El pasado ocho de diciembre, el Consejo y el Parlamento europeos, alcanzaron un acuerdo político sobre la propuesta de Reglamento de inteligencia artificial (IA), presentado por la Comisión en abril de 2021.
El hecho ha generado una avalancha de noticias e informaciones sobre el alcance y el significado de este acuerdo y del propio Reglamento, en muchos casos imprecisas o incompletas y, en otros, directamente erróneas.
El objeto de este artículo es aclarar algunas de tales imprecisiones sobre los mencionados acuerdos y Reglamento, y anticipar algo del posible futuro de la regulación de la IA.
Pero antes, consideramos necesario plantear a modo de prólogo, una advertencia destinada de modo especial, pero no solo, a algunos tecnólogos.
Prólogo para tecnólogos
Ante una norma con un evidente componente tecnológico que busca regular la IA, no resultará extraño que muchos profesionales de la tecnología, la informática o la ciencia de datos, piensen: “ya está aquí el triste derecho europeo, pretendiendo ‘poner puertas al campo’ del desarrollo y la innovación”.
Quizás bastaría, para desvirtuar esa idea, hacer una referencia a la Orden Ejecutiva del presidente Biden sobre la IA fiable, que abordaremos brevemente más adelante. O a que en España ya contamos con alguna normativa al respecto(1).
Pero cabe añadir algo más.
Es cierto que la norma prevé un amplio conjunto de medidas para proteger los derechos de los ciudadanos. Desde unos principios generales aplicables a todos los sistemas de IA, a la obligación, previa a la puesta en el mercado, de realizar una evaluación de impacto sobre los derechos fundamentales para los sistemas de alto riesgo (aplicable a organismos de derecho público o empresas privadas que presten servicios públicos, así como, a empresas privadas que operen sistemas de alto riesgo), pasando por la prohibición expresa de determinados sistemas que se asume plantean unos riesgos inaceptables (p. ej., sistemas de IA de reconocimiento facial en el entorno de trabajo o las instituciones educativas) o el establecimiento de numerosas condiciones para el desarrollo y puesta en funcionamiento de sistemas de IA que se consideran de alto riesgo.
No obstante, se trata de una consecuencia de la naturaleza humana. Ante algo tan novedoso y proclamadamente revolucionario como la IA, el ser humano desconfía, presiente o intuye algún modo de amenaza. Y, como siempre que se siente amenazado en su propiedad, su seguridad o sus derechos, el ser humano tiende a buscar amparo en el Derecho. Por eso el campo está parcelado por vallas, tapias y lindes que el Código Civil español articula.
En nuestro caso, aunque muchas aplicaciones de la IA resultan extraordinariamente útiles y beneficiosas, el legislador europeo es consciente de que determinados usos de la misma pueden implicar un riesgo para los derechos fundamentales, la seguridad y la salud de las personas. Y por eso incorpora límites o condiciones.
Resulta necesario hacer hincapié en el concepto de “a algunos usos”, dado que este Reglamento no pretende regular la tecnología como tal, sino solo determinados usos de la IA que llevan asociados el riesgo de que potencialmente pueden causar un daño a las personas (risk based approach). Salvando las distancias, podría considerarse algo similar a lo que sucede, en el ámbito penal, con los cuchillos de cocina, cuya fabricación y uso normal no se regula, pero sí su uso indebido como instrumento para causar un daño (2).
En este sentido, como han explicado responsables europeos, la vocación del Reglamento de IA se basa, por una parte, en lograr el mayor equilibrio posible entre el impulso de la innovación y la protección de los derechos de las personas y, por otra, en ofrecer a las empresas y los usuarios un marco de seguridad jurídica y certeza que les dote de fiabilidad cuando se propongan utilizar estos sistemas de IA.
Esta voluntad de apoyo a la innovación se evidencia en el hecho de que la propia norma excluya su aplicación, en determinados casos, como son (i) los sistemas de IA utilizados con un fin exclusivo de mera investigación e innovación, a los que únicamente les será aplicable el Reglamento cuando el desarrollo de dichos sistemas de IA haga susceptible su puesta a disposición del mercado; y (ii) a las empresas de pequeño y mediano tamaño (PYMES), que quedan en buena medida exentas de algunas de las rigurosas obligaciones previstas para las empresas más grandes.
