Close

Principios regulatorios de la Ley Europea de Inteligencia Artificial a la vista del consenso alcanzado por el Parlamento Europeo y el Consejo el 8 de diciembre de 2023: ¿quo vadis Europa?

Dábamos comienzo a la entrada de este blog del pasado lunes día 11 aludiendo al anuncio que el pasado sábado, 9 de diciembre, hacía el Parlamento Europeo de la consecución, el día 8,  de un consenso -provisional- con el Consejo de la UE sobre la nueva Ley Europea de Inteligencia Artificial (LEIA). Este anuncio abre un periodo de espera de un texto articulado que refleje dicho consenso en forma de Reglamento de la UE. Tenemos, pues, la música, pero estamos a la espera de la letra definitiva de la partitura definitiva de esta Ópera de la Inteligencia Artificial Europea. En este periodo de cierta incertidumbre -que parece se prolongará hasta el año 2026- nos parece oportuno alumbrar a los lectores de este blog con una síntesis de los principios regulatorios que han transcendido del consenso alcanzado por las Instituciones de la UE.

En efecto, el pasado viernes, día 8 de diciembre,  los negociadores del Parlamento Europeo y del Consejo alcanzaron un acuerdo provisional sobre la Ley de Inteligencia Artificial anunciando -de forma un tanto grandilocuente propia del discurso político (que experimenta un tropismo indefectible hacia el vacío)- que “esta normativa pretende garantizar la protección de los derechos fundamentales, la democracia, el Estado de Derecho y la sostenibilidad medioambiental frente a la IA de alto riesgo, al tiempo que impulsa la innovación y convierte a Europa en líder en este campo”.

El anuncio del Parlamento Europeo concreta algo más el alcance del acuerdo provisional cuando señala que la normativa establece obligaciones para la IA en función de sus riesgos potenciales y nivel de impacto que concreta en los siguientes apartados: “Salvaguardias acordadas sobre la inteligencia artificial de uso general, limitación del uso de sistemas de identificación biométrica por las fuerzas del orden, prohibición de la puntuación social y de la IA utilizada para manipular o explotar las vulnerabilidades de los usuarios, derecho de los consumidores a presentar reclamaciones y recibir explicaciones significativas y multas que oscilan entre 35 millones de euros o el 7% de la facturación global y 7,5 millones o el 1,5% de la facturación”.

Insiste el anuncio en el aspecto prohibitivo que tendrá la futura LEIA cuando detalla las aplicaciones prohibidas diciendo: “Reconociendo la amenaza potencial para los derechos de los ciudadanos y la democracia que suponen determinadas aplicaciones de la IA, los colegisladores acordaron prohibirlas: sistemas de categorización biométrica que utilicen características sensibles (por ejemplo, creencias políticas, religiosas, filosóficas, orientación sexual, raza); extracción no selectiva de imágenes faciales de Internet o de grabaciones de CCTV para crear bases de datos de reconocimiento facial; reconocimiento de emociones en el lugar de trabajo y en instituciones educativas; puntuación social basada en el comportamiento social o las características personales; sistemas de IA que manipulan el comportamiento humano para eludir su libre albedrío; IA utilizada para explotar las vulnerabilidades de las personas (debido a su edad, discapacidad, situación social o económica)”.

Mas tarde, el anuncio alude a las “excepciones policiales” cuando relata que “los negociadores acordaron una serie de salvaguardias y estrechas excepciones para el uso de sistemas de identificación biométrica (RBI) en espacios de acceso público con fines policiales, previa autorización judicial y para listas de delitos estrictamente definidas. El RBI «a distancia» se utilizaría estrictamente en la búsqueda selectiva de una persona condenada o sospechosa de haber cometido un delito grave. La RBI «en tiempo real» cumpliría condiciones estrictas y su uso estaría limitado en el tiempo y el lugar, a efectos de: búsquedas selectivas de víctimas (secuestro, trata, explotación sexual), prevención de una amenaza terrorista específica y presente, o la localización o identificación de una persona sospechosa de haber cometido uno de los delitos específicos mencionados en el Reglamento (por ejemplo, terrorismo, trata de seres humanos, explotación sexual, asesinato, secuestro, violación, robo a mano armada, participación en una organización delictiva, delitos contra el medio ambiente)”.

