Carlos B Fernández. El complejo proceso de elaboración del Reglamento Europeo de Inteligencia Artificial (IA), continúa su tramitación en el Parlamento Europeo encaminándose a una votación crucial que permita adoptar una posición común para poder entablar las negociaciones tripartitas con el Consejo y la Comisión (los denominados trílogos).
Según informa Luca Bertuzzi en Euractiv, los debates internos sobre el texto se han prolongado más de lo previsto debido a las luchas políticas internas en el Parlamento, que dieron lugar a una codirección de los debates entre las comisiones de Mercado Interior y Protección del Consumidor (IMCO) y Libertades Civiles (LIBE). Recordemos que el 15 de marzo de 2022 ambas comisiones presentaron sendos informes, no exactamente coincidentes, sobre la propuesta de la Comisión.
De esta manera, el próximo 26 de abril ambas comisiones parlamentarias deben ultimar su posición para poder entablar rápidamente negociaciones con el Consejo y la Comisión de la UE en los llamados diálogos a tres bandas.
Al debate se llega con muchas cuestiones resueltas pero algunas críticas aún abiertas, lo que, según indica Bertuzzi, citando fuentes parlamentarias, podría dar lugar a que se presentasen algunas enmiendas alternativas.
En este contexto, además, la relevancia alcanzada por ChatGPT ha concentrado buena parte de los debates.
IA de propósito general y ChatGPT
En efecto, el auge estelar de ChatGPT, ha perturbado los debates sobre la propuesta de Reglamento, ya que los parlamentarios se han apresurado a considerar una tecnología que avanza a una velocidad vertiginosa y que no está contemplada en la propuesta original.
En este sentido, la propuesta aprobada por el Consejo de la UE a comienzos de diciembre pasado, incluyó una nueva categoría de sistemas de IA, denominada Sistemas de IA de propósito general (GPIA, por su abreviatura en inglés), en la que se incluyen aquellos sistemas de IA que --independientemente de cómo se comercialice o pongan en servicio, incluso como software de código abierto--, están destinados por el proveedor para realizar funciones de ámbito general, como el reconocimiento de imágenes y de voz, la generación de audio y vídeo, la detección de patrones, la respuesta a preguntas, la traducción y otras. Es decir, un sistema de IA de propósito general puede utilizarse en una pluralidad de contextos e integrarse en una pluralidad de otros sistemas de IA.
Precisamente, uno de los interrogantes ahora debatidos en el Parlamento es si estos grandes modelos lingüísticos (LLM) en los que se basan las tecnologías como ChatGPT, pueden integrarse en esta categoría.
Por ello, los coponentes del Parlamento Europeo, Dragoș Tudorache y Brando Benifei, compartieron el pasado 14 de marzo un primer borrador sobre este delicado tema, proponiendo algunas obligaciones para los proveedores de este tipo de modelos de IA y responsabilidades para los diferentes actores económicos implicados.
Según Euractiv, esta propuesta especifica que los sistemas de IA desarrollados para un conjunto limitado de aplicaciones que no pueden adaptarse a una amplia gama de tareas, como componentes, módulos o sistemas simples de IA polivalente, no deben considerarse sistemas de IA de propósito general.
Obligaciones para los proveedores de sistemas de IA de propósito general
Los coponentes han planteado que los proveedores de estos sistemas cumplan algunos de los requisitos inicialmente previstos para las soluciones de IA con más probabilidades de causar daños significativos, independientemente del canal de distribución y de si el sistema se suministra como autónomo o integrado en un sistema mayor.
Los modelos de IA que generen textos basados en indicaciones humanas que puedan confundirse con contenidos auténticos de origen humano deben estar sujetos a las mismas obligaciones de gobernanza de datos y transparencia que los sistemas de alto riesgo, a menos que alguien sea legalmente responsable del texto.
En concreto, se propone que el diseño, las pruebas y el análisis de las soluciones de propósito general deben ajustarse a los requisitos de gestión de riesgos de la normativa para proteger la seguridad de las personas, los derechos fundamentales y los valores de la UE, entre otras cosas documentando los riesgos no mitigables.
Además, los conjuntos de datos que alimentan estos grandes modelos lingüísticos deben seguir medidas adecuadas de gobernanza de datos, como la evaluación de su pertinencia, idoneidad y posibles sesgos, la identificación de posibles deficiencias y las medidas de mitigación relativas.
