Human rights and Artificial Intelligence: International Public Order in Cyberspace in the European AI Act

1. El orden público internacional en el ciberespacio
1.1. El ciberespacio
La idea del “ciberespacio” es una metáfora feliz, que surgió en la imaginación literaria de la ciencia ficción[1], y terminó por trasladarse a la jerga técnica y a la jurídica, llegando a justificar para algunos la exclusión de las actividades que en él se desarrollan del ámbito de competencia de las normas nacionales[2]. El 8 de febrero de 1996, John Perry Barlow presentó en Davos, Suiza, la “Declaración de independencia del ciberespacio”[3], como una contestación a la Ley de telecomunicaciones de los EEUU, precisamente de 8 de febrero de1996[4]. Era una expresión del anarquismo tecnológico, queriendo desligar el “espacio” electrónico de cualquier Derecho estatal.
Pero se debe resaltar, como contrapartida, que, en realidad, el ciberespacio no es otra cosa que un espacio virtual y un “mercado” que se ve regulado por las normas propias de un mercado transnacional, con toda su pluralidad característica, de normas nacionales, normas internacionales, normas del Derecho de la integración regional, como las de la Unión Europea, usos y prácticas de los operadores del comercio internacional, etc.[5]. No existe, pues, un vacío jurídico, sino tan solo la necesidad de adaptación de las reglas generales a los caracteres específicos del nuevo entorno tecnológico[6]. 
 
 
1.2. El orden público en el ciberespacio
El orden público constituye el conjunto de normas que recogen los principios básicos y fundamentales de un ordenamiento jurídico. De modo general, históricamente, en la concepción de Savigny, se centraban muy especialmente, aunque no sólo, en las normas penales. Sin embargo, desde hace 60 o 70 años se ha ido identificando paulatinamente con las normas constitucionales, y especialmente con los derechos y libertades fundamentales. Los criterios tradicionales de conexión de las normas de orden público con un Estado han sido criterios territoriales, como sucede aún hoy generalmente con las normas penales. Pero sucede también el fenómeno de la extraterritorialidad de las normas de orden público, de las normas imperativas o normas de aplicación inmediata o necesaria.
¿Y qué sucede con el ciberespacio? Que posee determinados caracteres que desafían la realidad analógica, la realidad convencional, como son[7]: 1) Se trata de un medio electrónico o digital, condicionado tecnológicamente, al que se accede a través de un terminal informático, como es un ordenador conectado a la red o un teléfono móvil[8]; 2) En segundo lugar, es un espacio deslocalizado (el “ciberespacio”), de modo que, a priori, no se pueden identificar con inequívoca seguridad las vinculaciones territoriales de los distintos elementos que lo componen (la localización de los operadores, por ejemplo)[9]; 3) En tercer lugar, estamos ante un medio desmaterializado, que impide la transmisión de efectos materiales como el papel (o las monedas)[10]; 4) En cuarto lugar, el medio usual (Internet) es una red abierta con participantes heterogéneos (consumidores y empresas), sometidos a regímenes jurídicos diferenciados[11]; 5) En quinto lugar, el intercambio no pasa por controles fronterizos geográficos, de modo que el Estado tiene dificultades para establecer un control y una supervisión de las operaciones que se realizan desde su territorio[12]; 6) En sexto lugar, la interconexión permite relaciones directas que posibilitan la eliminación de los intermediarios tradicionales, aunque en realidad lo que se produce es una reducción y un cambio de los intermediarios (aparecen ahora proveedores de acceso, prestadores de servicios de certificación, entidades de dinero electrónico, etc.)[13]; 7) En séptimo lugar, como consecuencia, lo que surgen son nuevos riesgos de manipulación de terceros[14]; 8) Y, finalmente, en octavo lugar, las transacciones se desarrollan de forma mucho más rápida, con una drástica reducción del tiempo (son operaciones instantáneas, cuya velocidad depende de la efectividad del conducto electrónico y no de la lejanía o proximidad de los operadores jurídicos)[15].
Todos estos caracteres del mundo digital alteran el funcionamiento del orden público, pues se rompe la tradicional territorialidad, así como la materialidad del mundo analógico y se imposibilita el control físico transfronterizo. El orden público siempre exige la existencia de criterios de conexión, generalmente de carácter territorial, pero también extraterritorial, como muestran asuntos como el caso Licra/Yahoo, con Francia y Estados Unidos[16]; el caso Wikileaks[17], el caso Megaupload[18], los más recientes casos Telegram, con España[19] y Francia[20], o el caso Twiter/X con Brasil[21].
En la Unión Europea, la Directiva 2000/31/CE, de 8 de junio de 2000, sobre servicios de la sociedad de la información, ya estableció un criterio de base en el establecimiento del prestador de servicios, sobre el que se fijaba todo el eje de articulación de la Directiva, a través del principio de país de origen, de su artículo 3[22], la también llamada cláusula de Mercado interior[23]. La regla general se establecía sobre la base de la aplicación de las normas de orden público de forma territorial, la aplicación de las normas de cada Estado, así como el control de sus autoridades, sobre los operadores jurídicos establecidos en su territorio[24]. 