Por otra parte, hay que tener en cuenta que el desarrollo de los grandes sistemas de IA está, en realidad, en manos de un reducido, pero muy poderoso, grupo de grandes empresas, principalmente de capital americano, véase el informe de transparencia de modelos fundacionales realizado por la Universidad de Stanford (3).
Por eso, para llegar a ser una realidad, el proyecto de Reglamento de IA presentado por la Comisión Europea en abril de 2021 ha tenido que luchar con una gran presión de esa industria, mucho más partidaria de aplicar principios “éticos” y de la autorregulación por medio de códigos de conducta, que de verse directamente obligada por una regulación. De hecho, el 66% de las reuniones que tuvieron los europarlamentarios fue con representantes de la industria y de asociaciones de comercio (4). Sin embargo, nuevamente, la realidad es la que es y resulta bien sabido que la autorregulación no solo resulta generalmente ineficiente, sino frecuentemente peligrosa para defender a quien no ha sido su autor. Cuando la rentabilidad se impone ante las buenas intenciones, empresas como Twitter/X abandonan el Código contra la Desinformación Europea (5).
Como resultado de todo ello, el Reglamento va a obligar a las empresas que desarrollen los sistemas de IA más potentes y, por tanto, previsiblemente, de alto riesgo, a invertir en la utilización de datos de calidad para entrenar estos sistemas, en dotarles de un eficaz sistema de control de riesgos, en elaborar completas documentaciones técnicas y manuales de usuario, en implementar sistemas de registro e intervención humana. Desde los sectores más críticos se argumenta que dichas obligaciones tendrán un efecto perjudicial para la industria de la IA europea, dado que se aumentarán los costes y demorarán los plazos de puesta en el mercado. No obstante, las conclusiones del estudio “EU AI Act compliance analysis: General-Purpose AI Models in Focus” (6) elaborado por The Future Society, apuntan en el sentido contrario, afirmando que los costes de cumplimiento del Reglamento de IA, a hacer frente por los proveedores de los sistemas de IA de propósito general, incluso para el conjunto más estricto de requisitos y obligaciones, serían insignificantes, a pesar haberse tomado medidas muy conservadoras.
Finalmente, hay que subrayar que el propio Reglamento actúa como actor disuasorio contra la tentación de eludir su cumplimiento, ya que cuando sea plenamente aplicable, las consecuencias económicas podrán ser muy gravosas para los infractores, con una pena máxima de 35m. de euros o el 7% de la facturación global.
Cinco aclaraciones sobre el Reglamento de IA
Tras este necesario prólogo, pasemos a las no menos necesarias precisiones.
1. Un Reglamento llamado Ley
La primera característica llamativa de esta nueva norma es que, siguiendo una costumbre iniciada recientemente en la legislación de la Unión Europea, la versión en inglés de algunos Reglamentos de amplio alcance (como el Reglamento 2022/1925, de 14 de septiembre de 2022, sobre mercados disputables y equitativos en el sector digital, o el Reglamento 2022/2065, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales), llevan incluida en su título la denominación “Act”, ley en inglés.
De esta forma, en su versión en inglés, el Reglamento 2022/1925 tiene el rango de “Regulation” (Reglamento), pero lleva en su título la denominación “Digital Markets Act” (Ley de Mercados digitales) y el Reglamento 2022/2065, también un “Regulation”, la de “Digital Services Act” (Ley de Servicios Digitales).
Y aunque la versión en español de ambas normas omite esa referencia a “Ley”, titulando coherente el nombre oficial abreviado de la norma “Reglamento de Mercados Digitales” y “Reglamento de Servicios Digitales”, es evidente que la denominación inglesa, ya sea en su versión extendida o en la abreviada (DMA o DSA, respectivamente), va a ser comúnmente utilizada.