Además, a lo largo de su ciclo de vida, ChatGPT y similares tendrán que someterse a auditorías externas que comprueben su rendimiento, previsibilidad, interpretabilidad, corregibilidad, seguridad y ciberseguridad, en línea con los requisitos más estrictos de la propuesta de Reglamento de IA.
A este respecto, los legisladores proponen introducir un nuevo artículo que ordena que las autoridades europeas y la Oficina de la IA desarrollen conjuntamente con socios internacionales orientaciones y capacidades rentables para medir y evaluar comparativamente los aspectos de cumplimiento de los sistemas de IA, y en particular de los sistemas de propósito general.
Además, los proveedores de un modelo GPAI tendrían que registrarlo en la base de datos de la UE. Del mismo modo, tendrían que cumplir los requisitos de gestión de la calidad y documentación técnica que los proveedores de IA de alto riesgo y seguir el mismo procedimiento de evaluación de la conformidad.
Responsabilidades a lo largo de la cadena de valor
Los legisladores de la UE han reelaborado también un párrafo del preámbulo del texto sobre las responsabilidades de los agentes económicos a lo largo de la cadena de valor de la IA y lo han incluido en la parte obligatoria del texto.
En concreto, el compromiso establece que cualquier tercero, como un distribuidor, importador o implantador de IA, será considerado proveedor de un sistema de alto riesgo (con las obligaciones correspondientes) si modifica sustancialmente un sistema de IA, incluido uno de propósito general.
En estos casos, el proveedor de un sistema GPAI original tendrá que ayudar al nuevo proveedor, en particular facilitando la documentación técnica necesaria, las capacidades pertinentes y el acceso técnico para cumplir el Reglamento sobre IA sin comprometer información sensible desde el punto de vista comercial.
A este respecto, se ha introducido un nuevo anexo en el que se enumeran ejemplos de información que los proveedores de propósito general deben conceder a los operadores posteriores en relación con obligaciones específicas previstas en el Reglamento, como la gestión de riesgos, la gobernanza de los datos, la transparencia, la supervisión humana, la gestión de la calidad, la precisión, la solidez y la ciberseguridad.
Por ejemplo, para ayudar al operador económico intermedio a cumplir los requisitos de gestión de riesgos previstos en el Reglamento, el anexo pide al proveedor de un sistema de IA de propósito general que comparta información sobre las capacidades y limitaciones del sistema, las instrucciones de uso, los resultados de las pruebas de rendimiento y las medidas de mitigación de riesgos.
Esta es quizá la cuestión política más importante que sigue abierta. Un posible compromiso debatido la semana pasada consistía en imponer obligaciones más estrictas a los modelos de fundación como ChatGPT, sobre todo con requisitos estrictos de gestión de riesgos y calidad y auditorías externas.
Sin embargo, el centro-derecha está presionando para adaptar mejor estos requisitos a la especificidad de esta tecnología. Mientras tanto, lo que algunos denominan "verdadera" IA de propósito general, que puede adaptarse a múltiples fines, se encamina hacia un régimen algo menos estricto.
Quienes introduzcan modificaciones sustanciales en los modelos serán responsables de cumplir las normas de la IA. Aun así, los proveedores de sistema de propósito general tendrían que apoyar este esfuerzo de cumplimiento facilitando información no sensible desde el punto de vista comercial.
Definición de IA
La definición de Inteligencia Artificial fue uno de los principales escollos políticos, ya que define el alcance mismo de la legislación.
En una concesión significativa al Partido Popular Europeo (PPE), de centro-derecha, la definición se alineó con la de la OCDE.
En este sentido, la definición propuesta por la OCDE en 2019 se refiere a aquellos “sistemas basados en máquinas, capaces de influir en su entorno por medio de la producción de un resultado (como predicciones, recomendaciones o decisiones) para un conjunto determinado de objetivos. Para ello, utiliza datos y entradas basados en máquinas y/o humanos para percibir entornos reales y/o virtuales; abstraer estas percepciones en modelos mediante análisis de forma automatizada (por ejemplo, con aprendizaje automático), o manual; y utilizar la inferencia de modelos para formular opciones de resultados. Los sistemas de IA están diseñados para funcionar con distintos niveles de autonomía”.
Según Euractiv, la definición acordada por los parlamentarios europeos se refiere a aquellos sistemas basados en máquinas diseñados para operar con distintos niveles de autonomía y que pueden, ante unos objetivos explícitos o implícitos, generar resultados tales como predicciones, recomendaciones o decisiones que influyan en entornos físicos o virtuales.