Veintidós años después, el Reglamento UE 2022/2065, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica precisamente la Directiva citada, 2000/31/CE, llamado Reglamento de Servicios Digitales[25], establece en su artículo 3, apartado e), la conexión de un prestador de servicios intermediarios con la Unión para que se pueda entender que el mismo posee una “conexión sustancial con la Unión”. En primer lugar, se parte del mantenimiento de la cláusula de Mercado interior, pues como en la Directiva2000/31/CE, el Reglamento parte en primer lugar de que esa conexión va a ser resultante “de su establecimiento en la Unión”. Pero no se queda ahí, pues incorpora nuevas conexiones “territoriales”, al establecer nuevos criterios de conexión que llama “criterios fácticos específicos”, y que van a afectar a prestadores de servicios digitales no establecidos en la Unión, siempre y cuando haya “un número significativo de destinatarios del servicio en uno o varios Estados miembros en relación con su población”, o bien “que se dirijan actividades hacia uno o varios Estados miembros”. De modo que va más allá del control territorial por el Estado del establecimiento del prestador, al alcanzar a los prestadores cuyos destinatarios, en un número significativo estén en uno o más Estados de la UE, o que dirijan sus actividades hacia uno o varios Estados miembros. Se trata de una conexión territorial, no del prestador del servicio, sino del servicio mismo con los destinatarios o la dirección de las actividades, lo que dota a las normas del reglamento de una aplicación “extraterritorial” a prestadores de servicios no establecidos en la Unión Europea. Tómese en consideración, como ha puesto de relieve De Miguel Asensio, que el Reglamento no se refiere a todos los prestadores de servicios en la red, sino solamente a los prestadores de servicios digitales[26]. El Reglamento establece obligaciones que deben considerarse exigencias de orden público dirigidas a los prestadores de servicios digitales[27].
 
 
2. El Reglamento Europeo de Inteligencia Artificial
2.1. La inteligencia artificial y sus fantasmas
Sin pretender ser exhaustivo, la forma actual de presencia de la inteligencia artificial (IA) y sus últimos desarrollos tecnológicos, con los riesgos que éstos provocan, han suscitado la alarma. Un autor como José María Lassalle, desde la Filosofía del Derecho, lo ha planteado con claridad meridiana: 
“Hay un punto inquietante, sí. Parece que es una cierta contradicción vincular civilización a humanidad y artificial a un componente inauténtico con respecto a lo humano. Esa es la tensión que acompaña a la reflexión que propongo: una confrontación entre la autenticidad humana y la inautenticidad a la que puede conducir al ser humano la convivencia con realidades inmersivas gestionadas por la IA”[28].
Le inteligencia artificial trae a nuestro presente un mito eterno de la humanidad, que se ha concretado en diversas figuras y personajes a lo largo de la historia: así, el mito del autómata en Grecia, representado por Talos y mencionado por Apolonio en las Argonáuticas[29], el mito judío del Golem[30], el mito del aprendiz de brujo, recogido en la balada de Goethe[31], los autómatas de Leonardo da Vinci, renovados en el Barroco[32], o el mito de Frankenstein[33] y, en un pasado próximo, Blade Runner[34]. A lo largo de la historia ha sido un temor humano, el de la criatura creada por su mano que se revuelve y cambia la relación de poder. Desde el punto de vista filosófico, la inteligencia artificial trae al presente trabajos como el de Günther Anders, La obsolescencia del hombre, ya que la IA, al perseguir superar al hombre, proyecta su obsolescencia, su pérdida de valor por “antigualla”[35]. Al decir de Eric Sadin, las nuevas herramientas tecnológicas son capaces de llevar a cabo una mutación antropológica, de forma que la inteligencia artificial “modificará la naturaleza del ser humano”[36].
Pero también otros autores como Yuval Noah Harari han dado la voz de alarma: “Ahora la inteligencia artificial podría hacer posible la creación de regímenes de vigilancia total que aniquilarían la privacidad. En un país de IA, no se necesitan agentes humanos para seguir a todos los humanos”[37]. En ese sentido, las distopías totalitarias imaginadas en el siglo XX, para conjurarlas, como Un mundo feliz, de Aldous Huxley, o 1984, de George Orwell, por mencionar las más relevantes, tienen hoy instrumentos tecnológicos a su mano para su realización.
 
2.2. El Reglamento Europeo de Inteligencia Artificial y la lógica del mercado interior
La Unión Europea, ante la realidad del inmediato desafío de la IA, decidió poner en marcha su regulación[38]. ¿En qué sentido? El primer considerando del preámbulo del Reglamento de Inteligencia Artificial (RIA)[39] resulta manifiestamente claro en cuanto a la finalidad regulatoria y la lógica en el contexto del Mercado interior:
“El objetivo del presente Reglamento es mejorar el funcionamiento del mercado interior mediante el establecimiento de un marco jurídico uniforme, en particular para el desarrollo, la introducción en el mercado, la puesta en servicio y la utilización de sistemas de inteligencia artificial”.
El RIA responde a la lógica del funcionamiento del Mercado interior, sobre la base de la libre circulación de los factores productivos y la exigencia de libre competencia de los operadores comerciales. Esa lógica se impone como criterio fundamental hermenéutico de todas las normas del Reglamento, por encima de otras consideraciones, lo que explica que muchas de las normas no sean normas de obligado cumplimiento y que se desplace a los operadores comerciales el cumplimiento de determinadas exigencias a través de compromisos voluntarios de autoadhesión a través de códigos de conducta facultativos y códigos de buenas prácticas[40]. Como se ha dicho, “el Reglamento de IA es esencialmente una norma de seguridad de producto”, por lo que “sus reglas se basan, principalmente, en un sistema de evaluación de la conformidad, acreditación y vigilancia del mercado propio del denominado Nuevo Marco Legislativo”[41].
Tras ese primer considerando mencionado, numerosísimos considerandos del preámbulo (hasta cuarenta) harán referencia a una finalidad tuitiva del Reglamento respecto de los derechos fundamentales[42] que, sin embargo, como muestra Sáez Hurtado en un reciente trabajo, no se traduce en normas jurídicas que lleven a la práctica esa teórica pretensión de forma plenamente efectiva[43]. Pese a esa enunciación de su función protectora, de actuación como un verdadero orden público europeo, al modo de lo planteado por autores como Basedow, Fallon, Picheral o Struycken[44], las normas utilizadas como medio pueden no satisfacer esa saludable pretensión. Lo que se produce, desde una perspectiva semiótica, es, como diría Umberto Eco[45], una determinada artificiosidad de resultado, un efectismo kitsch[46], pues lo que se califica no se muestra ni se demuestra, no se corrobora en la regulación práctica, de modo que podríamos hablar, en términos de semiótica jurídica, de un determinado “efectismo legislativo”[47].