Y algo similar ocurre con la “Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de IA y se modifican determinados actos legislativos de la unión”, cuya versión en el portal oficial de la UE, EUR-Lex, incorpora la denominación oficial de “Ley de Inteligencia artificial”, o Artificial Intelligence Act (AI Act), en inglés.
Por tanto, conviene tener en cuenta que:
• El rango oficial de esta norma es el de Reglamento de la Unión Europea;
• Pero su denominación oficial es el de “Ley de Inteligencia Artificial” (o “Artificial Intelligence Act”, en inglés);
• Por tanto, podemos llamarla indistintamente:
- Reglamento de IA
- Ley de IA
- AI Act
2. No es la primera ley reguladora de la IA
A pesar de que el Consejo de la UE tituló su primera noticia al respecto “El Consejo y el Parlamento alcanzan un acuerdo sobre las primeras normas del mundo en materia de IA”, no es exactamente así.
Además de la regulación existente en nuestro país, a la que nos hemos recibido anteriormente, el pasado mes de agosto, la República Popular China aprobó una Ley general reguladora de la IA y, en paralelo, otra regulación específica de la IA generativa.
Formalmente, ambas normas muestran una evidente inspiración en los modelos regulatorios occidentales, en particular la propuesta de Reglamento europeo de IA y la propuesta de convenio internacional sobre IA de la OCDE. Pero su sujeción, expresamente apuntada, al desarrollo del modelo de socialismo chino, con las implicaciones que ello supone sobre el respeto a los derechos humanos, evidencian las diferentes concepciones en juego.
Por otra parte, y como hemos anticipado anteriormnte, el pasado mes de octubre, el presidente de los Estados Unidos de América, Joe Biden, emitió una Orden Ejecutiva (lo más parecido, en términos nacionales, a un Decreto ley), para gestionar los riesgos de la IA.
La Executive Order on Safe, Secure, and Trustworthy Artificial Intelligence establece nuevos estándares para el desarrollo de una IA segura, la protección de la privacidad de los estadounidenses, la promoción de la equidad y los derechos civiles, la defensa de los consumidores y trabajadores, la promoción de la innovación y la competencia, promover el liderazgo estadounidense en materia de IA y garantizar el uso gubernamental responsable y eficaz de la IA.
3. La ley no se ha aprobado todavía (por eso no se dispone todavía de su texto)
Este es uno de los aspectos que más equívocos ha generado. Lo alcanzado en la noche del pasado ocho de diciembre es un acuerdo político sobre un texto que deberá ser objeto de aprobación formal posterior, tanto por el Parlamento como por el Consejo Europeo para convertirse en norma.
Es más, como consecuencia de lo reciente de ese acuerdo, el texto final de la norma no se encuentra formalmente redactado.
Como destacó a los autores de este artículo el eurodiputado español Iban García del Blanco, participante en los trílogos, en estos momentos “se está negociando el contenido técnico del acuerdo político”. Es decir, poniendo negro sobre blanco el resultado de esas negociaciones.
Para ello se han convocado para esta misma semana varios comités técnicos encargados de concretar la redacción final que procede dar a cada uno de los acuerdos alcanzados.
Seguidamente, la redacción del texto deberá ser revisada por los juristas-lingüistas del Parlamento, para asegurar: (i) que la versión “original” de la norma está redactada en un inglés correcto; (ii) que su redacción está alineada con las normas generales de redacción de la legislación de la UE (7); y (iii) que la traducción es coherente con el lenguaje jurídico de cada idioma oficial de los Estados miembros. El resultado de este proceso de orfebrería jurídica puede implicar pequeños desacuerdos entre los colegisladores, dado que la consolidación jurídica de cada término y concepto resultará esencial para cristalizar lo acordado por todas las partes.
El art. 74 apdo. 4 del Reglamento del Parlamento Europeo establece que: "La documentación que refleje el resultado del diálogo tripartito final se pondrá a disposición de la comisión competente y se publicará". Por ello, esta versión final debería publicarse antes de las reuniones de las comisiones parlamentarias de Mercado Interior (IMCO) y Libertades Civiles (LIBE), convocadas oficialmente para el lunes 22 de enero 2024 (8) y el miércoles 24 de enero 2024 (9). En principio, en estas reuniones se deberá votar el texto definitivo, emanado del acuerdo político del pasado 8 de diciembre.
