La UE ha llegado a un acuerdo sobre la Ley de IA, que probablemente entrará en vigor entre 2024 y 2025, según lo previsto.
Esta decisión histórica fue el resultado de una intensa sesión de negociación de 37 horas en la que participaron el Parlamento Europeo y los Estados miembros de la UE.
Thierry Breton, Comisario europeo principal responsable de este nuevo conjunto de leyes, calificó el acuerdo de "histórico". Las conversaciones llevan en marcha desde el martes, incluidos algunos días en los que los negociadores trabajaron toda la noche.
¡Histórico!
La UE se convierte en el primer continente que establece normas claras para el uso de la IA 🇪🇺
En #AIAct es mucho más que un reglamento: es una plataforma de lanzamiento para que las empresas emergentes y los investigadores de la UE lideren la carrera mundial de la IA.
¡Lo mejor está por llegar! 👍 pic.twitter.com/W9rths31MU
- Thierry Breton (@ThierryBreton) 8 de diciembre de 2023
Carme Artigas, Secretaria de Estado española de AI, fue crucial para llevar estas negociaciones a buen puerto.
Artigas destacó el importante respaldo que recibió el texto por parte de los principales países europeos, afirmando concretamente que "Francia y Alemania apoyaron el texto". Esto es notable, ya que Francia y Alemania, deseosas de fomentar sus propias industrias de IA en crecimiento, cuestionaban algunos de los elementos más estrictos de la ley.
La UE se dispone ahora a liderar la regulación de la IA. Aunque el contenido y las implicaciones concretas de las nuevas leyes aún están por llegar, es probable que entren en vigor en 2024/2025.
Acuerdos y aspectos clave de la Ley de AI de la UE
En acuerdo provisional sobre la ley de IA representa un paso histórico en la regulación de la IA. Sigue los pasos de otras normativas tecnológicas de la UE, como el GDPR, que ha impuesto a las empresas tecnológicas multas multimillonarias a lo largo de los años.
Carme Artigas, secretaria de Estado española de Digitalización e Inteligencia Artificial, ha declarado sobre la ley: "¡Es un logro histórico y un enorme hito hacia el futuro! El acuerdo de hoy aborda eficazmente un reto global en un entorno tecnológico en rápida evolución sobre un área clave para el futuro de nuestras sociedades y economías. Y en este empeño, hemos conseguido mantener un equilibrio extremadamente delicado: impulsar la innovación y la adopción de la inteligencia artificial en toda Europa respetando plenamente los derechos fundamentales de nuestros ciudadanos."
Aquí están los nuevos aspectos fundamentales de la legislación acordada:
- Sistemas de IA de alto impacto y riesgo: El acuerdo introduce normas sobre los modelos de IA de propósito general que podrían plantear riesgos "sistémicos". El significado exacto sigue siendo ambiguo, pero en líneas generales está pensado para las nuevas generaciones de modelos de nivel GPT-4 y superior.
- Gobernanza y aplicación: Se estableció un sistema de gobernanza revisado, que incluye algunas competencias de ejecución a nivel de la UE. Esto garantiza un enfoque centralizado de la regulación de la IA en todos los Estados miembros.
- Prohibiciones y excepciones policiales: El acuerdo amplía la lista de prácticas de IA prohibidas, pero permite el uso de la identificación biométrica a distancia por parte de las fuerzas de seguridad en espacios públicos bajo condiciones estrictas. Con ello se pretende equilibrar la seguridad pública con la privacidad y las libertades civiles.
- Protección de derechos: Un aspecto clave del acuerdo es la obligación de que quienes desplieguen sistemas de IA de alto riesgo evalúen el impacto sobre los derechos de las personas antes de utilizar un sistema de IA. "Desplegadores" es la palabra clave aquí, ya que la Ley obliga a asumir responsabilidades a lo largo de toda la cadena de valor de la IA.
Otros ámbitos acordados son:
- Definiciones y ámbito de aplicación: La definición de los sistemas de IA se ha ajustado a la Definición de la OCDEy la normativa excluye los sistemas de IA utilizados exclusivamente con fines militares, de defensa, investigación e innovación o por particulares con fines no profesionales.
- Clasificación de los sistemas de IA: Los sistemas de IA se clasificarán en función del riesgo, con los sistemas de alto riesgo sujetos a requisitos estrictos y obligaciones de transparencia más leves para los sistemas de riesgo limitado. Esta ha sido la intención desde el principio.
- Modelos de cimentación: El acuerdo aborda los modelos fundacionales, grandes sistemas de IA capaces de realizar diversas tareas como ChatGPT/Bard/Claude 2. Se establecen obligaciones específicas de transparencia para estos modelos, con normas más estrictas para los modelos fundacionales de gran impacto.
- Requisitos de los sistemas de IA de alto riesgo: Los sistemas de IA de alto riesgo podrán entrar en el mercado de la UE, pero deberán cumplir requisitos específicos, como la calidad de los datos y la documentación técnica, especialmente en el caso de las PYME.
- Responsabilidades en las cadenas de valor de la IA: El acuerdo aclara las funciones y responsabilidades de los distintos agentes de las cadenas de valor de los sistemas de IA, incluidos proveedores y usuarios, y su relación con la legislación comunitaria vigente.
- Prácticas de IA prohibidas: La ley prohíbe ciertas prácticas inaceptables de IA, como la manipulación cognitiva del comportamiento, el raspado no selectivo de imágenes faciales y el reconocimiento de emociones en lugares de trabajo e instituciones educativas.
