Volver a página de inicio

I. Introducción

La emergencia de la Inteligencia Artificial (IA) ha provocado un revuelo tecnológico y social a nivel global. Con sus amplias capacidades y aplicaciones, la IA ha despertado tanto entusiasmo como preocupación. Europa, al identificar las vastas posibilidades y desafíos de esta tecnología, ha decidido tomar medidas proactivas. La Ley de la IA de la UE (1) representa un intento ambicioso por regular esta tecnología emergente, manteniendo un equilibrio entre la protección del consumidor y la promoción de la innovación. Esta iniciativa, todavía en discusión, está llamada a redefinir el paisaje regulatorio en relación a la IA.

II. Hacia un nuevo horizonte regulatorio

El proceso de formalización de la normativa de la IA en Europa está en marcha. Las principales instituciones europeas están en intensas deliberaciones para perfilar el acta. Si bien se han alcanzado acuerdos en algunas disposiciones, otras, especialmente las más polémicas, siguen en discusión.

La urgencia subyacente en estas negociaciones tiene dos vertientes fundamentales. Primero, Europa desea ser pionera en establecer una regulación integral de la IA, aspirando a lo que se ha denominado el «Efecto Bruselas» en la regulación de la IA (2) . Y segundo, las próximas elecciones de la UE podrían modificar la balanza de poder en las instituciones, lo que podría amenazar la adopción del acta tal y como está concebida ahora.

Si bien la ambición de la UE de ser el primer bloque en regular la IA de forma integral es admirable, esta prisa puede ser peligrosa. Sacar una legislación apresuradamente para adelantarse a otros o para alinearse con un calendario político puede resultar en omisiones o errores en la regulación. La referencia al «Efecto Bruselas» y las próximas elecciones de la UE son indicativos de factores políticos y de reputación que, aunque importantes, no deberían eclipsar la necesidad de una legislación exhaustiva y reflexiva.

III. Cronograma y transición

Se espera que la Ley de IA de la UE culmine su proceso legislativo antes de finalizar el año. Esta prisa tiene sus razones. Por un lado, las instituciones europeas desean posicionarse como pioneras en la regulación integral de la IA, apuntando a lo que se ha denominado el «Efecto Bruselas» en la regulación de la IA. Por otro lado, las inminentes elecciones en la UE podrían modificar la correlación de fuerzas institucionales, lo que podría retrasar o alterar la propuesta actual.

Respecto al periodo de adaptación, surge la discusión sobre su duración. Se contempla otorgar un lapso de 2 o incluso 3 años antes de la entrada en vigor del Acta, similar al periodo otorgado para el RGPD. Esta pausa permitiría a las empresas e instituciones adaptarse a las nuevas normativas.

En efecto, es esencial ofrecer un periodo de adaptación, pero la determinación de su duración debe ser estratégica. Mientras que un periodo de gracia más largo puede parecer beneficioso para las empresas, también puede generar incertidumbre y retrasar la adopción y cumplimiento de las regulaciones. Es crucial que la duración del periodo de gracia esté respaldada por un análisis detallado de las necesidades y capacidades de la industria.

IV. El Pacto de IA

Durante este periodo de gracia, no se espera que las industrias se queden inactivas. La Comisión Europea busca colaborar con los principales actores industriales para implementar la Ley de IA. Esta iniciativa, conocida como «Pacto de IA» (3) , tiene como objetivo preparar al sector para una implementación temprana de la ley, aunque aún se desconocen detalles específicos de su contenido y alcance.

Mientras que la colaboración entre la Comisión de la UE y las principales empresas de la industria suena prometedora, la falta de detalles concretos sobre lo que implicaría este «Pacto de IA» es preocupante. Es esencial garantizar la transparencia y evitar que las grandes corporaciones tengan influencia desmedida sobre cómo se implementa la regulación.

V. Avances y retos del trílogo (4)

Kai Zenner, líder de la oficina para Axel Voss, quien trabaja estrechamente en la Ley de Inteligencia Artificial de la UE, ofreció noticias sobre el Trílogo (5) . Informó que ciertas secciones de esta ley han obtenido el visto bueno, lo que implica que tres primordiales entidades europeas concordaron en ciertos puntos del texto. Entre lo ratificado, encontramos los deberes de quienes proveen sistemas con gran potencial de riesgo, evaluaciones de estándares y cumplimiento, y sanciones. Aún no se han abordado aspectos como las definiciones y preámbulos.

Hay elementos aún en el aire, como la catalogación de sistemas con riesgo y el modo en que se regula la Inteligencia Artificial generativa. Tras revisar las conversaciones post propuesta inicial de la Comisión, esperamos que el documento final varíe considerablemente, con aportes novedosos del Consejo y el Parlamento. Es raro que el Parlamento modifique tanto una propuesta inicial de la Comisión.