En todo caso, de acuerdo con el artículo 113, el reglamento entrará en vigor 20 días después de su publicación. Sin embargo, será aplicable desde el 2 de agosto de 2026, salvo los capítulos I (sobre disposiciones generales) y II (sobre prácticas de IA prohibidas), que se aplicarán desde el 2 de febrero de 2025; la sección 4 del capítulo III (autoridades notificantes y organismos notificados), los capítulos V (modelos de IA de uso general), VII (gobernanza) y XII (sanciones), y el artículo 78 (confidencialidad), que se aplicarán desde el 2 de agosto de 2025; no obstante, de la previsión anterior, se exceptúan los artículos 6, apartado 1 (sistemas de IA de alto riesgo) y 101, y las obligaciones correspondientes, que serán aplicables a partir del 2 de agosto de 2027.
 
 
2.3. El ámbito de aplicación espacial del Reglamento Europeo de Inteligencia Artificial: su extraterritorialidad
El ámbito de aplicación espacial del RIA se recoge en su artículo 2, estableciendo conexiones formalmente personales, al establecer “a quiénes” se aplicará y no “cuándo” se aplicará, de modo que ello fija una determinada aplicación extraterritorial garantizada, al afectar a las empresas no establecidas en la UE cuya actividad se dirija al territorio europeo[48]. Así, el artículo 2, en su apartado 1, dice que el Reglamento se aplicará a:
a) los proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA o que introduzcan en el mercado modelos de IA de uso general en la Unión, con independencia de si dichos proveedores están establecidos o ubicados en la Unión o en un tercer país;
b) los responsables del despliegue de sistemas de IA que estén establecidos o ubicados en la Unión;
c) los proveedores y responsables del despliegue de sistemas de IA que estén establecidos o ubicados en un tercer país,
d) los importadores y distribuidores de sistemas de IA;
e) los fabricantes de productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con su propio nombre o marca;
f) los representantes autorizados de los proveedores que no estén establecidos en la Unión;
g) las personas afectadas que estén ubicadas en la Unión.
 
La cláusula Mercado interior a la que nos referimos con anterioridad, al hablar de la Directiva 2000/31/CE y del Reglamento UE 2022/2065, se aplica en todo caso, pues las normas van a afectar a los operadores establecidos en la Unión Europea, pero se establece la extensión extraterritorialmente de la aplicación a los supuestos de operadores no establecidos en la UE cuando: i) los proveedores “introduzcan en el mercado o pongan en servicio sistemas de IA” o “introduzcan en el mercado modelos de IA de uso general en la Unión”; ii) los proveedores y responsables no establecidos en la UE sean responsables del despliegue de sistemas de IA en la Unión y los resultados de salida generados por el sistema de IA se utilicen en la Unión; iii) sean importadores y distribuidores de sistemas de IA en la Unión; sean representantes autorizados de los proveedores que no estén establecidos en la Unión; o también cuando las personas afectadas que estén ubicadas en la Unión.
Como se puede observar, como decíamos más arriba, el RIA establece conexiones personales (a quiénes se aplica), más que conexiones objetivas (“cuándo se aplica”), lo que se refuerza con la significativa excepción personal del apartado 10 del artículo 2, respecto de las personas físicas que la utilicen la IA de modo no profesional:
“El presente Reglamento no se aplicará a las obligaciones de los responsables del despliegue que sean personas físicas que utilicen sistemas de IA en el ejercicio de una actividad puramente personal de carácter no profesional”.
Desde el carácter tuitivo de las normas que afirman lo diferentes considerandos, resulta un contrasentido, pues el efecto nocivo y lesivo sobre los bienes jurídicos necesitados de protección, como los derechos fundamentales y sobre otros intereses dignos de protección, se producirá con independencia de la finalidad comercial o no de su uso, y sin embargo el RIA los excluye de su ámbito de aplicación.
 
 
2.4. La normatividad de la regulación del RIA sobre los diferentes supuestos de IA
El RIA establece cuatro categorías de IA, dotando a cada de ellas de un diferente régimen jurídico y de una normatividad distinta, en el sentido de la exigibilidad y obligatoriedad de las soluciones establecidas. Estas categorías son “riesgo inaceptable”, “alto riesgo”, “riesgo limitado” y “riesgo mínimo”. Del carácter obligatorio o no de sus normas se debe desprender si la regulación establece o no verdaderas normas de orden público que desempeñen la función protectora de los derechos fundamentales y del resto de intereses generales objetivamente necesitados de protección[49]. Y ello porque las normas de orden público, las normas de policía, poseen siempre un carácter obligatorio e imperativo con plena coactividad sobre los operadores jurídicos. Así, el RIA va a establecer un conjunto de obligaciones y de requisitos tanto para los desarrolladores como para los usuarios de sistemas de IA. Estas exigencias se van a organizar en función de una categorización que se establece sobre el presunto nivel de riesgo que representan las aplicaciones de IA, y que tal y como hemos señalado son: “riesgo inaceptable” (artículo 5), “alto riesgo” (Capítulo III, artículos 6 a 49), “riesgo moderado” (artículo 50) y “riesgo mínimo”. En cualquier caso, el RIA se basa en la existencia de normas técnicas armonizadas, y con la previsión de que una evaluación de la autoconformidad a través de ellas, otorga una presunción de conformidad si el operador las ha seguido[50].
