El pasado 8 de diciembre, el Parlamento Europeo y el Consejo llegaron a un largo e intensamente esperado acuerdo sobre la Ley de Inteligencia Artificial (IA), que pasará así, a ser la primera ley horizontal del mundo en este campo. Entre sus principales aspectos, podemos destacar los siguientes.
Usos prohibidos y usos biométricos en el ámbito criminal
A la vista de los riesgos para las libertades y la democracia que plantean determinadas aplicaciones de IA, se acordó prohibir: a) sistemas de categorización biométrica que utilicen características sensibles (por ejemplo, creencias políticas, orientación sexual o raza); b) la extracción no dirigida de imágenes faciales de Internet o grabaciones de circuito cerrado de televisión (CCTV) para crear bases de datos de reconocimiento facial; c) sistemas de reconocimiento de emociones en el lugar de trabajo y en instituciones educativas; d) sistemas de crédito social basados en el comportamiento social o características personales; y e) sistemas que manipulen el comportamiento humano para quebrantar su libre albedrío o que exploten las vulnerabilidades de las personas (por su edad, discapacidad o situación socio-económica).
Se permite en cambio -y fue uno de los puntos más espinosos de las negociaciones,- el uso por las fuerzas de seguridad de sistemas biométricos en lugares públicos, siempre que se cuente con autorización judicial. Los supuestos, no obstante, son muy tasados: para localizar a la víctima de un delito muy grave, prevenir delitos de terrorismo o perseguir crímenes también muy graves.
IA de riesgo bajo
Los sistemas de IA de riesgo bajo solo quedan sometidos a obligaciones básicas de transparencia, en particular la necesidad de garantizar la accesibilidad a su documentación técnica. Con carácter voluntario, eso sí, las empresas podrán someterse a códigos de conducta adicionales para estos sistemas de IA.
IA de alto riesgo
Los sistemas de IA clasificados como de alto riesgo (debido a su importante daño potencial a la salud, la seguridad, los derechos fundamentales, el medio ambiente, la democracia y el Estado de derecho, incluidos los que se usen para influir en resultados electorales y la conducta de los votantes), quedan adicionalmente sujetos a las siguientes medidas: a) evaluación y mitigación de riesgos (entre ellas una evaluación de impacto sobre derechos fundamentales); b) garantías de alta calidad de los datos empleados; c) registros de actividad; d) medidas apropiadas de supervisión humana; y e) información y control ciudadano, en forma de explicaciones sobre las decisiones basadas en este tipo de sistemas que afecten a sus derechos y derecho a presentar quejas sobre este tipo de sistemas.
IA generativa
Estos sistemas y los modelos sobre los que se basan (por ejemplo, los GPT de OpenAI) son asimismo objeto de regulación. Todos ellos deberán cumplir requisitos de transparencia que incluyen la elaboración de documentación técnica y la difusión de resúmenes detallados sobre el contenido digital utilizado en su entrenamiento, el cual, a su vez, habrá de respetar la normativa europea sobre derechos de autor.
Para aquellos calificados como "de alto impacto" por su potencial riesgo sistémico (en la misma línea de los citados para los sistemas de alto riesgo), y siempre que reúnan ciertos criterios, se disponen obligaciones más estrictas: a) evaluar y mitigar tales riesgos sistémicos; b) realizar pruebas contradictorias (el conocido como red teaming); c) informar a la Comisión sobre incidentes graves; d) garantizar la ciberseguridad; y e) informar sobre su eficiencia energética.
Medidas relativas a las pymes
Se excluye a las pymes (muchas de ellas europeas) de lo que algunos negociadores han calificado como "cargas regulatorias innecesarias". A la espera de la concreción que derive del texto final del acuerdo, esta exclusión se concreta en la creación de espacios controlados de pruebas (sandboxes), por parte de los Estados miembros, a fin de que las pymes (aunque también otras empresas) puedan desarrollar y entrenar IA innovadora con anterioridad a su comercialización. España se adelantó a esta medida con la creación del sandbox español en esta materia, aprobado mediante Real Decreto 817/2023, de 8 de noviembre, ya en funcionamiento.