Las entidades encargadas de notificar tienen que cumplir ciertos criterios organizativos y de supervisión, de acuerdo al Artículo 30 de esta ley. Las entidades de protección de datos de la UE podrían ser las encargadas bajo esta ley, pero hay desacuerdos en este nivel. Hay dudas sobre si están capacitadas para esta tarea. Aunque el Artículo 30 ya fue ratificado, no se sabe con certeza cómo quedó redactado.

VI. Enfoque y naturaleza del reglamento

Contrario a lo que muchos podrían pensar, la Ley de IA de la UE no se orienta tanto hacia la seguridad del producto, sino más hacia la protección del consumidor. Esta dirección ha generado críticas, principalmente bajo el argumento de que podría frenar la innovación en el ámbito de la IA.

La decisión de centrarse en la protección del consumidor en lugar de en la seguridad del producto es una elección interesante. Si bien proteger al consumidor es esencial, puede surgir una crítica válida si tal enfoque termina sofocando la innovación o no aborda adecuadamente los riesgos inherentes a los sistemas de IA en sí mismos.

VII. Europa y EE. UU.: caminos divergentes

A nivel internacional, se reconoce la necesidad de cooperación para una regulación eficaz de la IA. Sin embargo, las declaraciones oficiales indican que la UE y EE. UU. tienen visiones distintas en cuanto a la regulación de la IA. La estandarización podría ser clave para encontrar puntos en común entre ambas regiones.

La adopción de enfoques diferentes por parte de la UE y EE.UU. puede complicar la cooperación internacional en el ámbito de la IA. Dada la naturaleza globalizada de la tecnología y la IA, es imperativo buscar puntos en común y estandarizar, en la medida de lo posible, las regulaciones.

VIII. Estándares técnicos

El proyecto de norma europea confía excesivamente en estándares. En principio, los estándares técnicos o de calidad, como los emitidos por organismos como la ISO (Organización Internacional de Normalización), no tienen fuerza de ley en sí mismos. Sin embargo, su adopción amplia y su uso en contratos, regulaciones y prácticas comerciales les otorgan un carácter normativo (Shelton, D. (2000). Law, Non-Law and the Problem of Soft Law. Commitment and Compliance). Es esta naturaleza semi-reguladora lo que lleva a considerarlos, en muchos casos, como ejemplos de soft law.

Ahora bien, esta clasificación no viene sin sus propias ventajas y desafíos. Por un lado, la flexibilidad intrínseca de los estándares permite su adaptabilidad a cambios tecnológicos y de mercado, lo que es esencial en un mundo en constante evolución. Además, el hecho de que suelen ser creados por expertos en campos específicos garantiza un enfoque técnico y especializado, lo que en muchos casos supera la capacidad del marco legislativo tradicional. Esta especialización, sumada a la adhesión a estándares reconocidos internacionalmente, es vista por muchas empresas como una señal de calidad, un distintivo que otorga confiabilidad ante los ojos del consumidor.

La coexistencia de diversos organismos emisores puede generar normas solapadas o, incluso, contradictorias. A ello se suma el riesgo de «captura» de estas normativas por actores poderosos, lo que podría llevar a la creación de estándares que prioricen intereses comerciales específicos por encima del interés público.

Estas preocupaciones nos llevan a una reflexión profunda: ¿estamos presenciando una huida del Derecho tradicional? Algunos académicos y profesionales sostienen que la creciente dependencia de los estándares y otras formas de soft law podría estar erosionando la legitimidad y el imperio del marco jurídico tradicional, favoreciendo regulaciones más flexibles pero potencialmente, menos transparentes y equitativas.

IX. Interés en la GRC de IA

Dadas las ambigüedades actuales, la industria muestra un creciente interés en herramientas de evaluación de riesgos y cumplimiento (GRC o Gobernanza, Riesgo y Cumplimiento). La propuesta de Ley de IA de la UE está cambiando el panorama regulatorio, y las organizaciones deben actuar con previsión para asegurar su cumplimiento.

En este punto conviene destacar la importancia de las auditorías de IA. Un ejemplo pionero es la Ley Local 144 de Nueva York (6) , que exige controles de sesgo en herramientas de decisión laboral automatizadas en la Ciudad de Nueva York. Esta regulación, referida comúnmente como la Ley de Control de Sesgo de NYC, se concentra en prevenir desigualdades derivadas de factores como la raza y el género. Aunque su ámbito es específico, puede ser el inicio de futuras legislaciones más amplias y aplicables a otras áreas.

La auditoría de IA se define como el análisis y la verificación de la seguridad, legalidad y ética de un algoritmo. Un examen completo revisaría desde la justificación del caso de negocio hasta el equipo de desarrollo y las bases de datos de prueba. El propósito principal de auditar la IA es identificar riesgos tanto en su funcionamiento técnico como en su estructura de gobernanza, y proponer soluciones.