Como puede apreciarse, salvo la referencia a la noción de sistema "basado en máquinas", esta definición coincide en gran medida con la de la OCDE y se corresponde con un añadido incorporado al preámbulo del texto, que pide que la definición de IA esté "estrechamente alineada con el trabajo de las organizaciones internacionales que trabajan en inteligencia artificial para garantizar la seguridad jurídica, la armonización y una amplia aceptación".
Prácticas prohibidas
La propuesta de Reglamento de IA prohíbe algunas aplicaciones tecnológicas consideradas de riesgo inaceptable, como las técnicas subliminales que explotan la vulnerabilidad de una persona, aunque en este caso se introdujo una excepción con fines terapéuticos.
Uno de los temas candentes a este respecto es el de cómo tratar los sistemas de reconocimiento biométrico. Los eurodiputados progresistas abogaron por una prohibición total, mientras que los legisladores conservadores querían mantener esta tecnología disponible para circunstancias excepcionales como ataques terroristas y secuestros.
El término medio se encontró en la prohibición del uso de software de reconocimiento facial en tiempo real, pero permitiéndolo ex post como aplicación de alto riesgo. Sin embargo, es probable que este acuerdo se ponga a prueba durante el pleno.
Además, y a petición de los parlamentarios de centro-izquierda, la lista de prácticas prohibidas se ha ampliado significativamente para incluir la categorización biométrica, la policía predictiva y las bases de datos de reconocimiento facial basadas en el scaping indiscriminado, según la controvertida empresa Clearview AI.
Una cuestión abierta es si el reconocimiento de emociones también debería prohibirse con una excepción médica, un punto que el centro-izquierda espera obtener como parte del paquete de medidas.
La prohibición del scoring social se amplió a las empresas privadas.
Categorías de alto riesgo
En la propuesta original, todos los modelos de IA incluidos en determinados ámbitos de aplicación específicos, como el policial, se clasificaban automáticamente como de alto riesgo.
Ahora ese automatismo se ha eliminado, ya que sólo se han añadido los modelos de IA que suponen un riesgo para la salud, la seguridad y los derechos fundamentales de las personas. Esta disposición cuenta con la fuerte oposición de grupos como Los Verdes y La Izquierda, para los que se han añadido algunas salvaguardas adicionales.
Al mismo tiempo, los eurodiputados progresistas obtuvieron una lista más amplia de aplicaciones de alto riesgo, ampliándolas a la categorización e identificación biométrica, las falsificaciones profundas (Deep fakes) y el texto generado por IA, excepto cuando exista responsabilidad editorial.
Además, se han ampliado los casos de uso en el ámbito del empleo, la educación, el control de la migración y las infraestructuras críticas.
Obligaciones en relación con los sistemas de alto riesgo
Siempre según Euractiv, en una reciente reunión política se acordaron importantes modificaciones de las obligaciones de los proveedores de alto riesgo. Entre ellas figuran las obligaciones de gestión de riesgos y presentación de informes, la transparencia sobre la finalidad original de los conjuntos de datos de formación, el mantenimiento de registros más estrictos y la transparencia sobre el consumo energético del modelo.
Todos los usuarios de sistemas de alto riesgo tendrán que realizar una evaluación de impacto para considerar su posible repercusión en los derechos fundamentales del afectado.
Además, las autoridades públicas y las empresas tecnológicas clasificadas como gatekeepers en virtud de la Ley de Mercados Digitales que utilicen IA de alto riesgo tendrán que registrarse en una base de datos pública a escala de la UE junto con cualquier otro usuario que desee registrarse voluntariamente.
Cláusulas contractuales abusivas
Los principales legisladores también propusieron introducir un nuevo artículo que impida a todos los proveedores imponer unilateralmente cláusulas contractuales abusivas a las PYME por utilizar o integrar herramientas en un sistema de alto riesgo. En caso contrario, los contratos se considerarán nulos.
"Una cláusula contractual es abusiva si es de tal naturaleza que su uso se aparta manifiestamente de las buenas prácticas comerciales en el suministro de herramientas, servicios, componentes o procesos que se utilicen o integren en un sistema de IA de alto riesgo, en contra de la buena fe y la lealtad negocial", reza el texto.
Otra práctica que se considera desleal es que el contrato traslade las penalizaciones o las costas procesales derivadas del incumplimiento de la normativa.
Ejecución y gobernanza
El capítulo de aplicación y gobernanza sigue abierto. La cuestión es si la Oficina de Inteligencia Artificial, un nuevo organismo de la UE, tendrá un papel puramente coordinador o algunas competencias de ejecución en casos transfronterizos, para los que no está claro de dónde saldrán los recursos.