La Inteligencia Artificial (IA) ha evolucionado drásticamente en los últimos años y, sobre todo, en los últimos meses; ChatGPT es sin duda uno de los principales ejemplos de los constantes cambios que pueden introducirse en la IA para perfeccionarla, y en pocos meses ya ha tenido varias actualizaciones. Sin embargo, estos avances conllevan algunos inconvenientes, especialmente desde el punto de vista normativo. Esto se debe, principalmente, a la ya manida consecuencia de que la regulación vaya siempre por detrás de la tecnología y, por lo tanto, no es sencillo promulgar normas lo suficientemente flexibles y clarificadoras al mismo tiempo como para proporcionar seguridad jurídica a desarrolladores, implementadores y usuarios.
En este sentido, el pasado 14 de junio marcó una fecha clave para la regulación de la IA. El Parlamento Europeo adoptó su posición sobre el texto final del Reglamento de Inteligencia Artificial (Ley de IA). Se trata de un hito relevante, ya que sería la primera regulación de la IA en la historia y, muy previsiblemente, traerá consigo el llamado «efecto Bruselas», influenciando otras leyes fuera de la UE, similar al del Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016).
En general, los cambios introducidos en esta última versión se refieren sobre todo a la ampliación del ámbito de aplicación de la Ley de IA, la introducción de nuevas definiciones útiles y relevantes, el desarrollo de nuevos principios como la transparencia y la no discriminación y algunos cambios también en la configuración del régimen sancionador.
En lo que respecta al ámbito de aplicación de la Ley de IA, tras las modificaciones incluidas, serán considerados sujetos obligados los implementadores (y no sólo los proveedores) de sistemas de IA, siempre y cuando el resultado producido por el sistema de IA esté destinado a ser utilizado en la Unión, o cuando dichos implementadores estén establecidos en la Unión (independientemente del lugar en el que se utilice el sistema de IA). Asimismo, se han introducido cambios para que la Ley de IA sea de aplicación también a los importadores y distribuidores de sistemas de IA, así como a los representantes autorizados de los proveedores de sistemas de IA, cuando dichos importadores, distribuidores o representantes autorizados tengan su establecimiento o estén situados en la Unión.
Otro cambio relevante que merece la pena mencionar es la inclusión de nuevas definiciones de términos relevantes como, entre otros, «riesgo», «riesgo significativo», «identificación biométrica», «verificación biométrica», «deep fake», «regulatory sandbox», «infraestructura crítica», «puntuación social» y «comportamiento social». Se trata de una adición necesaria ya que estos términos se utilizan con profusión en la Ley de IA y, por tanto, disponer de una definición clara de lo que se considera y no se considera como tal aporta, sin duda, más seguridad jurídica. Aun así, pueden surgir problemas en el futuro cada vez que se desplieguen nuevos sistemas de IA, ya que dichas definiciones podrían quedar en poco tiempo obsoletas.
Una cuestión controvertida que ha sido negociada y desarrollada durante los últimos meses es la definición definitiva de los sistemas de IA prohibidos. En este sentido, la normativa sigue un criterio basado en el riesgo y, por tanto, se considera que es necesario ampliar el listado de sistemas de IA prohibidos para incluir algunos ejemplos de finalidades de uso de la IA que pueden llegar a considerarse intrusivos y discriminatorios. En este sentido y entre otros, se considerarían como tales los sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público, los sistemas de identificación biométrica remota «a posteriori» (con la única excepción de las fuerzas de seguridad para la persecución de delitos graves y sólo previa autorización judicial) y los sistemas de reconocimiento de emociones en los servicios policiales, la gestión de fronteras, el lugar de trabajo y las instituciones educativas.
No obstante, la Ley de IA también dejará cierto margen de elasticidad, ya que no todas las prácticas se considerarán como prohibidas. En este sentido, se han introducido cambios relevantes en los requisitos que se aplicarán a los sistemas de IA de alto riesgo, que estarán sujetos a un deber de notificación a la autoridad nacional de supervisión, en el que se deberá motivar que dicho sistema de IA no se considera como prohibido. La autoridad nacional de supervisión revisará y responderá a la notificación en un plazo de 3 meses si considera que el sistema de IA está mal clasificado. En tal caso, el proveedor podría además ser sancionado en caso de haber procedido a su comercialización antes del fin de dicho plazo de objeción.
