La «Ley de Inteligencia Artificial»: Consejo y Parlamento llegan a un acuerdo sobre las primeras normas de IA en el mundo

Tras intensas negociaciones de tres días, la presidencia del Consejo y los negociadores del Parlamento Europeo han alcanzado un acuerdo provisional sobre la propuesta de normas armonizadas en inteligencia artificial (IA), conocida como la «Ley de Inteligencia Artificial». El proyecto de regulación tiene como objetivo garantizar que los sistemas de IA colocados en el mercado europeo y utilizados en la Unión Europea sean seguros y respeten los derechos fundamentales y los valores de la UE. Esta propuesta histórica también tiene como objetivo estimular la inversión y la innovación en IA en Europa.

¡Este es un logro histórico y un gran hito hacia el futuro! El acuerdo de hoy aborda de manera efectiva un desafío global en un entorno tecnológico en rápida evolución en un área clave para el futuro de nuestras sociedades y economías. Y en este esfuerzo, logramos mantener un equilibrio extremadamente delicado: impulsar la innovación y la adopción de la inteligencia artificial en toda Europa, respetando plenamente los derechos fundamentales de nuestros ciudadanos.

Carme Artigas, Secretaria de Estado española de Digitalización e Inteligencia Artificial

La Ley de IA es una iniciativa legislativa emblemática con el potencial de fomentar el desarrollo y la adopción de IA segura y confiable en el mercado único de la UE tanto por actores privados como públicos. La idea principal es regular la IA en función de su capacidad para causar daños a la sociedad siguiendo un enfoque «basado en el riesgo»: cuanto mayor sea el riesgo, más estrictas serán las reglas. Como la primera propuesta legislativa de este tipo en el mundo, puede establecer un estándar global para la regulación de la IA en otras jurisdicciones, al igual que el RGPD lo ha hecho, promoviendo así el enfoque europeo en la regulación tecnológica a nivel mundial.

Los principales elementos del acuerdo provisional

En comparación con la propuesta inicial de la Comisión, los principales nuevos elementos del acuerdo provisional se pueden resumir de la siguiente manera:

  • Reglas sobre modelos de IA de propósito general de alto impacto que pueden causar riesgos sistémicos en el futuro, así como sobre sistemas de IA de alto riesgo.
  • Un sistema revisado de gobernanza con algunos poderes de ejecución a nivel de la UE.
  • Ampliación de la lista de prohibiciones, pero con la posibilidad de utilizar la identificación biométrica remota por parte de las autoridades encargadas de hacer cumplir la ley en espacios públicos, sujeta a salvaguardias.
  • Una mejor protección de los derechos a través de la obligación de los implementadores de sistemas de IA de alto riesgo de realizar una evaluación del impacto en los derechos fundamentales antes de poner un sistema de IA en uso.

En términos más concretos, el acuerdo provisional aborda los siguientes aspectos:

Definiciones y alcance

Para asegurar que la definición de un sistema de IA proporcione criterios suficientemente claros para distinguir la IA de los sistemas de software más simples, el acuerdo de compromiso alinea la definición con el enfoque propuesto por la OCDE.

El acuerdo provisional también aclara que la regulación no se aplica a áreas fuera del ámbito del derecho de la UE y no debe afectar, en ningún caso, las competencias de los Estados miembros en materia de seguridad nacional o de cualquier entidad encargada de tareas en este ámbito. Además, la Ley de IA no se aplicará a sistemas utilizados exclusivamente con fines militares o de defensa. Del mismo modo, el acuerdo establece que la regulación no se aplicará a sistemas de IA utilizados exclusivamente con fines de investigación e innovación o por personas que utilizan la IA por razones no profesionales.

Clasificación de sistemas de IA de alto riesgo y prácticas de IA prohibidas

El acuerdo de compromiso establece una capa horizontal de protección, incluida una clasificación de alto riesgo, para asegurar que los sistemas de IA que no es probable que causen graves violaciones de los derechos fundamentales u otros riesgos significativos no sean capturados. Los sistemas de IA que presenten un riesgo limitado estarán sujetos a obligaciones de transparencia muy ligeras, como la divulgación de que el contenido fue generado por IA para que los usuarios puedan tomar decisiones informadas sobre su uso futuro.