El artículo 5 establece, por su “riesgo inaceptable”, un conjunto de prácticas de IA objetivamente prohibidas, al entrar en colisión con principios y derechos fundamentales[51]. Así, se prohíben categóricamente las técnicas de IA subliminales, deliberadamente manipuladoras o engañosas; las técnicas de IA que exploten alguna de las vulnerabilidades de una persona física o un determinado colectivo de personas derivadas de su edad o discapacidad, etc.; los sistemas de IA utilizados para evaluar o clasificar a personas físicas o a colectivos de personas durante un período determinado de tiempo atendiendo a su comportamiento social o a características personales o de su personalidad; los sistemas de IA que creen o amplíen bases de datos de reconocimiento facial; los sistemas de IA para inferir las emociones de una persona física en los lugares de trabajo y en los centros educativos; los sistemas de categorización biométrica que clasifiquen individualmente a las personas físicas sobre la base de sus datos biométricos para deducir o inferir su raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, vida sexual -u orientación sexual-; el uso de sistemas de identificación biométrica remota “en tiempo real” en espacios de acceso público con fines de garantía del cumplimiento del Derecho, salvo y en la medida en que dicho uso sea estrictamente necesario para alcanzar uno o varios objetivos tasados con precisión. Su entrada en vigor está prevista para febrero de 2025. En España, el organismo que debe actuar en estos casos es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), un organismo público del mercado, recientemente creado. Durante los primeros seis meses realizará una actividad de apercibimiento. Las sanciones que posteriormente deberá imponer en caso de infracción podrán llegar a los 35 millones de euros o al 7% de la facturación media anual del operador. En estos supuestos, que requerirían un estudio mucho más exhaustivo que el que aquí realizamos, sí podemos afirmar que estamos ante verdaderas normas de orden público de obligado cumplimiento, que impiden su incorporación al mercado y su utilización, si bien, hay que resaltar su alcance material limitado.
Los supuestos relativos al “alto riesgo” se regulan en el Capítulo III, artículos 6 a 49, y vienen recogidos en el Anexo III, al que se hace remisión en la norma del artículo 6[52]. Son veintiséis supuestos, organizados en ocho sectores de actividad. Hacen referencia a supuestos relativos a infraestructuras críticas (como la energía y el transporte, en los que los sistemas de IA podrían llegar a poner en riesgo la vida o la salud de las personas); la educación y la formación profesional (sistemas que determinan el acceso a la educación o la carrera profesional de las personas); el uso de IA para la gestión del empleo y de los trabajadores (uso de IA en los procesos de contratación en la evaluación de desempeño y en la terminación de los contratos); determinados servicios esenciales, como la banca y los servicios públicos (donde si se producen errores en los sistemas de IA, se podrían dañar de modo muy relevante intereses básicos de los ciudadanos). En los casos de sistemas considerados de “alto riesgo”, se establecen determinadas obligaciones a los desarrolladores y usuarios de los sistemas de IA: deben registrarse como gestores de IA de alto riesgo y serán verificados por el ente nacional, en España, la AESIA; deben tener procedimientos de protección de datos y están obligados aponer en marcha un sistema de gestión de riesgos que permita identificar, analizar y mitigar los riesgos potenciales; deben mantener una documentación técnica que debe ser detallada y permitir evaluar la conformidad del sistema de IA con las exigencias del Reglamento; deben cumplir obligaciones de transparencia y suministrar información clara y comprensible sobre el funcionamiento del sistema de IA y sus límites; tienen también exigencias de supervisión humana adecuada, pues se debe garantizar que están sometidos a una supervisión adecuada de carácter humano que permita la prevención y mitigación de riesgos; finalmente se establece la obligación de llevar y mantener los registros de las operaciones del sistema de IA con el objetivo de garantizar la trazabilidad de sus decisiones. Deben tener modelos sin sesgos discriminatorios, respetar la propiedad intelectual y establecer procedimientos de formación de sus empleados. La coactividad real de las normas dependerá de la supervisión de la AESIA y de su eficacia. Las sanciones se regulan en el artículo 99.4 del RIA y se prevén en un montante de hasta 15 millones de euros y hasta un 3% de la facturación media anual del operador. Existe, por tanto, al respecto, un orden público identificable, aunque limitado, con el alcance claramente fijado en la regulación del Reglamento.
En tercer lugar, regulados en el artículo 50, se encuentran los supuestos que se consideran de “riesgo moderado o limitado”, como por ejemplo son los chatbots que estén en relación con personas o los sistemas de IA generadores de contenido[53]. Aquí es, por tanto, donde se coloca, de modo incomprensible, la IA generativa; incomprensible ya que hoy aparece como uno de los supuestos de riesgo a corto plazo[54]. El reglamento establece exigencias más limitadas, como obligaciones de establecimiento de determinadas medidas que deben garantizar la transparencia y la responsabilidad. Así, por ejemplo, deben suministrarse informaciones para que los usuarios conozcan que están interactuando con un sistema de IA, salvo que resulte evidente del contexto. Y también se debe garantizar la existencia de supervisión humana, para asegurar que una persona pueda actuar en determinadas situaciones que sean precisas, como en casos de profesionales cualificados, tales como médicos, ingenieros, arquitectos o profesionales del Derecho. En tales casos, no se establecen normas coactivas en aspectos de suma importancia, sino que se prevé el establecimiento o la adhesión a códigos de conducta voluntarios, es decir, instrumentos de Shoft Law, normas de Responsabilidad Social Empresarial, con su juego como mecanismo reputacional, sobre la base de sus efectos en el mercado[55]. Se trata de normas sin sanción jurídica propiamente dicha, sin coactividad, que carecen, en rigor, del carácter de normas de orden público. Las exigencias son por tanto limitadas, sin verdaderas obligaciones de orden público que puedan acarrear sanciones en aspectos de riesgo como lo que ofrece la IA generativa. Finalmente, la última categoría se refiere a lo casos de IA que se clasifican como de “riesgo mínimo”, que son todas las categorías no incluidas en los supuestos anteriores, donde no hay obligaciones especiales[56]. En estos casos, como también en los anteriores, sin necesidad de precisarlo, se exige cumplir las normas imperativas generales ordinarias del ordenamiento, como son las normas de protección de la propiedad intelectual, las normas de protección de datos, las reglas de confidencialidad, las normas sobre secreto empresarial, las normas de ciberseguridad, la legislación de protección de los consumidores, así como el Derecho laboral, el Derecho civil y el Derecho penal del ordenamiento.
