La Unión Europea ha logrado su objetivo de ser la primera zona del planeta que se dotará de una ley integral para regular la inteligencia artificial (IA), una tecnología que produce tantas esperanzas como inquietudes por su potencial disruptivo. Aunque el pacto alcanzado tras múltiples maratonianas sesiones negociadoras aún es temporal, a falta de ser ratificado tanto por los Estados miembros como por el Parlamento Europeo, en Bruselas el acuerdo se ha festejado como un “momento histórico” con el que, en palabras de la presidente de la Comisión Europea, Ursula von der Leyen, “se transponen los valores europeos a una nueva era”, la de la IA. Con este jalón, Europa no solo busca ofrecer un marco legislativo que impulse la competitividad e innovación en el campo a la par que resguarda a sus ciudadanos; asimismo desea sentar el modelo normativo a proseguirse por el resto del planeta.

¿De qué manera se cocina una ley para el futuro?

Paradójicamente, una de las leyes más futuristas —hasta el punto de que busca poder regular tecnologías o funciones que ni tan siquiera existen aún— fue negociada bajo la presidencia de España de turno de la UE de la forma más tradicional de Bruselas: frente a frente, a puerta cerrada, en una sesión maratoniana en la que los representantes de todas y cada una de las instituciones europeas, el Consejo (los Estados), la Eurocámara y la Comisión Europea discutieron punto por punto y artículo por artículo la normativa, apenas sin pausas, con mucho café —aunque la máquina se rompió en la primera madrugada—, bocadillos y jugos para soportar lo que terminó siendo por unanimidad calificada como un “ultramaratón” de treinta y seis horas (veintidos horas seguidas la primera tanda y, tras una pausa el jueves, otras catorce el viernes hasta prácticamente la medianoche).

¿De qué manera se regula la IA en la ley?

Los negociadores europeos han intentado nadar entre dos aguas, buscando reglas que dejen supervisar la de inteligencia artificial y asegurar que los desarrolladores compartan información esencial con los distribuidores de IA media, incluidas muchas pequeñas y medianas empresas europeas y, al tiempo, eludir una “carga excesiva” para las compañías, conforme el comisario de Mercado Interior, Thierry Breton, uno de los grandes impulsores de la normativa.

La ley se fija, en especial, en la llamada “IA de propósito general”, por servirnos de un ejemplo, el popular ChatGPT. La ley acuerda un enfoque de dos niveles: demanda trasparencia para todos estos modelos de IA de uso general, y requisitos aún más rigurosos para modelos “potentes”, afirma, “con impactos sistémicos en todo nuestro Mercado Único de la UE”. Lo que más preocupa a los legisladores es que los modelos como ChatGPT son absolutamente cerrados, esto es, no se conocen sus tripas técnicas, como sí ocurre con los modelos de fuente abierta (open source).

Para los primeros, la ley incluyen la demanda a las compañías de que realicen documentación técnica, el cumplimiento de la ley de derechos de autor de la UE y la difusión de resúmenes detallados sobre el contenido usado para la capacitación.

Para los modelos de alto impacto “con riesgo sistémico”, los negociadores del Parlamento procuraron obligaciones más estrictas. Si estos modelos cumplen determinados criterios (que aún están por delimitar), deberán efectuar evaluaciones de modelos, valorar y atenuar peligros sistémicos, efectuar pruebas incesantes, informar a la Comisión sobre incidentes graves, asegurar la ciberseguridad e informar sobre su eficacia energética. Y si no cumplen, van a ser sancionadas.

¿Cuáles son los peligros de la IA por los que la UE podría intervenir?

El enfoque de la UE ha sido el de no intervenir de origen, sino más bien en función de los peligros que tenga cada una de las tecnologías. En palabras de Breton: “[Esta ley] nos permite prohibir los usos de la IA que violen los derechos fundamentales y los valores de la UE, establecer reglas claras para los casos de uso de alto riesgo y promover la innovación sin barreras para todos los casos de uso de bajo riesgo”.

Ejemplos de sistemas de IA de alto peligro incluyen ciertas infraestructuras críticas, por servirnos de un ejemplo, el agua, el gas y la electricidad; dispositivos médicos; sistemas para determinar el acceso a instituciones educativas; o ciertos sistemas empleados en los campos de la aplicación de la ley, el control de fronteras, la administración de justicia y los procesos democráticos.