Una vez aprobado por el Pleno del Parlamento y por el Consejo, el texto será publicado en el Diario Oficial de la Unión Europea, convirtiéndose en legislación de la UE. Entrará en vigor veinte (20) días después de su publicación oficial.
Por tanto, aún no disponemos de la versión definitiva del Reglamento de IA, y para conocer una aproximación a lo acordado ha sido necesario acceder a múltiples fuentes, incluyendo notas (10) y ruedas de prensa oficiales (11), cobertura mediática y análisis de expertos.
4. La ley tardará en entrar en vigor (y en ser aplicable)
Que la ley sea publicada y entre en vigor a los veinte (20) días de su publicación, no significa que comience a ser aplicable a partir de ese momento. En este sentido resulta fundamental diferenciar entre la entrada en vigor y la aplicación directa del Reglamento de IA.
• La entrada en vigor de un reglamento de la UE representa la fecha en que el reglamento tiene existencia jurídica en el ordenamiento jurídico de la UE y en el ordenamiento jurídico nacional de cada Estado miembro.
• La fecha de aplicabilidad representa la fecha a partir de la cual el reglamento puede producir derechos y obligaciones sobre los destinatarios y puede hacerse valer directamente ante los tribunales, las administraciones, los gobiernos nacionales, etc. Esto significa que antes de la fecha de aplicabilidad, las obligaciones o privilegios no pueden ni ejercerse ni hacerse valer.
• En suma, debido a la complejidad de los ámbitos que se regulan, puede ser necesario un período de tiempo entre la fecha de entrada en vigor de la normativa, es decir, cuando existe legalmente, y la fecha en que puede aplicarse realmente, es decir, la fecha en que es ejecutable y pueden ejercerse efectivamente los derechos y obligaciones legales.
Hecha esa distinción, hay que decir que la ley será directamente aplicable dos (2) años después de su entrada en vigor, aunque ciertas disposiciones, como las relativas a los sistemas de IA prohibidos y de propósito general, tendrán unos periodos más cortos, de seis (6) y doce (12) meses respectivamente.
5. La Comisión quiere que las empresas comiencen a adaptarse a la nueva ley cuanto antes
Posiblemente consciente de las implicaciones que el rápido desarrollo tecnológico puede tener en la eficacia de esta norma, la Comisión ha puesto en marcha un denominado Pacto por la IA, que busca comprometer voluntariamente a los desarrolladores de IA, tanto de Europa como del resto del mundo, para que comiencen a aplicar las obligaciones clave del Reglamento de IA antes de su aplicación directa.
El Pacto sobre IA pretende fomentar la pronta aplicación de las medidas previstas en el Reglamento, de forma que las empresas tengan la oportunidad de demostrar y compartir su compromiso con los objetivos del futuro Reglamento y prepararse desde el principio para estar listos para su implementación.
Más específicamente, el Pacto alentará a las empresas a comunicar voluntariamente los procesos y prácticas que están implementando para prepararse para el cumplimiento de la norma y garantizar que el diseño, el desarrollo y el uso de la IA sean confiables.
Los compromisos de la industria adoptarán la forma de declaraciones de compromiso (declarations of engagement), que acreditan su intención de trabajar en pro del cumplimiento del próximo Reglamento, junto con detalles sobre las acciones concretas que se están llevando a cabo o planificadas para abordar sus requisitos específicos. Estos compromisos pueden incluir un enfoque gradual, es decir, esbozar planes para avanzar, dentro de un plazo definido, hacia niveles de ambición más altos que las acciones ya implementadas.
Los compromisos serán recogidos y publicados por la Comisión, con el fin de proporcionar visibilidad y aumentar la credibilidad y la confianza en las tecnologías desarrolladas por las empresas que participan en el Pacto.
Epílogo para optimistas
Para concluir, dos apuntes finales.
