Inteligencia artificial; Reglamento de IA; desarrolladores y usuarios de sistemas de IA; sanciones; ética. I. A modo de introducción
El año 2021 amaneció con la efectividad del “Brexit”, la legislación de la Unión Europea dejó de aplicarse en el Reino Unido. Asimismo, asistimos al conocido como “asalto al Capitolio”, a la investidura del Presidente Joe Biden o al cierre del Canal de Suez debido a que el Buque Evergreen de 400 metros de largo se encalló afectando a las comunicaciones comerciales de todo el planeta.
Sin embargo —los más atentos lo recordarán—, 2021 y más especialmente el mes de abril fue cuando la Comisión Europea presentó la propuesta del Reglamento de Inteligencia Artificial (LA LEY 16665/2024). Una propuesta que paulatinamente pasó por distintos hitos:
- – En diciembre de 2022, el Consejo de la Unión Europea adoptó su posición sobre el texto del RIA;
- – En junio de 2023 el Parlamento Europeo aprobó su posición sobre el RIA;
- – En diciembre de 2023, se alcanzó un acuerdo político —durante la presidencia española—, sobre el texto final del RIA entre la Comisión, el Consejo y el Parlamento;
- – También en diciembre de 2023, el RIA fue aprobado por el Parlamento Europeo;
- – En febrero de 2024, el RIA fue aprobado también por el Consejo de la Unión Europea;
- – El 13 de marzo de 2024, el Parlamento Europeo aprobó definitivamente el RIA completando de esta manera el proceso legislativo;
- – Durante la primavera de 2024, tuvo lugar la aprobación final del Consejo de la UE y,
- – El día 12 de julio de 2024 el RIA se ha publicado en el Diario Oficial de la Unión Europea. Se trata de un conjunto de 180 Considerandos —al puro estilo europeo—, 113 artículos y 13 Anexos.
- – El próximo día 1 de agosto entrará en vigor el reglamento. Cabe señalar que, sin embargo, no será hasta después de 36 meses —y en algunas circunstancias hasta finales de 2030 (antes del 31 de diciembre de 2030, el RIA será de aplicación a sistemas informáticos de Gran Magnitud establecidos en los actos jurídicos incluidos en el Anexo X del RIA y puestos en el mercado 36 meses después de la entrada en vigor del RIA)—, que el RIA será aplicado en su totalidad.
Se trata, por lo tanto, de un proceso largo durante el cual asistimos a un avance apabullante de la inteligencia artificial, especialmente aquella de tipo generativa. No sobra recordar que el primer sistema de inteligencia artificial generativa de alcance general y masivo llegó en noviembre de 2022 y esto de alguna manera influyó netamente en el RIA, que tuvo que ser adaptado a estos nuevos escenarios.
Hoy, disponemos de una norma que no necesita de transposición al ordenamiento jurídico nacional de los países miembros de la UE y que, por lo tanto, traza la hoja de ruta en materia de uso de la IA en Europa.
Ahora toca verificar su funcionamiento y, debido a que la entrada en vigor del RIA será paulatina, solo el tiempo nos dirá si es o ha sido una norma eficaz en materia de uso de sistemas de IA. Todo esto no impide hacer un breve comentario sobre las cuestiones que describen un Reglamento que sin duda tendrá un gran impacto en el ecosistema de la IA europea.
La lectura y la interpretación del RIA debe basarse en un lenguaje común. En este sentido creemos oportuno señalar la importancia que reside en el art. 3 del RIA. Las sesenta y ocho definiciones que contiene este artículo crean un verdadero “diccionario” que nos permite la comprensión profunda del contenido de un reglamento complejo.
Aquí solo señalamos tres definiciones que nos acompañarán a lo largo de este comentario y que entendemos necesarias para una más armoniosa comprensión de este estudio:
- – Sistema de IA: un sistema basado en una máquina que está diseñado para funcionar con distintos niveles de autonomía y que puede mostrar capacidad de adaptación tras el despliegue, y que, para objetivos explícitos o implícitos, infiere de la información de entrada que recibe la manera de generar resultados de salida, como predicciones, contenidos, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales;
- – Proveedor: una persona física o jurídica, autoridad pública, órgano u organismo que desarrolle un sistema de IA o un modelo de IA de uso general o para el que se desarrolle un sistema de IA o un modelo de IA de uso general y lo introduzca en el mercado o ponga en servicio el sistema de IA con su propio nombre o marca, previo pago o gratuitamente;
- – Representante autorizado: una persona física o jurídica ubicada o establecida en la Unión que haya recibido y aceptado el mandato por escrito de un proveedor de un sistema de IA o de un modelo de IA de uso general para cumplir las obligaciones y llevar a cabo los procedimientos establecidos en el presente Reglamento en representación de dicho proveedor.