¿De qué manera impedir que la IA vulnere los derechos ciudadanos?

Europa se jacta de sus “valores europeos” y el respeto a los derechos esenciales y, en el momento de legislar sobre una tecnología con tantos interrogantes de futuro y tal capacidad intrusiva, la Eurocámara libró desde el primer instante una dura batalla para conservar al límite las libertades y derechos ciudadanos. Los representantes de los legisladores europeos llegaron a la mesa para las negociaciones con una muy larga lista de funciones de la IA a prohibir, sobre todo los llamados sistemas de vigilancia biométrica. Unos límites que múltiples Estados deseaban rebajar substancialmente en interés de la seguridad nacional e intereses militares (alén de otros económicos menos proclamados) y que provocaron ciertas concesiones. Pero tras las negociaciones, los dos comunicantes de la normativa, el socialdemócrata italiano Brando Benifei y el liberal rumano Dragos Tudorache, salieron con una extensa sonrisa y aseverando que habían conseguido “defender a los ciudadanos de los riesgos que la IA puede implicar en el día a día”.

Así, la futura ley de IA apunta “riesgos inaceptables” por los que se prohibirán los sistemas de IA que se consideren una clara amenaza a los derechos esenciales. Esto incluye sistemas o aplicaciones de inteligencia artificial que “manipulen el comportamiento humano” para evitar el libre arbitrio de los usuarios o sistemas que dejan la “puntuación social” por la parte de gobiernos o empresas. Esos sistemas de puntuación social (social scoring) son muy controvertidos por el hecho de que utilizan la IA para valorar la confiabilidad de un individuo basándose en su sexo, su raza, su salud, su comportamiento social o en sus preferencias. También van a estar prohibidos los sistemas de reconocimiento de emociones en el sitio de trabajo e instituciones educativas y la clasificación biométrica para inferir datos sensibles como la orientación sexual o las opiniones políticas o religiosas, como ciertos casos de policía predictiva para individuos y los sistemas que crean bases de datos faciales captando datos de forma indiscriminada por medio de internet o de grabaciones audiovisuales, como Clearview A.

Y si bien los eurodiputados cedieron en la línea roja que habían trazado sobre el uso de sistemas de vigilancia biométrica en tiempo real en espacios públicos, estos solo van a poder ser empleados por las fuerzas del orden y requerirán estrictas salvaguardias, como una orden judicial y que su uso esté muy restringido: para buscar víctimas de secuestro, tráfico humano o de explotación sexual, para prevenir una amenaza terrorista “genuina y previsible” o “genuina y presente”, esto es, que ya ocurre, o para la ubicación o identificación de un sospechoso de crímenes concretos (terrorismo, tráfico, asesinato, secuestro, violación, hurto armado o un crimen medioambiental, entre otros muchos). Aunque con menos limitaciones, el uso “ex post” de estos sistemas asimismo va a estar muy controlado.

La ley forzará además de esto a efectuar una “evaluación de impacto en los derechos fundamentales” antes que un sistema de IA de “alto riesgo” pueda ser sacado al mercado.

¿De qué manera se controlará que se cumple la ley?

Además, no es una ley sin dientes: la normativa prevé duras sanciones para los infractores, bien un porcentaje del volumen total de negocios de la compañía infractora el año fiscal anterior o aun una cantidad predeterminada “aún mayor”. La multa puede llegar a treinta y cinco millones de euros o siete% para violaciones de aplicaciones prohibidas de la IA y la más baja es de siete,5 millones o uno con cinco% del volumen de negocios por suministrar información incorrecta.

¿Cuáles son los próximos pasos?

El pacto político “provisional” está ahora sujeto a la aprobación formal del Parlamento Europeo y del Consejo. Una vez que se adopte la Ley de IA, va a haber un periodo de transición antes que sea aplicable. Para salvar este tiempo, la Comisión asegura que lanzará un “pacto sobre IA”: convocará a desarrolladores de IA de Europa y de todo el planeta a fin de que se comprometan de manera voluntaria a incorporar las obligaciones clave de la Ley de IA ya antes de los plazos legales. No se espera que la ley esté absolutamente en vigor ya antes de dos mil veintiseis, si bien ciertas partes comenzarán a marchar ya antes.