Por otro lado, una de las cuestiones que sin duda ha sido objeto de debate es la necesidad de garantizar transparencia hacia los usuarios, algo que hoy en día sigue echándose en falta por la percepción común de que muchas veces las IA operan de forma opaca hacia el usuario. En este sentido, el texto actual de la Ley de IA se centra en la necesidad de informar a los usuarios, entre otras cosas, del hecho de que están expuestos a sistemas de IA —salvo que resulte obvio por las circunstancias y el contexto de uso—, de si existe supervisión humana, de quién es responsable del proceso de toma de decisiones, así como de sus derechos a oponerse a que se les apliquen dichos sistemas y a recurrir judicialmente contra las decisiones adoptadas por los sistemas de IA o los daños causados por ellos, incluido su derecho a pedir explicaciones. Dicha información se tendrá que facilitar de manera pertinente, clara e inteligible. Sin embargo, los sistemas de IA autorizados por la ley para detectar, prevenir, investigar y perseguir delitos penales no tendrán que proporcionar dicha información, salvo que estén a disposición del público para denunciar un delito penal. Parece que la exigencia de la mayor transparencia posible en cuanto al racional detrás de la toma de decisiones de los sistemas de IA va a acabar imponiéndose, por lo que las empresas involucradas probablemente tendrán que implementar certificaciones o estándares que les permitan cumplir con los requisitos mínimos de transparencia hacia terceros, procurando también la protección de sus secretos empresariales.
Uno de los casos de uso en los que la transparencia hacia el usuario tiene relevancia y que se recoge en la Ley de IA es el uso de sistemas de reconocimiento de emociones / categorización biométrica y deep fakes. En el primer caso, cuando dichos sistemas de reconocimiento de emociones / categorización biométrica no estén prohibidos de conformidad la Ley de IA, los usuarios deberán ser informados sobre el funcionamiento de éstos y tendrán que dar su consentimiento antes de que se lleguen a tratar sus datos biométricos y otros datos personales, de conformidad con el RGPD. Por otro lado, en el caso de los deep fakes, dichos sistemas de IA deberán revelar que el contenido ha sido generado o manipulado artificialmente, así como, siempre que sea posible, el nombre de la persona física o jurídica que lo ha generado o manipulado. Dicha revelación se hará mediante el etiquetado de los contenidos de forma claramente visible, gracias a los cuales se informarán a los usuarios y destinatarios del hecho de que los contenidos no son auténticos. La única excepción será para aquellos casos en los que el uso de dicho sistema de IA esté autorizado por ley o sea necesario para el ejercicio del derecho a la libertad de expresión y del derecho a la libertad de las artes y las ciencias. Cuando los contenidos formen parte de una obra o programa creativo, satírico, artístico o de ficción cinematográfica, visual de videojuegos y análogos, estas obligaciones de transparencia se limitarán a revelar la existencia de dichos contenidos generados o manipulados de forma adecuada, clara y visible que no dificulte la visualización de la obra y a revelar los derechos de autor aplicables, en su caso. Asimismo, estas obligaciones no impedirán que las autoridades policiales y judiciales utilicen sistemas de inteligencia artificial destinados a detectar falsificaciones profundas y a prevenir, investigar y perseguir los delitos relacionados con su uso.
Si lo anterior llegara a ocurrir y a respetarse, la difusión de noticias falsas que se derivan de la creación de deep fakes podría verse limitada, aunque lo primero que viene a la mente es hasta qué punto la autoridad supervisora podrá en la práctica involucrarse para la persecución de este tipo de prácticas. Es más, es previsible que en muchos casos será difícil identificar e incluso llegar a los creadores de tales deep fakes, ya que la obligación de identificar al autor se aplicaría «siempre y cuando sea posible». En este caso, tal vez la única posibilidad sería la inclusión de «firmas» ya incorporadas en tales sistemas (como marcas de agua, quizá de menor dimensión), con lo que iría vinculada a tal divulgación y se podría localizar fácilmente al creador.
Por último, aunque no por orden de importancia, en materia de sanciones se han incluido cambios interesantes y relevantes. En este sentido, en lugar de tres niveles diferentes de sanciones en función de la gravedad de la infracción, la versión final incorpora cuatro. Las sanciones más elevadas serán de hasta 40 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 7% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, en caso de incumplimiento del artículo 5 (sistemas de IA prohibidos). Por otra parte, se han establecido multas «intermedias» de 20 millones de euros o de hasta el 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, y de hasta 10 millones de euros o de hasta el 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, para el caso de incumplimiento del sistema de IA o del modelo de fundación de las normas incluidas en los artículos 5, 10 y 13. Por último, se han propuesto multas más bajas, de 5 millones de euros o de hasta el 1% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, por facilitar información incorrecta, incompleta o engañosa a organismos o autoridades nacionales competentes en respuesta a una solicitud.
Ahora solamente queda por ver como seguirán las negociaciones y los cambios que han llegado para quedarse. Lo que sí está más claro es que contamos ya con un texto muy avanzado y, con suerte, a finales de este 2023 podríamos contar ya con un una Ley ad hoc para la IA.