YEAR 2024 No 2 Volume 34
ISSN 2182-9845
Carmen Muñoz García
The European AI Act. Regulatory framework for a safe and reliable AI
El Reglamento de Inteligencia Artificial en Europa. Marco regulatorio para una IA segura y fiable
El Reglamento Europeo de Inteligencia Artificial (RIA o AI Act, por sus siglas en inglés) es el primer hito regulatorio de esta tecnología a nivel mundial. Aunque los primeros pasos para la regulación de la inteligencia artificial (IA) se iniciaron en el año 2018, fue el compromiso político de la Presidenta Von der Leyen de presentar propuestas legislativas para la Comisión 2019-2024, el que daría sus frutos. Entonces anunció que era preciso un enfoque coordinado en materia de IA para abordar los riesgos éticos y humanos. Su desarrollo y uso debía impulsarse pero sin perder de vista la protección de las personas.
Tras lo anterior, el Libro Blanco sobre la inteligencia artificial: un enfoque europeo orientado a la excelencia y confianza (10 de febrero de 2020) mostró entonces cuál era el doble objetivo de normativizar esta materia: impulsar la IA para aprovechar todos los beneficios socioeconómicos que presenta, y además, abordar los riesgos vinculados a su desarrollo y uso.
En la misma fecha, y consciente la Comisión de la relevancia de los datos, de la necesaria disponibilidad y reutilización -tanto de la información del sector público como del privado-, a sabiendas de que sin datos no hay IA, se presentó, junto al Libro Blanco sobre IA la Estrategia Europea de Datos. Con esta se pretende, entre otros aspectos, crear un Espacio común europeo de datos, crear mecanismos adecuados que garanticen el acceso a datos de calidad, el intercambio y la reutilización de datos entre el sector público y el privado (e incluso, con los particulares) y garantizar la equidad en la asignación del valor de los datos entre los agentes de la economía datos, y también con pymes y consumidores. Como resultados más relevantes de esta Estrategia, destacan: la aprobación de la Data Gobernance Act (Reglamento 2022/868) y la Data Act (Reglamento 2023/2854).
Tras el Libro Blanco sobre la inteligencia artificial y la Estrategia Europea de Datos, en octubre de 2020 el Parlamento Europeo aprueba una serie de resoluciones sobre temas conexos a la IA (ética, derechos de propiedad intelectual y responsabilidad civil). A las anteriores les seguirían otras en 2021 (el uso de la IA en el ámbito penal, sectores educativos, cultural y audiovisual). En todas ellas, se propone aprovechar las múltiples ventajas de esta tecnología imparable, garantizando principios y valores de la UE.
Con estos mimbres, la Comisión Europea presenta, en fecha 21 de abril del 2021, la propuesta de Reglamento por el que se establecen normas armonizadas en materia de Inteligencia Artificial. El texto, con un propósito de armonización máxima, redunda en que son objetivos de la UE respecto a esta tecnología: (i) lograr el liderazgo tecnológico, y (ii) garantizar que la IA se desarrolle de manera ética y confiable, conforme a los valores, principios y derechos fundamentales europeos. Alcanzar el equilibrio con estas dos pretensiones tan difícilmente conciliables, será una constante desde entonces y una máxima en el texto final (pendiente, en el día de hoy, de su publicación en el DOUE).
Para el segundo de los objetivos, no es ocioso advertir que dicho Reglamento, aunque no regula los derechos de la persona, sí los valida y refuerza, y pretende que se garantice la coherencia de este texto, con otras normas conexas. Cita al efecto: la Carta de los Derechos Fundamentales de la UE y el derecho derivado de la Unión vigente en materia de protección de datos, protección de los consumidores, no discriminación e igualdad de género. Lo que apunta a una necesaria revisión y reformulación de toda la normativa vigente que pueda verse afectada por la implementación del Reglamento y el desarrollo de la inteligencia artificial.
Este marco jurídico riguroso, complejo, de carácter básicamente técnico y administrativo, presenta un “enfoque normativo horizontal, equilibrado y proporcionado para la IA, que se limita a establecer los requisitos mínimos necesarios para subsanar los riesgos y problemas vinculados a la IA” sin obstaculizar el progreso y los beneficios que proporciona esta tecnología (exposición de motivos de la propuesta).
En el artículo 1, dentro de las disposiciones generales, se muestra cuál es el objeto del ambicioso marco regulatorio. Así, establece que el texto contiene normas armonizadas para: a) la introducción en el mercado, la puesta en servicio y la utilización de sistema de IA en la Unión; b) prohibiciones de determinadas prácticas, c) requisitos específicos para sistemas de IA de alto riesgo y obligaciones para los operadores; d) normas de transparencia; y e) normas para la introducción en el mercado de modelos de IA de uso general (artículo 1 del RIA).