Una regulación especial tienen los supuestos de “riesgo sistémico”, previstos en los artículos 51 y ss.[57], cuando un sistema de IA de uso general (GPAI) tenga "capacidades de gran impacto evaluadas a partir de herramientas y metodologías técnicas adecuadas, como indicadores y parámetros de referencia", por ejemplo, cuando un sistema de IA del tipo LLM (modelo de lenguaje de gran tamaño) tenga un alcance computacional que supere un umbral que pueda implicar un descontrol. Así, Soledad Antelada Toledano, ingeniera de ciberseguridad en el National Energy Rersearch Scientific Computing Center (NERSC), ha afirmado que “un riesgo sistémico es todo aquello que lleve a la posibilidad de tirar abajo un sistema por completo, haciendo que colapsen además sistemas que están interconectados entre sí, a nivel global”[58]. A los proveedores de modelos de IA de uso general (GPAI) con riesgos sistémicos se les imponen exigencias especiales de acuerdo con el artículo 56 del RIA: en primer lugar, deben realizar una evaluación de “los modelos de conformidad con protocolos y herramientas normalizados que reflejen el estado de la técnica, lo que incluye la realización y documentación de pruebas de simulación de adversarios con el modelo con vistas a detectar y mitigar riesgos sistémicos”[59]; además, los proveedores deberán evaluar y mitigar los posibles riesgos sistémicos que estén asociados al modelo de IA[60]; en tercer lugar, los proveedores deberán vigilar y documentar incidentes graves que se produzcan, con objeto de comunicarlos sin demora a la Oficina de IA y, en su caso, a las autoridades nacionales competentes, así como las posibles medidas correctivas para resolverlos[61]; finalmente, los proveedores deberán garantizar un nivel adecuado de ciberseguridad tanto para el modelo como para su infraestructura física. Las sanciones en estos casos son las genéricas y no hay sanciones específicas. Así, por ejemplo, el artículo 99.5, prevé que en el caso de que la información presentada a organismos notificados o a las autoridades nacionales competentes fuera “inexacta, incompleta o engañosa” estaría sujeta a multas para el infractor de hasta 7,5 millones de euros o, si el infractor fuera una empresa, de hasta el 1 % del volumen de negocios mundial total correspondiente al ejercicio financiero anterior, si fuera superior a la cifra anterior. De modo que hay un orden público limitado, basado en los códigos de buenas prácticas y con una obligatoriedad no siempre bien coactiva.
 
 
3. Conclusiones
Este trabajo ha perseguido hacer una primera aproximación a las normas que establece el nuevo Reglamento de la Unión Europea sobre Inteligencia Artificial, para poder determinar su funcionalidad como orden público internacional en el ciberespacio, como norma de policía, a efectos de las necesidades de protección de los derechos humanos en la materia y comprobar si podría funcionar como orden público internacional válido universalmente, en el sentido de dar una respuesta suficiente y adecuada a las exigencias de protección que pueda servir de modelo universal. Su extensión a través del llamado “efecto Bruselas” ha sido puntualmente planteada[62]. En nuestra opinión, el Reglamento de la Unión Europea sobre Inteligencia Artificial puede no ser suficiente para otorgar una protección adecuada a las necesidades de resguardar derechos humanos básicos frente a los claros riesgos que ofrece la Inteligencia Artificial generativa, de forma que, en su estadio actual, sería un modelo poco adecuado para su aplicación universal.
A propósito de la cita de Walter Benjamin que encabeza este trabajo, decía el filósofo brasileño Michäel Löwy que el “aviso de incendio” de Benjamin sigue hoy abierto[63], un aviso de incendio presente sin duda en la idea de catástrofe del tiempo del progreso que expresa en sus Tesis de filosofía de la Historia, y que “contrariamente a lo que pretende el discurso tranquilizador de la doxa actual”, la “catástrofe” es posible “a menos que…”. La condicionalidad de las previsiones de Benjamin significa que “lo peor no es inevitable” y que su “aviso de incendio” puede ser respondido. La previsión del Reglamento europeo de IA no es muy halagüeña, el Derecho siempre llega a posteriori, pero no quiere decir que siempre sea tarde, el inicio está planteado.
