados miembros (Coreper) para su aprobación una vez concluido este trabajo.

El texto completo deberá ser confirmado por ambas instituciones y sometido a una revisión jurídico-lingüística antes de su adopción formal por los colegisladores.

Información de contexto

La propuesta de la Comisión, presentada en abril de 2021, es un elemento clave de la política de la UE para fomentar el desarrollo y la adopción en todo el mercado único de una IA segura y legal que respete los derechos fundamentales.

La propuesta sigue un enfoque basado en el riesgo y establece un marco jurídico uniforme y horizontal para la IA cuyo objetivo es garantizar la seguridad jurídica. El borrador del reglamento tiene como objetivo promover la inversión y la innovación en IA, mejorar la gobernanza y la aplicación efectiva de la legislación existente sobre derechos fundamentales y seguridad, y facilitar el desarrollo de un mercado único para las aplicaciones de IA. Va de la mano junto a otras iniciativas, incluido el plan coordinado sobre inteligencia artificial que tiene como objetivo acelerar la inversión en IA en Europa.

El 6 de diciembre de 2022, el Consejo alcanzó un acuerdo sobre una orientación general (mandato de negociación) sobre este expediente y entabló conversaciones interinstitucionales con el Parlamento Europeo («diálogos tripartitos») a mediados de junio de 2023.