Imagen de una rueda de prensa celebrada el pasado día 7, con Carme Artigas y Thierry Breton.
Imagen de una conferencia de prensa festejada el día pasado siete, con Carme Artigas y Thierry Breton.SIERAKOWSKI FREDERIC

¿Cuáles han sido las reacciones a la ley?

Las primordiales empresas que están tras los modelos de IA actuales ya han dicho que respetarán la ley, si bien han pedido que su aplicación “no suponga un freno”. Las compañías responsables de estos desarrollos han venido trabajando paralelamente a la negociación de la regla para asegurarse una evolución moral de estas herramientas, por lo que la regla coincide con sus esperanzas generales toda vez que, conforme Christina Montgomery, vicepresidenta y directiva de Privacidad y Confianza de IBM, “proporcione barreras de protección para la sociedad al tiempo que promueve la innovación”.

Las ONG y especialistas dedicados al ciberactivismo, no obstante, se han mostrado sorprendidos y defraudados. Ella Jakubowska, analista experta en tecnologías de identificación biométricas de la ONG europea en defensa de los derechos digitales EDRi, asegura: “A pesar de muchas promesas, la ley parece destinada a hacer exactamente lo contrario de lo que queríamos. Allanará el camino para que los 27 Estados miembros de la UE legalicen el reconocimiento facial público en vivo. Esto sentará un precedente peligroso en todo el mundo, legitimará estas tecnologías de vigilancia masiva profundamente intrusivas e implicará que se pueden hacer excepciones a nuestros derechos humanos”. Carmela Troncoso, ingeniero de telecomunicaciones especialista en privacidad en la Escuela Politécnica Federal de Lausana (Suiza), explica: “Hay muchas prohibiciones muy prometedoras, pero también muchos agujeros y excepciones que no dejan claro que las prohibiciones de verdad vayan a proteger los derechos humanos como esperamos, por ejemplo, que las fuerzas del orden vayan a usar reconocimiento facial en tiempo real para buscar sospechosos. También es triste que España haya estado detrás de algunas de las propuestas más preocupantes de esta ley”, agrega Troncoso, autora de la tecnología que hizo posible las aplicaciones de rastreamiento de la covid.

Entre los aspectos que no específica el pacto se cuenta el reconocimiento de emociones. Se afirma que se prohibirá en los campos laborales y educativos, mas al tiempo se deja (con limitaciones) en tareas policiales y en administración de inmigración. Lo mismo pasa con el rastreo (scraping) de datos biométricos: se prohibe explícitamente recoger los patrones faciales, mas no se afirma nada del resto de datos biométricos. Hay sistemas autoomáticos capaces de identificar a las personas, por servirnos de un ejemplo, por su forma de caminar que no quedarían incluídos en la prohibición, notifica Manuel G. Pascual.

¿Qué otros países han legislado la IA?

Ningún otro territorio del planeta tiene una ley que abarque tantos aspectos como la europea. El presidente de EE UU, Joe Biden, firmó un octubre un decreto que fuerza a las tecnológicas a avisar al Gobierno cualquier avance que suponga un “riesgo grave para la seguridad nacional”. En específico, las compañías dedicadas a la IA en Estados Unidos, trabajen o no con el Gobierno, van a estar obligadas a avisar a las autoridades federales cualquier avance que suponga un “riesgo grave para la seguridad nacional, económica o para la salud y seguridad públicas”, como a mejorar los mecanismos que fortalezcan la confianza en esos avances en tecnología. Días después, el primer ministro británico, Rishi Sunak, convocó a una cima de la que brotó el primer compromiso de veintiocho países (incluidos EE UU y China) y de la UE sobre estos sistemas, la llamada Declaración de Bletchley y la creación de un conjunto de especialistas para el seguimiento de sus avances.

_

Adrian Cano

Santander (España), 1985. Después de obtener su licenciatura en Periodismo en la Universidad Complutense de Madrid, decidió enfocarse en el cine y se matriculó en un programa de posgrado en crítica cinematográfica. Sin, embargo, su pasión por las criptomonedas le llevó a dedicarse al mundo de las finanzas. Le encanta ver películas en su tiempo libre y es un gran admirador del cine clásico. En cuanto a sus gustos personales,  es un gran fanático del fútbol y es seguidor del Real Madrid. Además, ha sido voluntario en varias organizaciones benéficas que trabajan con niños.