 
 
Bibliografía
Anders, Günther, La obsolescencia del hombre, dos tomos, Valencia, Pre-Textos, 2011
Asencio Guillén, Antonio José / Navío Barco, Julio, La génesis del ciberespacio. Una visión desde las teorías de la comunicación, Valencia, UNED, x 2017
Barlow, John Perry, “Declaración de independencia del ciberespacio”, en Periférica Internacional, nº 10, 2009, pp. 241-242
Barranco, Justo, “José María Lassalle: ‘En su ADN la inteligencia artificial busca corregir lo humano como un error’”, La Vanguardia, 14 de abril de 2024
Barrio Andrés, Moisés, “Objeto, ámbito de aplicación y sentido del Reglamento Europeo de Inteligencia Artificial”, en El Reglamento Europeo de Inteligencia Artificial (coord. Moisés Barrio Andrés), Barcelona, Tirant Lo Blanch, 2023, pp. 21-48
Basedow, Jurgen, “Recherches sur la formation de l'ordre public européen dans la jurisprudence”, en Mélanges en l'honneur de Paul Lagarde, París, Dalloz, 2005, pp. 55-74
Benyekhlef Karim, “Dematerialized Transactions on Electronic Highways: A Panorama of Legal Issues”, en D. Poulin, P. Trudel y E. Mackaay (dir.), The Electronic Superhighway, The Hague, Kluwer Law International, 1995, pp. 93-116
Berman, Paul Schiff, “Yahoo! c. LICRA, Le droit international privé et la déterritorialisation des données”, en H. Muir Watt, L. Bizkova, A. Brandao de Oliveira, D. P. Fernandez Arroyo et M. Ma (dir.), Le tournant global en droit international privé, Paris, Pedone, 2020, pp. 725-753
Bradford, Anu, The Brussels Effect: How the European Union Rules the World, Oxford, Oxford Scholarship, 2020
Cachard, Olivier, La regulation international du marché electronique, París, LGDJ, 2002
Campos, Concepción, “Reglamento (UE) 2024/1689: Las claves del Reglamento Europeo de Inteligencia Artificial”, Noticias Jurídicas, 17 de julio de 2024, <https://noticias.juridicas.com/actualidad/noticias/19399-reglamento-ue-2024-1689:-las-claves-del-reglamento-europeo-de-inteligencia-artificial-/> (14.01.2025)
Cárcova, Carlos María, Semiosis y Derecho, Buenos Aires, Astrea, 2021
Castelló Pastor, José Juan (dir.), Análisis del reglamento (UE) de servicios digitales y su interrelación con otras normas de la Unión Europea, Pamplona, Aranzadi, 2024
Castells, Manuel, La era de la información: economía, sociedad y cultura, vol. 1, Siglo XXI, Madrid, Alianza, 1999, p. 390
Castilla Barea, Margarita, “Vigilancia postcomercialización, códigos de conducta y directrices”, en El Reglamento Europeo de Inteligencia Artificial (coord. Moisés Barrio Andrés), Barcelona, Tirant Lo Blanch, 2024, pp. 138-199
Castillo, Carlos del, “Yuval Noah Harari: ‘Hay un potencial totalitario en la inteligencia artificial nunca antes visto’”, Eldiario.es, 21 de septiembre de 2024, en <https://www.eldiario.es/tecnologia/yuval-noah-harari-hay-potencial-totalitario-inteligencia-artificial-visto_1_11666055.html> (14.01.2025)
Dámaso, Javier, “José Zorrilla, Don Juan, o el elogio de la mala conciencia”, ADE teatro: Revista de la Asociación de Directores de Escena de España, nº 34, Madrid, Asociación de Directores de Escena de España, febrero de 1994, pp. 74-77
Dieryck Barrena, Manuel, “Inmersión en el problema del mito de Frankenstein”, ARIF. Análisis. Revista de investigación filosófica, vol. 10, nº 1, Zaragoza, Universidad de Zaragoza, 2023, pp. 3-21
Domouzi, Andriana / Bär, Silvio, Artificial Intelligence in Greek and Roman Epic, Londres, Bloomsbury Publishing, 2024
Ebers, Martin, “El futuro marco jurídico europeo de la inteligencia artificial”, en Persona y derecho civil, los retos del siglo XXI: (persona, género, transgénero, inteligencia artificial y animales sensibles) (coord. José Luis Argudo Périz; dir. María del Carmen Bayod López), Barcelona, Tirant Lo Blanch, 2023
Eco, Umberto, Apocalípticos e integrados en la cultura de masas, Barcelona, Lumen, 1984
Embid Irujo, José y del Val Talens, Paula, La responsabilidad social corporativa y el Derecho de sociedades de capital: entre la regulación legislativa y el soft law,1° ed., Madrid, BOE, 2016
Fallon, Marc, “Les conflits de lois et de juridictions dans un espace économique intégré. L'experience de la Cornmunauté Européenne”, RCADI, vol. 253, Leiden, Brill, 1995, pp. 9-281
Fernández Rozas, José Carlos, “La Ley de Inteligencia Artificial de la Unión Europea: un modelo para innovaciones radicales, responsables y transparentes basadas en el riesgo”, LA LEY Unión Europea, nº 124, Sección Estudios, Madrid, La Ley, Abril 2024, en <https://diariolaley.laleynext.es/la-ley-union-europea/2024/04/01/la-ley-de-inteligencia-artificial-de-la-union-europea-un-modelo-para-innovaciones-radicales-responsables-y-transparentes-basadas-en-el-riesgo> (14.01.2025)
Fernández Valentí, Tomás; y Navarro, Antonio José, Frankenstein. El mito de la vida artificial, Madrid, Nuer, 2000
Ferrero, Raúl, Autómatas y cabezas parlantes: Historia de los dispositivos que han hecho evolucionar nuestras vidas, Córdoba, Almuzara, 2023