II. ¿En qué consiste el RIA?
El RIA fue una propuesta de reglamento presentada por la Comisión Europea el 21 de abril de 2021, con el objetivo de crear un marco normativo armonizado y proporcional para la inteligencia artificial en la Unión Europea. Se basa en el principio de que la IA debe ser desarrollada y utilizada de manera segura, ética y respetuosa con los Derechos fundamentales y los valores fundacionales de la Unión Europea. Por esta razón, la propuesta prevé una clasificación de los sistemas de IA según su nivel de riesgo para la seguridad y los derechos de las personas, y establece una serie de requisitos y obligaciones para los proveedores y usuarios de dichos sistemas.
El RIA es, por lo tanto, una parte integrante de la estrategia digital de la UE, que busca promover la innovación y la competitividad en el sector de la IA, garantizando al mismo tiempo la protección de los consumidores, los trabajadores y los ciudadanos.
III. Objetivos principales del RIA
El RIA se propone alcanzar distintos objetivos, en este espacio queremos señalar especialmente:
- 1) Crear un mercado único para la IA, facilitando la libre circulación y el reconocimiento de los sistemas de IA que cumplan con las normas de la UE.
- 2) Aumentar la confianza en la IA, asegurando que los sistemas de IA sean fiables, transparentes y responsables, y que respeten los principios éticos y los Derechos fundamentales.
- 3) Prevenir y mitigar los riesgos de la IA, prohibiendo o limitando el uso de sistemas de IA que presenten un riesgo inaceptable para la seguridad, la salud, la dignidad o la autonomía de las personas, o que violen los valores democráticos.
- 4) Apoyar la innovación y la excelencia en la IA, proporcionando incentivos, financiamiento y orientaciones para el desarrollo y la implementación de sistemas de IA seguros y éticos, y promoviendo la cooperación y coordinación entre los Estados miembros, las instituciones y las partes interesadas.
IV. La clasificación de los sistemas de inteligencia artificial
Sabemos que la IA puede transformar la sociedad, la economía y el empleo introduciendo beneficios potenciales para la ciudadanía. Asimismo, la IA también puede presentar riesgos para los derechos, la seguridad y el buen funcionamiento del mercado único del Unión Europea. Para intentar equilibrar (o mitigar) estos aspectos, el RIA ha sido diseñado con un enfoque basado en el riesgo.
En este sentido, como es sabido, el marco normativo europeo prevé una clasificación de los sistemas de IA según el nivel de riesgo que presentan para las personas y la sociedad. Se trata de un riesgo relacionado con la puesta en marcha y uso de determinados sistemas de IA que deberán cumplir los estándares del RIA para poder operar en Europa y de esta manera, quizá de forma indirecta, proteger a los ciudadanos europeos. El marco regulatorio, distingue entre cuatro categorías de riesgo: inaceptable, alto, limitado y mínimo.
Esta categorización —como finalmente todo el RIA—, siempre debe ser leída e interpretada considerando los valores fundacionales de la Unión Europea, es decir, en otras palabras, según una orientación “eurocéntrica”. De lo contrario es fácil caer en comparaciones con otros países que poco se adecúan a las prioridades europeas.
Como ha sido mencionado, el RIA prevé diferentes niveles de riesgo que a continuación detallamos brevemente.
- Riesgo inaceptable: son los sistemas de IA que contradicen los valores y principios fundamentales de la UE, como el respeto a la dignidad humana, la democracia y el estado de derecho. Estos sistemas están prohibidos o, en el caso de la vigilancia biométrica en tiempo real por motivos de seguridad, sujetos a estrictas restricciones. Por ejemplo, están prohibidos los sistemas de IA que manipulan el comportamiento humano para eludir la voluntad de los usuarios o que permiten la asignación de la conocida como “puntuación social” (“social scoring”) por parte de las autoridades públicas.
