Acuerdo provisional entre la Presidencia del Consejo y el Parlamento Europeo sobre la propuesta que establece normas armonizadas sobre la inteligencia artificial (IA)
Aviso: Este artículo se basa en comunicados oficiales del Parlamento, el Consejo y la Comisión, así como en el Q&A actualizado de la Comisión hasta el 12 de diciembre de 2023, junto con la información sobre la reciente Ley de Inteligencia Artificial de la Unión Europea (UE). El contenido puede estar sujeto a cambios en acuerdos posteriores.
La creciente penetración de la Inteligencia Artificial (IA) en diversos sectores ha generado la normativa en torno a la ética, la privacidad y la seguridad. En este contexto, el pasado viernes 8 de diciembre de 2023, después de extensas negociaciones a lo largo de varios meses, los órganos europeos consensuaron un pacto provisional sobre los aspectos más controvertidos del futuro Reglamento de Inteligencia Artificial (IA) en Europa.
Este marco normativo ha estado en desarrollo desde 2018, cuando la Comisión presentó la Comunicación sobre Inteligencia Artificial para Europa al Parlamento Europeo y otras instituciones (COM(2018) 237 final). En 2021, la Comisión presentó el primer borrador, seguido por el Consejo en 2022, y finalmente, en 2023, el Parlamento aprobó su texto, incorporando aspectos medioambientales y enfocándose en los derechos de los ciudadanos. Mientras el Reglamento continúa su tramitación legal, las actualizaciones en el Q&A de la Comisión sobre IA y las ruedas de prensa oficiales de la Comisión, el Consejo y el Parlamento han revelado aspectos clave del acuerdo, aunque numerosos detalles permanecen aún en la penumbra. A continuación, se presenta un resumen de la información divulgada hasta la fecha.
- DEFINICIÓN Y ALCANCE
El desacuerdo inicial entre los órganos europeos se centró en la conceptualización del término «sistema de inteligencia artificial» y su repercusión en las empresas afectadas por la normativa. Mientras la Comisión abogaba por una definición amplia que englobara a la mayoría de las empresas tecnológicas, el Consejo optó por restringirla a parámetros fácilmente eludibles por parte de los operadores. El Parlamento, en su afán de armonizar la regulación a nivel internacional, propuso una definición que guardaba notoria similitud con la de la OCDE, posteriormente actualizada, y que se ubicaba en una posición intermedia entre las definiciones preexistentes. Esta definición fue finalmente seleccionada, por lo que la conceptualización de un sistema de inteligencia artificial se establece como: «Un sistema basado en máquinas que, con objetivos explícitos o implícitos, infiere, a partir de la entrada que recibe, cómo generar salidas tales como predicciones, contenido, recomendaciones o decisiones que pueden incidir en entornos físicos o virtuales. Los diversos sistemas de inteligencia artificial presentan variaciones en sus niveles de autonomía y adaptabilidad tras su implementación.»
El ámbito de aplicación de la normativa mantiene la exclusión de objetivos relacionados con la seguridad nacional, militares, investigativos o usos estrictamente personales. No obstante, la propuesta del Parlamento de excluir los sistemas de código abierto parece no haber avanzado, y según las expresiones de Carmen Artigas, se les impondrán ciertas obligaciones, las cuales aún no han sido detalladas. La extensión territorial del Reglamento sigue siendo una incertidumbre. A pesar de que los tres órganos concordaban en que cualquier sistema cuya información de salida se emplee en la Unión estaría sujeto al Reglamento, independientemente de su ubicación, el Parlamento añadió criterios adicionales de sujeción. En concreto, proponía vetar que cualquier empresa con sede en territorio europeo pudiera suministrar sistemas considerados prohibidos fuera del ámbito de la Unión.
- PROHIBICIONES ESPECÍFICAS Y PRINCIPIOS RECTORES
La legislación europea se caracteriza por la inclusión de prohibiciones específicas destinadas a preservar los derechos fundamentales. El marco normativo incorpora una enumeración de usos considerados de riesgo inaceptable y, por ende, vedados en la Unión Europea (UE). Durante las negociaciones trilaterales, esta lista ha experimentado una ampliación que ha integrado categorías propuestas exclusivamente por el Parlamento.