Galarraga Gortázar, Naiara, "Brasil ordena cerrar X ante la negativa de Elon Musk a bloquear perfiles por orden del juez", El País, 30 de agosto de 2024, en <https://elpais.com/america/2024-08-30/un-juez-del-supremo-de-brasil-ordena-el-cierre-inmediato-de-x-por-negarse-a-bloquear-varias-cuentas.html> (14.01.2025)
García Herrera, Vanessa, “Panorama legislativo de la inteligencia artificial en la Unión Europea”, en La robótica y la inteligencia artificial en la nueva era de la revolución industrial 4.0 (Los desafíos jurídicos, éticos y tecnológicos de los robots inteligentes)(coord. María José Cruz Blanca, Ignacio Lledó Benito; dir. Francisco Lledó Yagüe, Ignacio F. Benítez Ortúzar, Óscar Monje Balmaseda), Madrid, Dykinson, 2021, pp. 265-302
Gibbson, William, Neuromancer, de 1983
Gigante, Alexander, “Blackhole in Cyberspace: the Legal Void in Internet”, en The John Marshall Journal of Computer and Information Law, n° XV/3, 1997, pp. 413-436
Gómez-Cotta, Carmen, “Entrevista a José María Lasalle. Estamos adentrándonos en el riesgo de la creación en sus orígenes más profundos·, en Ethic, 17 de mayo de 2024, en <https://ethic.es/2024/05/entrevista-jose-maria-lassalle/> (14.01.2025)
Granados, Óscar, “Éric Sadin, filósofo: ‘La IA modificará la naturaleza del ser humano’”, El País, 11 de noviembre de 2024, en <https://elpais.com/proyecto-tendencias/2024-11-11/eric-sadin-filosofo-la-ia-modificara-la-naturaleza-del-ser-humano.html> (14.01.2025)
Gudín Rodríguez-Magariños, Antonio Evaristo, “La retirada de contenidos ilícitos constitutivos de delito en el reglamento 2022/2065 relativo a un mercado único de servicios digitales”, REDE. Revista Española de Derecho Europeo, nº 88, Madrid, Marcial Pons, 2023, pp. 109-142
Gutiérrez Espada, Cesáreo, De la legítima defensa en el ciberespacio, Granada, Comares, 2020
Harari, Yuval Noah, Nexus: Una breve historia de las redes de información desde la Edad de Piedra hasta la IA, Madrid, Debate, 2024
Idel, Moshe, El Golem: Tradiciones mágicas y místicas del judaísmo sobre la creación de un hombre artificial, Madrid, Siruela, 2008
ISACA Madrid Chapter, “Gestionando el (ciber)riesgo sistémico. Primera jornada del IV Congreso de Auditoría & GRC de ISACA Madrid”, 15 de octubre de 2021, en <https://www.linkedin.com/pulse/gestionando-el-ciberriesgo-sist%C3%A9mico-isacamadrid/?originalSubdomain=es> (14.01.2025)
Jayme, Erik, “Le Droit international privé du nouveau millénaire: la protection de la personne humaine face à la globalisation”, RCADI, nº 282, Leiden, Brill, 2000, nº 282, Leiden, Brill, pp. 9-40
Jayme, Erik, “Zum Jahrtausendwechsel: Das Kollisionsrecht zwischen Postmoderne und Futurismus”, IPRax, 2000, pp. 165 y ss.
Jewels, Tony J. / Timbrell. Greg T., “Towards a definition of B2C & B2B e-commerce”, en ACIS 2001 Proceedings, 56, en <https://aisel.aisnet.org/acis2001/56> (14.01.2025)
Junquera, Natalia, “José María Lassalle: 'Meloni es una fascista e Italia, el laboratorio español'”, El País, 6 de junio de 2024, en <https://elpais.com/espana/2024-06-06/jose-maria-lassalle-meloni-es-una-fascista-e-italia-el-laboratorio-espanol.html> (14.01.2025)
Lasalle, José María, Civilización artificial, Barcelona, Arpa, 2024
Le Monde, “Éditorial: Affaire Telegram : un test pour l’Union européenne”, Le Monde, 26 de agosto de 2024, en <https://www.lemonde.fr/idees/article/2024/08/26/affaire-telegram-un-test-pour-l-union-europeenne_6295384_3232.html> (14.01.2025)
López-Tarruella Martínez Aurelio, “El futuro Reglamento de Inteligencia Artificial y las relaciones con terceros Estados”, Revista Electrónica de Estudios Internacionales, nº 45, Madrid, Asociación Española de Profesores de Derecho Internacional y Relaciones Internacionales, 2023
Lorentz, Francis, “Préface”, en Vivant, M., Les contrats de commerce électronique. Litec, 1999, p. VII; y Gobert, D., “Vers un cadre juridique général pour les tiers de confiance”, en Revue du Droit des Technologies de l’Information, nº 18/2004, Bruselas, Larsier, pp. 33-56
Löwy, Michäel, Walter Benjamin: Aviso de incendio, Fondo de Cultura Económica, México, 2003
Marinetti, Filippo Tommasso, Il Manifesto del Futurismo e altri scritti, Milán, Ledizioni, 2015
Mattera, Alfonso, El mercado único europeo. Sus reglas. Su funcionamiento, Madrid, Civitas, 1991
ídem, “L'article 30 du traité CEE, la jurisprudence Cassis de Dijon et le principe de la reconnaissance mutuelle”, en Revue du Marché Unique Européen, Paris, Clément Juglar, 1992, nº 4, p. 20
Miguel Asensio, Pedro A. de, “Sociedad de la información y mercado global: retos para el Derecho internacional privado”, Anuario Hispano-Luso-Americano de Derecho Internacional, nº 21, Madrid, IHLADI, 2013, pp. 75-134
Miguel Asensio, Pedro A. de, “El Reglamento (UE) de Mercados Digitales: Fundamentos, obligaciones de las plataformas y ejecución”, La Ley Unión Europea, nº 108, Madrid, La Ley, 2022
Miguel Asensio, Pedro A. de, “Obligaciones de diligencia y responsabilidad de los intermediarios: El Reglamento (UE) de Servicios Digitales”, La Ley Unión Europea, nº 109, Madrid, La Ley, 2022