Antes de proseguir con otros aspectos esenciales, es preciso señalar la definición que ofrece el Reglamento sobre IA, y que finalmente se ha alineado con la que pocos meses antes se había actualizado por la OCDE:
“Sistema de IA: un sistema basado en una máquina que está diseñado para funcionar con distintos niveles de autonomía y que puede mostrar capacidad de adaptación tras el despliegue, y que, para objetivos explícitos o implícitos, infiere de la información de entrada que recibe la manera de generar resultados de salida, como predicciones, contenidos, recomendaciones o decisiones, que pueden influir en entornos físicos o virtuales” (artículo 3.1 del RIA).
Y aunque son otras muchas las definiciones relevantes y novedosas que incorpora el artículo 3 (“operador”, “datos de entrenamiento”, “alfabetización en materia de IA”, “evaluación de la conformidad”, “modelo de IA de uso general”, o “riesgo sistémico”), conviene considerar que el legislador europeo, que promueve una IA centrada en el ser humano y fiable, ha optado por proporcionar un enfoque de los “sistema de IA” atendiendo al riesgo que representan para: “la salud, la seguridad o los derechos fundamentales consagrados en la Carta de los Derechos Fundamentales de la Unión Europea, incluidos la democracia, el Estado de Derecho y la protección del medio ambiente” (considerando 1 del RIA).
Lo anterior es más relevante de lo que parece inicialmente. Así es porque dicho enfoque determinará, que a mayores riesgos del sistema, mayores obligaciones dirigidas a los sujetos obligados, y mayores requisitos técnicos a los sistemas o modelos de IA que se introducen en el mercado de la Unión Europea.
Estos cuatro niveles de riesgo para la salud, la seguridad o los derechos fundamentales, la democracia, el Estado de Derecho y la protección del medio ambiente, determinará que se clasifiquen los sistemas de inteligencia artificial en la Unión, con base a esos potenciales riesgos y la gravedad de los mismos. Así, grosso modo, la clasificación queda como sigue:
(i) Sistemas de IA prohibidos: representan una amenaza directa a la seguridad, la privacidad y los derechos fundamentales (uso de técnicas subliminales, scoring social o el uso de sistemas de categorización biométrica de personas naturales)
(ii) Sistemas de IA de alto riesgo: pueden tener impacto esencial en los derechos fundamentales de las personas (infraestructuras críticas, educación y formación profesional, acceso a servicios públicos y privados esenciales o empleo y gestión de los trabajadores)
(iii) Sistemas de IA de riesgo limitado: deben cumplir con obligaciones de transparencia (explicabilidad y trazabilidad)
(iv) Sistemas de IA de riesgo mínimo o nulo: no están regulados específicamente (video juegos o filtros de spam)
Con todo, en junio de 2023, tras la irrupción de ChatGPT en el mercado, el Parlamento Europeo incorporó los denominados “modelos fundacionales” que encajaban en los sistemas de riesgo limitado. Finalmente, en fecha de 8 de diciembre de 2023, se alcanzó el acuerdo político sobre el texto final del Reglamento, en el que se incorporaron los ahora denominados “modelos de IA de uso general”, y de los que la inteligencia artificial generativa es el ejemplo tipo. Su regulación ha quedado plasmada en el texto, con regulación específica en cuanto a obligaciones de los proveedores y requisitos técnicos del modelo.
Tras alcanzarse el acuerdo político, el texto ha seguido perfilándose, ha pasado por el Consejo y el PE en una primera vuelta (ha sido preciso una segunda para revisarse y aprobarse), y ahora sí, parece que es inminente la publicación en las próximas semanas. Su entrada en vigor será a los veinte días de su completa publicación y su aplicación será progresiva según los casos. A grandes rasgos, procede señalar que será completamente aplicable a los veinticuatro meses de su entrada en vigor, con algunas excepciones: (i) los capítulos I y II, disposiciones generales y prácticas de IA prohibidas, se aplicarán pasados seis meses de la entrada en vigor, igual plazo para los códigos de conducta; (ii) a los nueve meses, los códigos de buenas prácticas; (iii) el capítulo III, sección 4 –sistemas de alto riesgo-, el capítulo V sobre modelos de IA de uso general, el capítulo VII sobre gobernanza y el capítulo XII de las sanciones –a excepción de las multas a proveedores de modelos de IA, del artículo 101-, se aplicará en el plazo de doce meses de la entrada en vigor; (iv) el artículo 6, apartado 1, y las obligaciones correspondientes del presente Reglamento serán aplicables a partir de los treinta y seis meses de su vigencia.
Para alcanzar la máxima eficiencia del Reglamento se establece un marco adecuado de gobernanza a escala de la Unión y de los Estados miembros, y se adoptan normas de seguimiento y vigilancia de los sistemas y modelos durante la vida de los mismos, con el propósito principal de valorar y minimizar riesgos. No faltan normas de evaluación y revisión de las listas de prácticas prohibidas o de sistemas de alto riesgo y del Reglamento en su conjunto, así cómo mecanismos sancionadores que quedan en manos de los Derechos nacionales.
[Carmen Muñoz García é Professora Titular da Faculdade de Direito da Universidade Complutense de Madrid]