- Riesgo alto: se trata de sistemas de IA que pueden tener un impacto significativo en los Derechos fundamentales o en la seguridad de las personas. Estos sistemas están sujetos a requisitos estrictos y diversas obligaciones, antes de poder ser comercializados o utilizados. Ejemplos en este sentido incluyen sistemas de IA utilizados para la selección y reclutamiento de personal, admisión en educación, prestación de servicios sociales esenciales como la salud, vigilancia biométrica a distancia (no en tiempo real), aplicaciones judiciales y policiales o gestión de la seguridad de infraestructuras críticas. Automáticamente se consideran de riesgo alto los sistemas de inteligencia artificial de uso general con potencia de cálculo superior a 1025 Flop (art. 51.2: “Se presumirá que un modelo de IA de uso general tiene capacidades de gran impacto con arreglo al apartado 1, letra a), cuando la cantidad acumulada de cálculo utilizada para su entrenamiento, medida en operaciones de coma flotante, sea superior a 1025).
- Riesgo limitado: sistemas de IA que pueden influir en los Derechos o la voluntad de los usuarios, pero en menor medida que los sistemas de alto riesgo. Estos sistemas están sujetos a requisitos de transparencia, que permiten a los usuarios ser conscientes de que interactúan con un sistema de IA y comprender sus características y limitaciones. Ejemplos incluyen sistemas de IA utilizados para generar o manipular contenido audiovisual (como deepfakes), o para proporcionar recomendaciones personalizadas (como chatbots). Existe el derecho a saber que se está hablando con un bot (en lugar de un humano) y que una imagen es creada o modificada por IA.
Es interesante este aspecto porque quizá estos sistemas son, de manera precisa, aquellos que actualmente dan mayores quebraderos de cabeza puesto que tienen la potencial capacidad de socavar precisamente los principios democráticos de la UE.
- Riesgo mínimo o nulo: sistemas de IA que no tienen impacto directo en los Derechos fundamentales o la seguridad de las personas, y que ofrecen amplias opciones y control a los usuarios. Estos sistemas están libres de cualquier obligación normativa, para fomentar la innovación y la experimentación. Ejemplos incluyen sistemas de IA utilizados para fines lúdicos (como videojuegos) o puramente estéticos (como filtros fotográficos).
Ahora bien, al margen de esta clasificación cabe señalar que ningún sistema de IA es inocente y quizá deberíamos incluir una cláusula general que obligue a identificar los riesgos ocultos y el manejo de estos sistemas. En este sentido, todos los sistemas de IA deberían estar provistos de una especie de “folleto” indicando lo siguiente:
«Este sistema de IA no es perfecto. Puede contener errores significativos y alucinaciones debidas a circunstancias multifactoriales como la desactualización de los datos de entrenamiento, fallos informáticos, intereses comerciales, sesgos por género, raza y contextos sociales. Se recomienda la supervisión humana constante de los resultados generados por el sistema. No utilice el sistema si no posee capacidades de supervisión».
V. Obligaciones y requisitos para desarrolladores y usuarios de sistemas de IA
Las obligaciones varían según el tipo de riesgo analizado anteriormente.
Los sistemas de IA de alto riesgo deben cumplir una serie de obligaciones y requisitos antes de ser comercializados o utilizados. Estos incluyen la calidad de los datos, documentación técnica, información a los usuarios, supervisión humana, robustez, seguridad y precisión. Además, los desarrolladores y usuarios de estos sistemas deben realizar una evaluación de riesgos y establecer un sistema de gestión de calidad. La conformidad con los requisitos será verificada por organismos independientes, que podrán emitir o retirar los certificados correspondientes. Los desarrolladores y usuarios de sistemas de IA de alto riesgo también estarán sujetos a obligaciones de registro, trazabilidad y reporte.
En el caso de los sistemas de IA de riesgo limitado, deben cumplir requisitos de transparencia, comunicando a los usuarios que interactúan con un sistema de IA y proporcionándoles información relevante sobre sus características y limitaciones. Esto permitirá a los usuarios ejercer su derecho a elegir si confiar o no en el sistema de IA y entender las posibles consecuencias de sus decisiones. Los desarrolladores y usuarios de estos sistemas deben garantizar que la información proporcionada sea clara, comprensible y accesible.
Los sistemas de IA de riesgo mínimo o nulo no están sujetos a obligaciones normativas específicas, sin embargo, deben cumplir con las leyes y regulaciones generales aplicables a la IA, como las relativas a la protección de datos personales, competencia, responsabilidad civil o derechos del consumidor.