Míguez Macho, Luis / Torres Carlos, Marcos R., “Sistemas de IA prohibidos y sistemas de IA de alto riesgo”, en El Reglamento Europeo de Inteligencia Artificial (coord. Moisés Barrio Andrés), Barcelona, Tirant Lo Blanch, 2024, pp. 48-86
Moretón Toquero, M. Aranzázu / Cetina Presuel, Rodrigo (coords.), El nuevo reglamento de servicios digitales de la Unión Europea: Nuevo enfoque regulatorio y garantías frente a los desórdenes informativos, Pamplona, Aranzadi, 2024
Muñoz García, Carmen, “Modelos de IA de uso general y sistemas de IA de riesgo limitado y mínimo”, en El Reglamento Europeo de Inteligencia Artificial (coord. Moisés Barrio Andrés), Barcelona, Tirant Lo Blanch, 2024, pp. 87-107
Novell, Noemí, “Frankenstein y Blade Runner. Variaciones sobre el tema de Prometeo”, Anuario de letras modernas, vol. 13, Ciudad de México, UNAM, 2005-2006, pp. 49-60
Ortega Giménez, Alfonso, “TRIBUNA: La extraterritorialidad del futuro Reglamento europeo de inteligencia artificial”, Iberley, 11 de junio de 2024, <https://www.iberley.es/revista/tribuna-extraterritorialidad-futuro-reglamento-europeo-ia-1088> (14.01.2025)
Palma Ortigosa, Adrián, “¿Quién es quién en el Reglamento Europeo de Inteligencia Artificial? Las autoridades notificantes y los organismos notificados”, Actualidad Jurídica Iberoamericana, nº 21, Barcelona, Tirant Lo Blanch, agosto de 2024, pp. 598-617
Peguera Poch, Miquel, “La propuesta de Reglamento de IA: Una intervención legislativa insoslayable en un contexto de incertidumbre”, en Peguera Poch, Miquel (coord.), Perspectivas regulatorias de la Inteligencia Artificial en la Unión Europea, Madrid, Reus, 2023, pp. 125-149
Perrino Pérez, Ángel Luis, El Derecho penal y las nuevas tecnologías. Aspectos sustantivos y procesales de la ciberdelincuencia, Córdoba, Cuniep, 2024
Picheral, Caroline, L'ordre public européen: droit communautaire et droit européen des droits de l'homme, París, La Documentation Française, 2001
PWC España, “Reglamento de Inteligencia Artificial de la UE. El Reglamento de Inteligencia Artificial de la UE es un marco jurídico para regular los sistemas de IA en todos los sectores. ¿Qué medidas pueden tomar las empresas para cumplir con la normativa?”, 2024, en <https://www.pwc.es/es/consultoria/inteligencia-artificial/reglamento-inteligencia-artificial-ue.html> (14.01.2025)
Rifkin, Jeremy, La era del acceso. La revolución de la nueva economía, Barcelona, Paidós, 2000
Rubí Puig, Antoni, “Una lectura del reglamento de inteligencia artificial desde el derecho privado”, Indret: Revista para el Análisis del Derecho, n.º 4, Barcelona, Universitat Pompeu Fabra, 2024
Sáez Hurtado, Pablo, “Análisis jurídico-filosófico en clave ‘crítica’ del fallido E.U.A.I.Act. La ‘inteligencia artificial generativa’ como nuevo marco contextual y herramienta vehiculadora óptima del ‘mal banal’ arendtiano y su afectación en los derechos humanos”, en IX Congresso Internacional de Direitos Humanos de Coimbra, vol. 9 nº 1, 2024, en <https://trabalhoscidhcoimbra.com/ojs/index.php/anaiscidhcoimbra/article/view/4208> (14.01.2025)
Saint Girons, Baldine, Lo sublime, Madrid, La balsa de la Medusa, 2008
Sadin, Eric, La vida espectral. Pensar la era del Metaverso y de las inteligencias artificiales generativas, Buenos Aires, Caja Negra, 2024
Sánchez, Luisja, “El juez Pedraz reconoce su error 72 horas después de querer cerrar Telegram y lo frena: ‘Sería excesivo y no proporcional’”, en Economistjurist, 26 de marzo de 2024, en <https://www.economistjurist.es/actualidad-juridica/el-juez-pedraz-reconoce-su-error-setenta-y-dos-horas-despues-de-querer-cerrar-telegram-y-lo-frena-seria-excesivo-y-no-proporcional/> (14.01.2025)
Scotti, Luciana B., “El impacto de Internet en el mundo jurídico: Una mirada desde el Derecho Internacional Privado”, Foro Jurídico, nº 15, 2016, pp. 178-198
Struycken, Antoon Victor Marie, “Les consequences de l'integration européenne sur le 'développement du droit international prive”,RCADI, vol. 232, Leiden, Brill, 1992, Leiden, Brill, pp. 257-383
Vicente Blanco, Dámaso F. Javier, “La Libre Circulación de Personas en la Experiencia de la Unión Europea: Ámbito de Aplicación y Derecho Aplicable”, en Economía Globalizada y Mercosur, (coord. M.A. Ciuro Caldani y A. Lattuca), Buenos Aires, Ediciones Ciudad Argentina, 1998, pp. 357-406
Vicente Blanco, Dámaso F. Javier, “Notas elementales sobre la aplicación de la crítica de arte a la investigación jurídica”, Investigación y docencia, vol. 31, Rosario, Universidad Nacional de Rosario 1998, pp. 109-118, en <https://www.cartapacio.edu.ar/ojs/index.php/iyd/article/view/814> (14.01.2025)
Vicente Blanco, Dámaso F. Javier, “Administración electrónica y regulación estatal: problemas de Derecho Internacional Privado contractual en materia de contratos electrónicos de consumo”, en Gobierno, derecho y tecnología: las actividades de los poderes públicos, coord. por Fernando Galindo Ayuda, Pamplona, Civitas, 2006, pp. 557-584
Vivant, Michel, Les contrats de commerce électronique, Paris, Litec, 1999
Wunenburger, Jean-Jacques, Antropología del imaginario, Ediciones Del Sol, 2008