Una amplia gama de sistemas de IA de alto riesgo estarán autorizados, pero sujetos a un conjunto de requisitos y obligaciones para acceder al mercado de la UE. Estos requisitos se han aclarado y ajustado de manera que sean más técnicamente factibles y menos gravosos para que las partes interesadas cumplan, por ejemplo, en lo que respecta a la calidad de los datos o a la documentación técnica que deben elaborar las PYME para demostrar que sus sistemas de IA de alto riesgo cumplen con los requisitos.

Dado que los sistemas de IA se desarrollan y distribuyen a través de cadenas de valor complejas, el acuerdo de compromiso incluye cambios que aclaran la asignación de responsabilidades y roles de los diversos actores en esas cadenas, en particular, los proveedores y usuarios de sistemas de IA. También aclara la relación entre las responsabilidades en virtud de la Ley de IA y las responsabilidades que ya existen en virtud de otras leyes, como la legislación pertinente de protección de datos de la UE o la legislación sectorial.

Para algunos usos de la IA, el riesgo se considera inaceptable y, por lo tanto, estos sistemas estarán prohibidos en la UE. El acuerdo provisional prohíbe, por ejemplo, la manipulación cognitiva del comportamiento, la recopilación no dirigida de imágenes faciales de Internet o imágenes de CCTV, el reconocimiento de emociones en el lugar de trabajo y en instituciones educativas, la puntuación social, la categorización biométrica para inferir datos sensibles, como la orientación sexual o las creencias religiosas, y algunos casos de aplicación predictiva para individuos.

Excepciones para las fuerzas del orden

Teniendo en cuenta las especificidades de las autoridades encargadas de hacer cumplir la ley y la necesidad de preservar su capacidad para utilizar la IA en su trabajo vital, se acordaron varios cambios en la propuesta de la Comisión relacionados con el uso de sistemas de IA con fines de aplicación de la ley. Sujetas a salvaguardias adecuadas, estos cambios tienen como objetivo reflejar la necesidad de respetar la confidencialidad de los datos operativos sensibles relacionados con sus actividades. Por ejemplo, se introdujo un procedimiento de emergencia que permite a las agencias encargadas de hacer cumplir la ley desplegar una herramienta de IA de alto riesgo que no ha pasado el procedimiento de evaluación de conformidad en caso de urgencia. Sin embargo, también se ha introducido un mecanismo específico para garantizar que los derechos fundamentales estarán suficientemente protegidos contra posibles abusos de los sistemas de IA.

Además, en lo que respecta al uso de sistemas de identificación biométrica remota en tiempo real en espacios públicos accesibles al público, el acuerdo provisional aclara los objetivos en los que dicho uso es estrictamente necesario con fines de aplicación de la ley y por lo tanto, se permite excepcionalmente a las autoridades encargadas de hacer cumplir la ley utilizar tales sistemas. El acuerdo de compromiso prevé salvaguardias adicionales y limita estas excepciones a casos de víctimas de ciertos delitos, prevención de amenazas genuinas, actuales o previsibles, como ataques terroristas, y búsquedas de personas sospechosas de los delitos más graves.

Sistemas de IA de propósito general y modelos fundamentales

Se han añadido nuevas disposiciones para tener en cuenta situaciones en las que los sistemas de IA se pueden utilizar para muchos fines diferentes (IA de propósito general) y donde la tecnología de IA de propósito general se integra posteriormente en otro sistema de alto riesgo. El acuerdo provisional también aborda los casos específicos de sistemas de IA de propósito general (IA de PGI).

También se han acordado reglas específicas para los modelos fundamentales, sistemas grandes capaces de realizar competencias de amplio alcance, como la generación de video, texto, imágenes, conversaciones en lenguaje lateral, computación o generación de código informático. El acuerdo provisional establece que los modelos fundamentales deben cumplir con obligaciones de transparencia específicas antes de ser colocados en el mercado. Se introdujo un régimen más estricto para los modelos fundamentales de «alto impacto». Estos son modelos fundamentales entrenados con una gran cantidad de datos y con una complejidad avanzada, capacidades y rendimiento muy por encima del promedio, que pueden difundir riesgos sistémicos a lo largo de la cadena de valor.

