Como es sabido, el fotónico avance de las tecnologías agrupadas bajo el supraconcepto (oberbegriff) de inteligencia artificial (IA) (1) ha precipitado un profundo impacto social, planteando importantes cuestiones sobre la privacidad, la justicia de los algoritmos, el control humano, la transparencia y el acceso equitativo a los beneficios de la IA, entre otras. Para gestionar estas implicaciones y dirigir el desarrollo de la IA en una dirección que se alinee con los marcos constitucionales, las normas sociales y las consideraciones éticas, la regulación jurídica ha resultado imprescindible.
Por eso, el nuevo Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (LA LEY 16665/2024) y por el que se modifican los Reglamentos (CE) n.o 300/2008 (LA LEY 3589/2008) (UE) n.o 167/2013 (LA LEY 2703/2013) (UE) n.o 168/2013 (UE) 2018/858 (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE (LA LEY 13360/2014) (UE) 2016/797 (LA LEY 8246/2016) y (UE) 2020/1828 (Reglamento de Inteligencia Artificial (LA LEY 16665/2024) o AI Act), en lo sucesivo RIA o el Reglamento a secas, que entrará en vigor el 1 de agosto, quiere garantizar que la IA se centre en el ser humano. También que sea sostenible, segura, inclusiva y fiable, y que garantice el respeto a los derechos fundamentales, la democracia, el Estado de Derecho y la sostenibilidad medioambiental.
Al mismo tiempo, el RIA tiene por objetivo impulsar la innovación y aumentar el liderazgo de la Unión Europea (UE) en este campo, sirviendo la norma como un catalizador de la industria europea. En esta dirección, cabe citar los denominados espacios controlados de pruebas (sandboxes), que brindan la posibilidad de ensayar con nuevos productos y servicios sin el temor a sanciones del regulador; ciertas facilidades de cumplimiento para las pequeñas y medianas empresas; y algunos mandatos de favorecimiento de la I+D+i por los Estados miembros y la propia Comisión Europea.
El Reglamento es técnicamente una norma muy compleja. Su proceso normativo de elaboración, especialmente su fase final, ha dejado mucho que desear
El Reglamento es técnicamente una norma muy compleja. Su proceso normativo de elaboración, especialmente su fase final, ha dejado mucho que desear. La influencia de ciertos grupos de presión ha sido innegable y ha tenido su reflejo por ejemplo en una regulación sui generis de la IA generativa.
Como ya he señalado en otro lugar, la regulación de los modelos y sistemas de IA de uso general (habitualmente denominados GPAI, los General Purpose AI sistems and models (2) , aunque la industria prefiere hablar de modelos fundacionales o «foundation models»), «consiste en insertar piezas de regulación vertical en el marco horizontal de la norma. A mi juicio, el resultado en este punto es un monstruo legal con todos los inconvenientes de los enfoques vertical y horizontal de la regulación» (3) . En efecto, las obligaciones específicas del Reglamento para los GPAI son incoherentes con el enfoque basado en el riesgo, en la medida en que regulan una determinada tecnología en lugar de riesgos concretos. Además, la categoría de «riesgo sistémico», con su umbral de operaciones en coma flotante por segundo (FLOPs), no se basa en pruebas empíricas, sino que es el resultado de un compromiso político.
En mi opinión, probablemente la parte más débil del RIA es la falta de derechos procesales fuertes para los ciudadanos. Por ejemplo, el derecho a presentar una reclamación en virtud del artículo 85 del RIA no contiene ninguna obligación correlativa de que las autoridades supervisoras respondan en un plazo determinado a la misma, ni siquiera la obligación esencial de responder a la reclamación. El precepto únicamente admite que las reclamaciones «se tendrán en cuenta a la hora de llevar a cabo actividades de vigilancia del mercado».
Afortunadamente, el Reglamento sí contiene un nuevo derecho a explicación de decisiones tomadas individualmente en su artículo 86, que colmará en parte las lagunas del derecho a una explicación previsto en el artículo 22 del Reglamento General de Protección de Datos (LA LEY 6637/2016). Ahora bien, el artículo 86 del RIA sólo exige que se proporcione una descripción superficial del sistema de IA en cuestión. Además, el Derecho de la Unión Europea o de los Estados miembros pueden establecer excepciones o restricciones a este derecho (art. 86.2 RIA).