En primer lugar, el Reglamento de IA prácticamente remata el gran marco europeo regulador de la economía digital que se empezó a construir en 2020. Un marco que se inició con el Reglamento General de Protección de Datos (LA LEY 6637/2016), y que ha continuado, entre otros, con los Reglamentos de Servicios y Mercados Digitales, el Reglamento de Gobernanza del dato, el inminente Reglamento de datos y el próximo Reglamento de datos de salud, actualmente en tramitación. Es decir, no estamos ante una norma aislada, sino ante un gran complejo normativo, de amplio alcance y profundas implicaciones para la industria, la economía y los derechos de las personas, para cuya aplicación será absolutamente imprescindible la colaboración de juristas y tecnólogos.
Por último, cabe destacar que es previsible que esta norma europea sirva de prólogo a un futuro marco internacional regulador de esta tecnología que, en no mucho tiempo, incluya a los Estados Unidos, el Reino Unido, Japón, Canadá y muchos otros países.
En este sentido, ya existen negociaciones en marcha, tanto en el seno del G7 como entre la Unión Europea y los Estados Unidos.
Por tanto, el escenario de un futuro marco universal de regulación de estas tecnologías, con un enfoque que previsiblemente aúne las políticas europeas con las anglosajonas, no resulta descartable.
Notas
(1) Ley 12/2021, de 28 de septiembre (LA LEY 21294/2021), por la que se modifica el texto refundido de la Ley del Estatuto de los Trabajadores, aprobado por el Real Decreto Legislativo 2/2015, de 23 de octubre (LA LEY 16117/2015), para garantizar los derechos laborales de las personas dedicadas al reparto en el ámbito de plataformas digitales, Ley 15/2022, de 12 de julio, integral para la igualdad de trato y la no discriminación (LA LEY 15917/2022) (art. 23); Real Decreto 729/2023, de 22 de agosto (LA LEY 24251/2023), por el que se aprueba el Estatuto de la Agencia Española de Supervisión de Inteligencia Artificial y Real Decreto 817/2023, de 8 de noviembre (LA LEY 29419/2023), que establece un entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial. Sin olvidar la Carta de Derecho Digitales, que no tiene carácter normativo.
(2) Conviene precisar, no obstante, que este enfoque exclusivamente basado en el riesgo resulta cuestionado en el acuerdo final alcanzado, en la medida, en que para los modelos fundacionales y los sistemas de IA de propósito general se introducen ciertas obligaciones de transparencia, en particular, la elaboración de documentación técnica, el cumplimiento de la normativa de derechos de autor de la UE y la difusión de resúmenes detallados sobre los datos de entrenamiento.
(3) https://hai.stanford.edu/news/introducing-foundation-model-transparency-index
(4) https://corporateeurope.org/en/2023/11/byte-byte
(5) https://www.rtve.es/noticias/20230602/analizamos-salida-twitter-del-codigo-buenas-practicas-contra-desinformacion/
(6) https://thefuturesociety.org/wp-content/uploads/2023/12/EU-AI-Act-Compliance-Analysis.pdf
(7) https://eur-lex.europa.eu/content/techleg/KB0213228ENN.pdf
(8) https://www.europarl.europa.eu/committees/en/libe/home/highlights
(9) https://www.europarl.europa.eu/committees/en/imco/home/highlights
(10) Así, las notas emitidas por el Parlamento (https://www.europarl.europa.eu/news/en/press-room/20231206IPR15699/artificial-intelligence-act-deal-on-comprehensive-rules-for-trustworthy-ai); el Consejo (https://www.consilium.europa.eu/en/press/press-releases/2023/12/09/artificial-intelligence-act-council-and-parliament-strike-a-deal-on-the-first-worldwide-rules-for-ai/ ), y la muy interesante de la Comisión “Artificial Intelligence. Questions and anwers” (https://ec.europa.eu/commission/presscorner/api/files/document/print/en/qanda_21_1683/QANDA_21_1683_EN.pdf)
(11) https://video.consilium.europa.eu/event/en/27283