Una nueva arquitectura de gobernanza

Tras las nuevas normas sobre modelos de IA de PGI y la necesidad evidente de su aplicación a nivel de la UE, se establece una Oficina de IA dentro de la Comisión encargada de supervisar estos modelos de IA más avanzados, contribuir al fomento de estándares y prácticas de prueba, y hacer cumplir las normas comunes en todos los Estados miembros. Un panel científico de expertos independientes asesorará a la Oficina de IA sobre los modelos de IA de PGI, contribuyendo al desarrollo de metodologías para evaluar las capacidades de los modelos fundamentales, asesorando sobre la designación y la aparición de modelos fundamentales de alto impacto y monitoreando posibles riesgos materiales de seguridad relacionados con modelos fundamentales.

La Junta de IA, que estará compuesta por representantes de los Estados miembros, permanecerá como una plataforma de coordinación y un órgano asesor de la Comisión y otorgará un papel importante a los Estados miembros en la implementación de la regulación, incluido el diseño de códigos de práctica para modelos fundamentales. Finalmente, se establecerá un foro asesor para partes interesadas, como representantes de la industria, PYME, startups, sociedad civil y academia, para proporcionar experiencia técnica a la Junta de IA.

Sanciones

Las multas por violaciones de la Ley de IA se establecieron como un porcentaje de la facturación anual global de la empresa infractora en el ejercicio financiero anterior o una cantidad predeterminada, la que sea mayor. Esto sería de 35 millones de euros o el 7% para las violaciones de las aplicaciones de IA prohibidas, 15 millones de euros o el 3% para las obligaciones de la Ley de IA y 7,5 millones de euros o el 1,5% para el suministro de información incorrecta. Sin embargo, el acuerdo provisional prevé topes más proporcionados en las multas administrativas para PYME y startups en caso de infracciones de las disposiciones de la Ley de IA.

El acuerdo de compromiso también aclara que una persona natural o jurídica puede presentar una queja ante la autoridad de vigilancia del mercado pertinente en caso de incumplimiento de la Ley de IA y puede esperar que dicha queja se maneje de acuerdo con los procedimientos dedicados de esa autoridad.

Transparencia y protección de los derechos fundamentales

El acuerdo provisional establece una evaluación del impacto en los derechos fundamentales antes de que un sistema de IA de alto riesgo sea puesto en el mercado por sus implementadores. El acuerdo provisional también prevé una mayor transparencia con respecto al uso de sistemas de IA de alto riesgo. En particular, algunas disposiciones de la propuesta de la Comisión se han modificado para indicar que ciertos usuarios de un sistema de IA de alto riesgo que sean entidades públicas también estarán obligados a registrarse en la base de datos de la UE para sistemas de IA de alto riesgo. Además, se han añadido disposiciones nuevas que hacen hincapié en la obligación de los usuarios de un sistema de reconocimiento de emociones de informar a las personas naturales cuando estén siendo expuestas a dicho sistema.

Medidas en apoyo a la innovación

Con el objetivo de crear un marco legal más favorable a la innovación y promover el aprendizaje reglamentario basado en evidencia, las disposiciones relativas a medidas en apoyo a la innovación se han modificado sustancialmente en comparación con la propuesta de la Comisión.

En particular, se ha aclarado que las cajas de arena regulatorias de la IA, que están destinadas a establecer un entorno controlado para el desarrollo, prueba y validación de sistemas de IA innovadores, también deben permitir la prueba de sistemas de IA innovadores en condiciones del mundo real. Además, se han añadido nuevas disposiciones que permiten la prueba de sistemas de IA en condiciones del mundo real, bajo condiciones y salvaguardias específicas. Para aliviar la carga administrativa de las empresas más pequeñas, el acuerdo provisional incluye una lista de acciones que deben llevarse a cabo para apoyar a dichos operadores y proporciona algunas derogaciones limitadas y claramente especificadas.

Entrada en vigor

El acuerdo provisional establece que la Ley de IA deberá aplicarse dos años después de su entrada en vigor, con algunas excepciones para disposiciones específicas.

Próximos pasos

Tras el acuerdo provisional de hoy, el trabajo continuará a nivel técnico en las próximas semanas para finalizar los detalles de la nueva regulación. La presidencia presentará el texto de compromiso a los representantes de los Estados miembros (Coreper) para su aprobación una vez que se haya concluido este trabajo.

El texto completo deberá ser confirmado por ambas instituciones y someterse a una revisión legal y lingüística antes de su adopción formal por parte de los co-legisladores.

Fuente: Consilium Europa