La relación de usos prohibidos comprende elementos como la identificación biométrica remota en tiempo real en espacios públicos con propósitos policiales, la categorización biométrica con el objetivo de inferir características personales, el web-scrapping de imágenes faciales para la construcción de bases de datos de reconocimiento facial, el reconocimiento de emociones en contextos laborales y educativos, sistemas de predicción criminal, social scoring basado en el comportamiento social, y sistemas que manipulan el comportamiento humano para eludir su libre albedrío, así como aquellos que explotan vulnerabilidades basadas en edad, discapacidad, situación social o económica. La prohibición de sistemas de inteligencia artificial que manipulen el comportamiento humano y la utilización del reconocimiento facial en tiempo real para la vigilancia masiva reflejan una sólida orientación ética, si bien es importante señalar que esta lista no debe interpretarse de manera rigurosa, ya que el texto final establecerá numerosas excepciones y requisitos que no han sido detallados previamente. Dichas disposiciones se determinan como principios rectores en la intersección entre la tecnología y los derechos fundamentales.
III. SISTEMAS DE ALTO RIESGO
La categorización de sistemas de inteligencia artificial como «de alto riesgo» en sectores cruciales, como salud, transporte y administración de justicia, conlleva la imposición de requisitos normativos más rigurosos. Estas obligaciones abarcan diversos aspectos, tales como la gestión de riesgos, la calidad de los datos, la supervisión humana y la ciberseguridad. Se incluyen en esta clasificación sistemas utilizados en procesos de reclutamiento de profesionales, reconocimiento de emociones, categorización biométrica, control de fronteras y en los procesos democráticos.
Aunque el inventario final de sistemas de alto riesgo aún no ha sido divulgado, aquellos sistemas que realicen tareas básicas mejoren los resultados de actividades humanas, no afecten decisiones humanas o realicen funciones preparatorias no serán considerados de alto riesgo. Esta aclaración reviste gran importancia y resulta beneficioso para el panorama innovador europeo. Adicionalmente, se ha ratificado la propuesta del Parlamento que requiere que los que deban implementarlo lleven a cabo una evaluación de impacto en los derechos fundamentales, simultáneamente con la evaluación de impacto en datos personales cuando sea pertinente. Esta evaluación será obligatoria para sistemas de alto riesgo y aquellos empleados en servicios públicos o por entidades públicas. De igual manera, se otorga a los ciudadanos el derecho de presentar quejas relacionadas con sistemas de inteligencia artificial y el derecho a recibir explicaciones sobre decisiones basadas en sistemas de alto riesgo, en virtud del artículo 22.3 del Reglamento General de Protección de Datos.
- LOS SISTEMAS DE USO GENERAL, REGULACIÓN DEL GPT
En el 2021, la Comisión presentó la primera versión de las normas para regular la Inteligencia Artificial (IA), adoptando un enfoque basado en riesgos según cómo se utilice la tecnología. La llegada posterior de sistemas de uso general como GPT, LLaMA de Meta o Claude sorprendió a la Comisión, lo que generó la necesidad de incluir medidas específicas en las versiones del Consejo y del Parlamento. Estos nuevos modelos, sin tener un propósito de alto riesgo específico, pueden utilizarse para diversas finalidades, como generar texto, imágenes o código.
Tras extensas negociaciones, marcadas por la presión de grandes empresas tecnológicas y la opción de regular estos sistemas únicamente a través de códigos voluntarios, se llegó a un acuerdo para regular estos modelos. La capacidad de regular estos sistemas también estará sujeta a su clasificación como sistemas de alto riesgo, una determinación basada en factores como la capacidad o el volumen de datos, según lo propuesto por Carmen Artigas. La decisión final impone dos niveles de regulación: en primer lugar, establece requisitos mínimos de transparencia y respeto a la propiedad intelectual de terceros para todos los sistemas de uso general; en segundo lugar, impone obligaciones adicionales a los modelos de alto riesgo, como la supervisión de incidentes o la realización de pruebas de ataque. Estas obligaciones adicionales no estarán en el texto legal, sino que se desarrollarán a través de «códigos de conducta elaborados por la industria, la comunidad científica, la sociedad civil y otras partes interesadas en colaboración con la Comisión».