El proceso de auditoría tiene varias fases:

• 1. Clasificación: se documenta el sistema y se determina su nivel de riesgo, que varía según su uso y tipo.
• 2. Evaluación: se revisa el sistema en base a cinco criterios: eficacia, robustez, sesgo, explicabilidad y privacidad algorítmica.
• 3. Mitigación: tras evaluar, se proponen medidas para reducir los riesgos detectados.
• 4. Garantía: se confirma que el sistema cumple con estándares, prácticas o regulaciones preestablecidos.

Auditar sistemas de IA aporta múltiples beneficios, entre ellos, adaptarse a la cambiante normativa sobre IA, facilitar la adquisición y adaptación de proveedores de IA, y prevenir problemas de sesgo o daños futuros. Es recomendable empezar este proceso en cualquier fase del ciclo de vida del sistema.

La auditoría de IA se alinea intrínsecamente con los principios GRC. La gobernanza se refiere a cómo se gestionan y supervisan las operaciones y actividades de una entidad. Al auditar la IA, se establece un marco para garantizar que los sistemas de IA se utilicen de manera ética y responsable, abordando aspectos clave de la gobernanza. El riesgo se trata de identificar, evaluar y priorizar incertidumbres. El proceso de auditoría identifica y evalúa los riesgos asociados con la IA, desde sesgos hasta problemas de privacidad y seguridad. Finalmente, el cumplimiento implica asegurarse de que la entidad cumpla con las regulaciones y leyes externas. Las auditorías de IA, como la requerida por la Ley Local 144 de NYC, aseguran que las entidades cumplan con las regulaciones establecidas, evitando sanciones y reforzando la confianza del público.

X. Conclusiones

Primero.- La Ley de IA de la UE refleja la determinación de Europa de establecer un marco regulatorio en torno a la tecnología de IA. Su enfoque en la protección del consumidor, más que en la seguridad del producto, evidencia una preferencia hacia la tutela de los derechos del individuo, aunque esto podría generar críticas relacionadas con la posible inhibición de la innovación.

Segundo.- La urgencia por establecer regulaciones en Europa está motivada tanto por el deseo de liderazgo en el ámbito internacional («Efecto Bruselas») como por consideraciones políticas internas, como las próximas elecciones de la UE. Sin embargo, la rapidez no debe comprometer la calidad y exhaustividad de la regulación.

Tercero.- La colaboración entre la Comisión Europea y las principales empresas, a través del «Pacto de IA», es un indicativo de la búsqueda de un equilibrio entre regulación y fomento de la industria. No obstante, es vital garantizar transparencia y evitar que intereses corporativos predominen sobre el interés general.

Cuarto.- Los avances y retos del trílogo muestran que, si bien se han logrado consensos en algunos puntos, aún existen áreas de la ley que requieren discusión y consenso, evidenciando la complejidad y relevancia de la regulación.

Quinto.- La dependencia del proyecto de norma europea en estándares técnicos, a pesar de su flexibilidad y adaptabilidad, plantea cuestiones sobre la legitimidad y transparencia del marco jurídico tradicional.

Sexto.- La creciente importancia de herramientas de GRC en la IA destaca la necesidad de evaluaciones rigurosas y constantes de los sistemas de IA para garantizar su seguridad, ética y legalidad.

Séptimo.- Las divergencias en las visiones regulatorias entre la UE y EE. UU. sobre la IA ponen de manifiesto la necesidad de esfuerzos cooperativos a nivel internacional para garantizar una regulación coherente y efectiva en el contexto global.

Octavo.- La auditoría de sistemas de IA se presenta como una herramienta esencial para garantizar la ética, seguridad y cumplimiento de estos sistemas, subrayando la alineación intrínseca con los principios de Gobernanza, Riesgo y Cumplimiento (GRC).

XI. Bibliografía

• • Abbott, K. W., & Snidal, D. (2000). Hard and Soft Law in International Governance. International Organization, 54(3).
• • Bradford, A. (2012). Making the Bologna Process Global: A model, market, and muted convergence in teaching and learning norms. Comparative Education Review, 56(4), 637-660.
• • Bradford, A. (2017). «The Brussels Effect in the Asian Century? The Bologna Process and Asia-Europe Interregionalism». Journal of Contemporary European Research, 13(4), 1309-1325.
• • Shelton, D. (2000). Law, Non-Law and the Problem of Soft Law. Commitment and Compliance.
• • Scott, J. (2014). «The Geopolitics of Regulation: The Domestic and International Politics of European Law». Current Legal Problems, 67(1), 1-48.
• • Krisch, N. (2005). The Pluralism of Global Administrative Law. European Journal of International Law, 17(1).
• • Kingsbury, B., Krisch, N., & Stewart, R. (2005). The emergence of global administrative law. Law and Contemporary Problems, 68(3-4).