VI. Promoción de un desarrollo responsable de la IA
El RIA tiene como objetivo promover el desarrollo responsable y sostenible de la IA en la Unión Europea, en línea precisamente con los valores y principios fundamentales de la UE. Para alcanzar este objetivo, que puede resultar muy ambicioso, el RIA prevé diversas medidas de apoyo a la innovación, entre ellas:
- – Creación de un marco normativo armonizado y proporcional para la IA, que reduzca la fragmentación del mercado interno, aumente la confianza de los usuarios e inversores, y favorezca la competitividad global de la UE en el sector de la IA;
- – Apoyo a la investigación y la innovación en IA, mediante el financiamiento de proyectos e iniciativas centrados en la calidad, el impacto social, la interdisciplinariedad y la colaboración transnacional. En particular, la RIA busca incentivar el desarrollo de una IA de excelencia, centrada en el ser humano y respetuosa de los Derechos fundamentales.
- – Difusión de mejores prácticas y conocimientos sobre IA, mediante la creación de centros de competencia, prueba e innovación, que ofrezcan servicios de apoyo, formación, consultoría y orientación a desarrolladores y usuarios de sistemas de IA, especialmente a pequeñas y medianas empresas y a las Administraciones públicas.
- – Como es sabido, se estable un Comité europeo para la IA, compuesto por expertos independientes, que asistirán a la Comisión Europea y a los Estados miembros en la implementación, seguimiento y actualización del RIA, así como en la formulación de recomendaciones y opiniones sobre la evolución y los desafíos que plantea la IA.
VII. Hacia la protección de los derechos como garantía de la seguridad y la ética de la IA
El RIA tiene la finalidad de garantizar la seguridad y la ética de la IA en el ámbito europeo, protegiendo entonces los derechos y los intereses de las personas y organizaciones que se puedan ver afectadas. El alcance de este objetivo está sujeto a la previsión de ciertas medidas entre las cuales se incluyen:
- – La definición de una serie de requisitos y obligaciones para los sistemas de IA de alto riesgo, que aseguren el respeto de los Derechos fundamentales, como el Derecho a la dignidad, la no discriminación, la privacidad, la protección de los datos, la libertad de expresión e información, el proceso justo y la presunción de inocencia;
- – La previsión de mecanismos de supervisión humana adecuados y eficaces, que permitan a las personas monitorear, controlar e intervenir en los sistemas de IA, con el fin de prevenir o corregir eventuales efectos negativos o perjudiciales sobre el ser humano o el medio ambiente;
- – La introducción de una prohibición o restricción para los sistemas de IA que presenten un riesgo inaceptable, es decir, que violen los valores y principios fundamentales de la UE, como los sistemas de IA que manipulan el comportamiento humano, las opiniones o las decisiones, o que explotan las vulnerabilidades de las personas;
- – La institución de un sistema de gobernanza eficaz y armonizado para la IA, que involucre a todas las partes interesadas, incluidas las autoridades nacionales competentes, la Comisión Europea, el comité europeo para la IA, los organismos de certificación, los proveedores y usuarios de sistemas de IA, y la sociedad civil. Este escenario prevé la cooperación, la coordinación, el monitoreo, la revisión, la información, la consultoría, la inspección, la acción correctiva y sancionadora.
- – La promoción de una cultura de IA responsable y consciente, que fomente la participación, el diálogo, la transparencia, la responsabilidad y la educación de los desarrolladores, usuarios y ciudadanos de sistemas de IA, con el fin de reforzar la confianza, el respeto y la aceptación social de la IA.
VIII. El régimen sancionador y la entrada en vigor del RIA
Como no podía ser de otra manera, el RIA prevé un sistema de sanciones en caso de violación de las disposiciones previstas (Capítulo XII, arts. 99 y ss.) Las sanciones pueden variar según la gravedad y la naturaleza de la infracción, y son proporcionales al tamaño y a la facturación del operador económico responsable. Según el mismo RIA establece, las sanciones pueden incluir:
- – Advertencias o amonestaciones por parte de las autoridades nacionales competentes, con la posibilidad de adoptar medidas correctivas;
- – Multas de hasta 35 millones de euros o el 7% del volumen de negocios anual total a nivel mundial del ejercicio financiero anterior (lo que sea más alto) para violaciones relacionadas con prácticas prohibidas o incumplimiento de requisitos sobre datos.