Entrando ya en los aspectos regulatorios proactivos, el anuncio distingue entra las obligaciones que la futura LEIA establecerá para dos tipos de sistemas de IA que son:

a) Las obligaciones para los sistemas de IA clasificados como de alto riesgo (debido a su significativo daño potencial para la salud, la seguridad, los derechos fundamentales, el medio ambiente, la democracia y el Estado de Derecho). El anuncio refiere que “los eurodiputados lograron incluir una evaluación obligatoria del impacto sobre los derechos fundamentales, entre otros requisitos, aplicable también a los sectores de seguros y banca. Los sistemas de inteligencia artificial utilizados para influir en el resultado de las elecciones y en el comportamiento de los votantes también se clasifican como de alto riesgo. Los ciudadanos tendrán derecho a presentar quejas sobre los sistemas de IA y a recibir explicaciones sobre las decisiones basadas en sistemas de IA de alto riesgo que afecten a sus derechos”.

b) Los deberes -denominados “guardarraíles”- para los sistemas de inteligencia artificial de uso general, que pueden realizar una amplia gama de tareas y están experimentando -en tiempo real- una rápida expansión de sus capacidades. Para ellos “se acordó que los sistemas de IA de propósito general (GPAI), y los modelos GPAI en los que se basan, tendrán que cumplir los requisitos de transparencia propuestos inicialmente por el Parlamento. Estos incluyen la elaboración de documentación técnica, el cumplimiento de la legislación de la UE sobre derechos de autor y la difusión de resúmenes detallados sobre los contenidos utilizados para la formación”.

c)Dentro de esta categoría de sistemas de inteligencia artificial de uso general; de identifica una regulación especial para los modelos GPAI de alto impacto con riesgo sistémico, respecto de los cuales “los negociadores del Parlamento lograron garantizar obligaciones más estrictas (… ) hasta que se publiquen normas armonizadas de la UE, los GPAI con riesgo sistémico podrán basarse en códigos de prácticas para cumplir el reglamento”.

Dentro del capítulo de buenas intenciones hay que situar la referencia del anuncio del Parlamento Europeo a las “medidas de apoyo a la innovación y a las PYME” donde dice: “Los eurodiputados querían garantizar que las empresas, especialmente las PYME, puedan desarrollar soluciones de IA sin la presión indebida de los gigantes de la industria que controlan la cadena de valor. Para ello, el acuerdo promueve los llamados «cajones de arena» regulatorios y las pruebas en el mundo real, establecidas por las autoridades nacionales para desarrollar y entrenar la IA innovadora antes de su comercialización”. En cuando a estos sandboxes o cajones de arena remitimos a los lectores a las dos entradas previas de este blog sobre “Inteligencia artificial y entornos controlados de pruebas (“regulatory sandboxes”): Real Decreto 817/2023, de 8 de noviembre”.

La última parte del anuncio del Parlamento Europeo incide en las sanciones que establecerá le futura LEIA diciendo que “el incumplimiento de las normas puede acarrear multas que oscilan entre los 35 millones de euros o el 7% de la facturación mundial y los 7,5 millones o el 1,5% de la facturación, en función de la infracción y el tamaño de la empresa”. (Ver la Nota de Prensa del Parlamento Europeo sobre la “Ley de Inteligencia Artificial: acuerdo sobre normas generales para una IA fiable”, ref. 09-12-2023 – 00:04. 20231206IPR15699).

No está en nuestra intención rebajar el nivel de entusiasmo -inducido- que ha despertado en la opinión pública europea y, muy particularmente, en la española la Nota de Prensa del Parlamento Europeo del pasado 9 de diciembre, pero nos parece prudente invitar a una reflexión sosegada sobre la regulación de la IA a nivel global reproduciendo unos párrafos de la entrada que el pasado día 3 de noviembre dedicábamos en este blog al denominado Informe Hiroshima sobre la Inteligencia Artificial Generativa diciendo entonces: “El “sendero medio” o “tercera vía” de regulación de la IA. El 7 de septiembre de este año 2023, la Presidencia japonesa del G7 y el Grupo de trabajo en tecnología digital de la OCDE publicaron el Informe del Proceso Hiroshima sobre la Inteligencia Artificial Generativa (G7 Hiroshima Process On Generative Artificial Intelligence (AI). Towards a G7 Common Understanding On Generative AI. Report prepared for the 2023 Japanese G7 Presidency and the G7 Digital and Tech Working Group. 7 september 2023. OECD publishing. 2023). Este Informe refleja la tercera vía de regulación de la IA propuesta por Japón conocida como el “Proceso de Hiroshima sobre IA”, que proyecta una regulación intermedia (un “sendero medio” o “tercera vía”) de la IA equidistante de la regulación detallada e imperativa proyectada en la UE y la desregulación -y consiguiente riesgo de desprotección del consumidor o usuario de sistemas de IA- de China, en menor medida, o de los EEUU. En este sentido, el  “Proceso de Hiroshima sobre IA”,  aborda cuestiones como la protección de los datos personales o los derechos de autor. Este camino intermedio ha sido aceptado este lunes 30 de octubre por todos los miembros del G7”.

Vista la situación global descrita; insistimos en que esta lejos de nuestro ánimo “echar agua al vino” del entusiasmo -en ocasiones bienintencionado, pero muchas veces teñido de intereses e ignorancia-  hispano por la futura LEIA; pero conviene recordar que el mercado internacional de la IA es un mercado radicalmente global y extremadamente competitivo en el que la localización -y la deslocalización- de las grandes plataformas digitales que sirven de soporte a los principales sistemas de IA puede obrarse en cuestión de nanosegundos.