- IDENTIFICACIÓN BIOMÉTRICA
Uno de los puntos más sensibles en las negociaciones ha sido determinar el ámbito de aplicación de las cámaras de identificación biométrica por parte de las fuerzas del orden en espacios públicos para salvaguardar la seguridad nacional. Estas cámaras podrán ser empleadas bajo autorización judicial para prevenir una amenaza terrorista «genuina y previsible» o «genuina y presente», es decir, aquella que esté ocurriendo en tiempo real. Además, se permitirá su uso para ubicar o identificar a individuos implicados en delitos como terrorismo, tráfico de personas, explotación sexual, así como delitos medioambientales, y para la localización de las víctimas de dichos crímenes. A lo largo de las negociaciones, los gobiernos han abogado por ampliar la lista de delitos, mientras que la Eurocámara ha buscado limitarla al máximo y obtener garantías sólidas en favor de los derechos fundamentales.
- IMPLEMENTACIÓN DEL REGLAMENTO Y SANCIONES
A nivel nacional, se instituirán entidades nacionales encargadas de supervisar la implementación del Reglamento. En el contexto español, los Estatutos de la Agencia Española de Supervisión de la IA (AESIA) ya han sido aprobados mediante el Real Decreto 729/2023, de 22 de agosto. A nivel europeo, la supervisión será atribuida a la Oficina de Inteligencia Artificial de Europa, una entidad de la Comisión Europea, encargada de coordinar e implementar las normas aplicables a los sistemas de uso general con capacidad de decisiones vinculantes. Adicionalmente, se establece la creación de una Junta de Expertos que brindará asesoramiento a la oficina europea de IA, emitirá recomendaciones y respaldará las actividades de estandarización. Por último, se conformará un Foro Consultivo con diversos representantes de la sociedad civil y un panel de expertos para asistir a los Estados Miembros. En lo relativo a las sanciones, se proponen como un porcentaje de la facturación de la empresa o como una cantidad fija, aplicándose la que resulte mayor. Las sanciones más severas, destinadas al incumplimiento de las disposiciones sobre sistemas prohibidos, se fijan en 35 millones de euros o el 7% de la facturación. Para el incumplimiento de los requisitos legales, la sanción máxima se establece en 15 millones de euros o un 3% de la facturación. Como innovación, se decide que, en el caso de startups y PYMES, la sanción será el mínimo entre ambas cifras.
VII. PROSPECTIVA Y PERIODO DE IMPLEMENTACIÓN
La adopción de la Ley de Inteligencia Artificial por la UE constituye un logro jurídico trascendental en la regulación de la intersección entre tecnología y derechos fundamentales. En su posicionamiento normativo, la UE podría influir significativamente en la configuración global de marcos legales destinados a regir la inteligencia artificial de manera ética y justa. En la rueda de prensa de Carmen Artigas, se ha anunciado que, posterior a la entrada en vigor, se implementará un periodo gradual para cumplir con las obligaciones establecidas: 6 meses para los sistemas prohibidos, 12 meses para los sistemas de uso general, 24 meses para la mayoría de las obligaciones y 36 meses para las obligaciones vinculadas a productos con legislación armonizada en la Unión Europea. En la actualidad, se procederá a finalizar los detalles técnicos esenciales, y cada representante de los Estados Miembros en el COREPER, así como el Parlamento, deberán validar el acuerdo que será publicado en el DOUE (se prevé que el texto esté disponible para el verano de 2024). Este período transitorio será abordado a través de un Acuerdo de Inteligencia Artificial impulsado por la Comisión, el cual fomentará la adhesión voluntaria al Reglamento antes de su aplicación.
FUENTES OFICIALES CONSULTADAS
Comunicación del Consejo de la UE: https://www.consilium.europa.eu/en/press/press-releases/2023/12/09/artificial-intelligence-act-council-and-parliament-strike-a-deal-on-the-first-worldwide-rules-for-ai/
Comunicación del Parlamento: https://www.europarl.europa.eu/news/en/press-room/20231206IPR15699/artificial-intelligence-act-deal-on-comprehensive-rules-for-trustworthy-ai
Comunicación de la Comisión: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_6473
Rueda de prensa del Consejo de la UE: https://video.consilium.europa.eu/event/en/27283
Q&A actualizado a 12 de diciembre de la Comisión: https://ec.europa.eu/commission/presscorner/api/files/document/print/en/qanda_21_1683/QANDA_21_1683_EN.pdf
NORMATIVA
COM (2018) 237 final: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=COM:2018:237:FIN
Real Decreto 729/2023, de 22 de Agosto: https://www.boe.es/legislacion/eli/eli.php?path=es/rd/2023/08/22/729
Reglamento General de Protección de Datos: https://www.boe.es/doue/2016/119/L00001-00088.pdf
LGC