- – Multas de hasta 15 millones de euros o el 3% del volumen de negocios anual total a nivel mundial del ejercicio financiero anterior por el incumplimiento de cualquier otro requisito u obligación del reglamento, incluida la violación de normas sobre modelos de IA de uso general;
- – Multas de hasta 7,5 millones de euros o el 1,5% del volumen de negocios anual total a nivel mundial del ejercicio anterior por proporcionar información inexacta, incompleta o engañosa a organismos y autoridades nacionales competentes en respuesta a una solicitud.
Solo a título de información, deseamos señalar que, según los datos reportados el pasado mes de febrero de 2024 por el Financial Times, OpenAi, en 2023, facturó a nivel mundial 1.875 millones de euros (2.000 millones de dólares). La envergadura de las posibles multas —sobre todo a las big tech— no parecen representar un verdadero detractor.
IX. Destinatarios del RIA
Muy brevemente, el reglamento se aplicará a:
- – Los proveedores de sistemas de IA (tanto públicos como privados) que comercialicen o pongan en servicio sistemas de IA en la UE, independientemente de dónde estén establecidos;
- – Los proveedores situados en un tercer país, siempre que el resultado producido por el sistema de IA se utilice en Europa;
- – Los operadores con sede o situados en la UE, así como aquellos en un tercer país, cuando el resultado producido por el sistema de IA se utilice en Europa;
- – Otros componentes de la cadena de valor de la IA, como importadores, distribuidores, fabricantes y representantes autorizados.
X. Las excepciones de la aplicación del RIA
El mismo artículo 2.3 enumera los ámbitos excluidos del perímetro del RIA. Salvo los sectores que no entren en el ámbito de aplicación del derecho europeo, el reglamento no se aplicará a los sistemas de IA para fines militares, de defensa o de seguridad nacional, a aquellos para fines de investigación y desarrollo científico, o a aquellos lanzados con licencias libres y de código abierto (salvo que exista un riesgo).
También queda excluida del ámbito de aplicación de las nuevas normas la actividad de investigación, prueba y desarrollo relacionada con sistemas de inteligencia artificial. Además, existe la denominada "household exemption" aplicable a los operadores personas físicas que utilizan sistemas de IA durante una actividad no profesional puramente personal. Aquí también se retoma un principio y un mecanismo similar al previsto por el GDPR (LA LEY 6637/2016).
XI. Unas conclusiones
Desde el próximo 1 de agosto de 2024, día de entrada en vigor del RIA, comienza una de las etapas más complejas en materia de IA: la aplicación e implementación del RIA. Las normas por si solas no identifican el remedio definitivo. Es necesaria la ejecución práctica de lo que señalan. En este sentido, cabe preguntarse si los operadores de la UE están preparados para entender el alcance del reglamento y posteriormente aplicarlo a su propio ecosistema. La tarea no es fácil y son muy pocas las organizaciones que han incorporado profesionales que tengan conocimientos jurídicos especializados en estas materias y que podrían sin duda colaborar en este proceso de adaptación.
No se trata de establecer si el RIA “es bueno o es malo”, se trata de aplicarlo, se trata de aplicar una normativa compleja, sobre una materia novedosa y que introduce nuevos retos tecnológico-jurídicos con una rapidez abrumadora.
Las Administraciones públicas —la mayoría de ellas— se encuentran en una posición de desventaja estratégica. Las fórmulas burocráticas y jerárquicas que las dominan pueden representar el caldo de cultivo que aboga a mayores dificultades en la implementación del RIA.
Disponemos de un Reglamento que se esfuerza por dotar a la unión de los países europeos de una regulación que podrá ser criticada, positiva y negativamente, pero que se suma a un ordenamiento jurídico que debe estar al paso con la continua transformación digital (véase por ejemplo el Reglamento de Servicios Digitales, así como el Convenio Marco del Consejo de Europa sobre inteligencia artificial, derechos humanos, democracia y Estado de Derecho).
Creo sinceramente que ahora deberán ser los juristas especializados en derecho tecnológico quienes tendrán que asumir el protagonismo de la fase de estudio, control y aplicación del RIA.
Asimismo, entramos también en la etapa de la difusión entre la ciudadanía. Las personas siguen desconociendo el alcance —en ocasiones la existencia— del RIA [véase: “El gran límite de la Ley de Inteligencia Artificial de la UE (LA LEY 16665/2024): la desconexión con la ciudadanía” en https://t.ly/D6F2M]
Es necesario acercar el RIA a las personas y no viceversa.