Por tanto, los ciudadanos sólo podrán controlar el cumplimiento del Reglamento de forma limitada. Esto contrasta, por ejemplo, con el enfoque que adoptamos en la Carta española de Derechos digitales (LA LEY 16317/2021), de 14 de julio de 2021, en la que, además de un «enfoque basado en el riesgo», también propuso un «enfoque basado en los derechos». Habrá que estar atentos a la Propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la adaptación de las normas de responsabilidad civil extracontractual a la inteligencia artificial (Directiva sobre responsabilidad en materia de IA), pendiente de tramitación, que puede reforzar la posición de los ciudadanos a este respecto, al facilitar la recopilación de pruebas y la interposición de demandas contra los fabricantes, desarrolladores y usuarios de sistemas de IA arriesgados.
Otro rasgo singular del Reglamento es la indeterminación en la norma de muchos elementos decisivos, que quedan remitidos a desarrollos ulteriores. Por ejemplo, la Comisión Europea está facultada para añadir, modificar o suprimir los casos de uso de los sistemas de IA de alto riesgo del anexo III (art. 7, apartados 1 y 3, RIA) y para modificar o añadir nuevas condiciones en las que los sistemas de IA de alto riesgo del anexo III no se considerarán de alto riesgo con arreglo al artículo 6.3 del RIA (art. 6, apartados 6 y 7, RIA). Al llevarlo a cabo, la Comisión debe sopesar explícitamente los beneficios económicos y sociales de los sistemas de IA frente a los riesgos, basándose en pruebas empíricas suficientes.
Del mismo modo, la Comisión Europea puede modificar los umbrales para clasificar los modelos de IA de uso general —los modelos GPAI— como de riesgo «sistémico» (arts. 51.3 y 52.4 RIA). En consecuencia, la Comisión tiene la oportunidad de utilizar pruebas del mundo real para establecer y definir el umbral de riesgo sistémico yendo más allá de los FLOP y añadiéndolos o sustituyéndolos por nuevos criterios de referencia. Además, será de suma importancia que los códigos de buenas prácticas especifiquen claramente qué riesgos sistémicos deben evaluar y mitigar los proveedores de modelos de IA generativa de conformidad con el artículo 55.1 del RIA.
En suma, el RIA es una norma muy enrevesada y con evidentes problemas de calidad normativa. A mi juicio, muchas de las críticas están justificadas. Sin embargo, no deben olvidarse los numerosos beneficios que la legislación recién aprobada pretende aportar para la integración europea. La seguridad de cara al futuro consiste en una legislación que sea eficaz y se adapte a pesar de los cambios jurídicos, sociales y técnicos que se produzcan con el tiempo.
Sólo el tiempo dirá si el RIA ha logrado anticiparse a estos retos y ha proporcionado los mecanismos adecuados para abordarlos. Al menos, el Reglamento constituye un buen punto de partida en la creciente necesidad política de regular la IA en una amplia gama de ámbitos. Tanto si se trata de establecer condiciones para una gobernanza eficaz de la IA en el ámbito del sector público como de un marco jurídico europeo independiente para la IA en el contexto del empleo o educación y formación profesional, la regulación recién positivizada pretende un equilibrio satisfactorio entre los objetivos económicos y los derechos fundamentales de los ciudadanos.
Precisamente a aportar claridad y un análisis riguroso de todas las cuestiones que plantea el Reglamento se dirige una próxima obra, Comentarios al Reglamento Europeo de Inteligencia Artificial, editada por Aranzadi LA LEY y disponible en septiembre. Con el comentario individualizado a cada precepto del RIA presentamos el sentido, la finalidad y la función del mismo, para permitir a los operadores jurídicos y técnicos interpretar adecuadamente su contenido a través de un estudio integral que ofrece tanto una visión de conjunto, como sus concretas interpretaciones específicas.