- Procedimientos de emergencia para las fuerzas del orden: Un procedimiento de emergencia permite a las fuerzas del orden desplegar herramientas de IA de alto riesgo que no hayan superado la evaluación de conformidad en situaciones de urgencia.
- Identificación biométrica en tiempo real: El uso por las fuerzas del orden de sistemas de identificación biométrica a distancia en tiempo real en espacios públicos está permitido en condiciones estrictas para fines específicos como la prevención de atentados terroristas o la búsqueda de sospechosos de delitos graves.
Gobernanza, sanciones y aplicación:
- Gobernanza: Una Oficina de IA dentro de la Comisión supervisará los modelos avanzados de IA, con el apoyo de un grupo científico de expertos independientes y el Consejo de IA, compuesto por representantes de los Estados miembros.
- Sanciones: El acuerdo establece multas basadas en un porcentaje de la facturación anual global de la empresa para diversas infracciones, con topes más proporcionados para las PYME y las empresas de nueva creación.
- Multas: Las sanciones por incumplimiento se han establecido en función de la gravedad de la infracción. Las multas se calculan como un porcentaje de la facturación anual global de la empresa del ejercicio fiscal anterior o como una cantidad fija. Se toma la más alta de las dos. Las multas se estructuran de la siguiente manera: 35 millones de euros o 7% del volumen de negocios por infracciones relacionadas con aplicaciones de IA prohibidas, 15 millones de euros o 3% por incumplimiento de las obligaciones de la Ley y 7,5 millones de euros o 1,5% por facilitar información incorrecta.
- Ayuda: El acuerdo incluye zonas de pruebas reguladoras de la IA para ensayar sistemas innovadores de IA en condiciones reales y ofrece apoyo a las empresas más pequeñas.
Este acuerdo provisional aún debe ser aprobado por el Parlamento Europeo y los 27 Estados miembros de la UE.
¿Cómo afectará la legislación a los "modelos frontera"?
Según la nueva normativa, todos los desarrolladores de sistemas de IA de propósito general, sobre todo los que tienen una amplia gama de aplicaciones potenciales como ChatGPT y Bard, deben mantener actualizada la información sobre cómo se entrenan sus modelos, proporcionar un resumen detallado de los datos utilizados en el entrenamiento y tener políticas que respeten las leyes de derechos de autor y garanticen un uso aceptable.
La Ley también clasifica determinados modelos como de "riesgo sistémico". Esta evaluación se basa principalmente en la capacidad de cálculo de estos modelos. La UE ha fijado un umbral para esta categoría en los modelos que emplean más de 10 billones de billones de operaciones por segundo.
Actualmente, el GPT-4 de OpenAI es el único modelo que cumple automáticamente este umbral. Sin embargo, la UE podría etiquetar otros modelos bajo esta definición.
Los modelos considerados de riesgo sistémico estarán sujetos a normas adicionales más estrictas. Entre ellas figuran:
- Notificación obligatoria del consumo de energía.
- Realización de pruebas de red-teaming o adversariales.
- Evaluar y mitigar los posibles riesgos sistémicos.
- Garantizar sólidos controles de ciberseguridad.
- Informar tanto de la información utilizada para afinar el modelo como de los detalles sobre la arquitectura de su sistema.
¿Cómo se ha recibido el acuerdo?
La Ley de Inteligencia Artificial ha suscitado multitud de reacciones sobre su innovación, regulación e impacto social.
Fritz-Ulli Pieper, especialista en Derecho informático de Taylor Wessing, señaló que, aunque se vislumbra el final, la Ley aún puede sufrir cambios.
En su opinión, "aún quedan muchos puntos por tratar en el diálogo técnico a tres bandas. Nadie sabe cómo será la redacción final y si realmente se puede impulsar el acuerdo actual en un texto legislativo definitivo, o cómo".
Las reflexiones de Pieper revelan la complejidad e incertidumbre que rodean a la Ley de IA, y sugieren que queda mucho trabajo por hacer para garantizar que la legislación final sea eficaz y práctica.
Un tema clave de estas reuniones ha sido equilibrar los riesgos y las oportunidades de la IA, sobre todo porque los modelos pueden tener una "doble naturaleza", es decir, pueden aportar beneficios e infligir daños. Alexandra van Huffelen, ministra holandesa de Digitalización, señaló: "Tratar con la IA significa distribuir equitativamente las oportunidades y los riesgos".
Al parecer, la Ley tampoco protegía a los ciudadanos de la UE de la vigilancia a gran escala, lo que llamó la atención de grupos de defensa como Amnistía Internacional.
Mher Hakobyan, Asesor de Defensa de la Inteligencia Artificial, dijo sobre este punto de controversia: "No garantizar una prohibición total del reconocimiento facial es, por lo tanto, una oportunidad enormemente perdida para detener y prevenir un daño colosal a los derechos humanos, el espacio cívico y el Estado de Derecho que ya están amenazados en toda la UE."
Tras este acuerdo provisional, la Ley de IA entrará en vigor dos años después de su promulgación oficial, lo que permitirá a gobiernos y empresas de toda la UE prepararse para cumplir sus disposiciones.
Mientras tanto, los funcionarios negociarán los detalles técnicos del reglamento. Una vez concluidos los ajustes técnicos, el texto de compromiso se presentará a los representantes de los Estados miembros para su aprobación.
El último paso consiste en una revisión jurídico-lingüística para garantizar la claridad y la precisión jurídica, seguida de la adopción formal. No cabe duda de que la Ley de IA cambiará el sector tanto en la UE como en el resto del mundo, pero es difícil predecir su alcance.