Sanciones
El incumplimiento de estas normas puede dar lugar a sanciones que oscilan entre los €35 millones o el 7% de la facturación global, y los €7,5 millones o el 1,5% de la facturación global, en función de la gravedad de la infracción y del tamaño de la empresa.
Próximos pasos
El texto del acuerdo deberá someterse a aprobación final por el Parlamento Europeo y por el Consejo, y se espera que todo ello suceda durante los primeros meses de 2024. La totalidad de la futura Ley no será aplicable hasta dos años después, si bien algunas de sus disposiciones, como las relativas a las prohibiciones y a la IA generativa, serán aplicables al cabo de 6 y 12 meses desde la entrada en vigor, respectivamente.
Dos precisiones adicionales a este respecto: una, que el acuerdo deja un amplio margen de maniobra a la Comisión para la implementación de desarrollos de índole técnica, imprescindibles a la vista de la alta sofisticación tecnológica de estos sistemas; otra, que también los Estados miembros deberán aprobar normas de desarrollo, en particular y por ejemplo en materia de infracciones y sanciones, respecto de las que el texto de la futura Ley no realiza sino las indicaciones mencionadas.
Nuestra valoración y recomendaciones
Pese a que esta Ley se viene calificando como la primera del mundo, en puridad no es así. Tanto China como los EE.UU. han aprobado en 2023, normas generales al respecto. La Ley europea, eso sí, lo es con arreglo a valores occidentales, en tanto que, en contraste con el Decreto presidencial estadounidense, es una norma a la vez horizontal e imperativa para todos sus destinatarios.
Lo importante no es ser los primeros, sino tener la mejor regulación posible. La Unión Europea solo cuenta con 9 de las 100 mayores empresas tecnológicas mundiales, frente a 60 de los EE.UU., y es claro que, hasta la fecha, el modelo regulatorio europeo – horizontal e imperativo - no ha funcionado para lograr un escenario tecnológico y de avance digital más satisfactorio.
Es una regulación exigente, por más que no haya llegado a ser asfixiante. Ha sido decisiva para ello la presión final de Alemania, Francia e Italia (no por casualidad miembros del G7), en favor de una mayor flexibilidad que pueda favorecer más a la industria europea, especialmente la pequeña y mediana. Las normas de alta exigencia en este sector solo terminan siendo asumibles por empresas de gran tamaño y Europa carece hoy en día de ellas. Nos consta de primera mano la enorme inquietud de algunas pymes europeas del sector a este respecto.
Cierto que empresas europeas como Mistral AI en Francia, Aleph Alpha en Alemania o CliBrain en España (con su IA en español), tienen futuros más que prometedores, pero están aún comenzando. De ahí la importancia crítica de que efectiva y finalmente queden exentas de las citadas "cargas innecesarias", cosa que solo se constatará a la vista del texto final.
Como hemos dicho, la Ley de IA no será aplicable en su integridad hasta dentro de más de dos años. La evolución tecnológica, en cambio, no se detiene, lo que invita (y hasta obliga) a que las empresas aprovechen desde ya las ventajas competitivas de la IA (en especial, la generativa). Aunque deben hacerlo sin riesgos, en particular los legales. Para lograrlo, deben ser conscientes de que ya hoy son aplicables normas jurídicas sobre IA, en campos como la privacidad o el entorno laboral. Y también de que la Ley de IA exigirá un esfuerzo de adaptación normativa que conviene comenzar cuanto antes, incluso mediante políticas internas de gestión y mitigación. El interés extremo de estas cuestiones hace que desde nuestro despacho ya estemos dando asesoramiento sobre este tema a muchas empresas.
Ver post @Linkedin
#Englishversion - Alert: European Artificial Intelligence Act. On 8 December, the European Parliament and the Council reached a long-awaited agreement on the Artificial Intelligence (AI) Act, which will become the world's first horizontal law in this field. We highlight the following among its main aspects: Prohibited uses and biometric uses in the criminal field; low-risk AI; high-risk AI; generative AI; measures relating to SMEs; sanctions; next steps and our assessment and recommendations.
Autores: Pablo García Mexía, Miguel Ángel Barroso
Contacto
