I. La Ley Europea de Inteligencia Artificial en el contexto global de la opción entre los diferentes modelos de regulación
Las noticias recientes sobre el inminente desarrollo «cuantitativamente explosivo» (500.000 millones de dólares) de la Inteligencia Artificial en los EEUU con una aproximación desreguladora; nos invitan a reparar en la importancia de su regulación —pionera— en la UE mediante la denominada Ley Europea de Inteligencia Artificial (LA LEY 16665/2024). Todo ello para reflexionar sobre cuál es el sendero correcto: ¿la ausencia de regulación de los sistemas de IA que no prevenga los riesgos evidentes de manipulación del individuo y de la opinión pública? ¿la regulación imperativa del tipo de la LEIA que presenta el riesgo de coartar la libre iniciativa esencial en esta materia? o ¿el modelo intermedio o la «tercera vía» de regulación de la IA propuesta por Japón y conocida como el «Proceso de Hiroshima sobre IA»?
Ante el cruce de caminos descrito y la necesidad de optar por uno de los senderos —opción que determinará, en gran medida— el desarrollo social y económico global y dado que la UE ha optado por la regulación jurídica imperativa; nos parece que resulta útil y oportuno ofrecer a los lectores de este Diario una síntesis telegráfica —en forma de decálogo— de los principios esenciales de la regulación de la IA que establece el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo de 13 de junio de 2024 por el que se establecen normas armonizadas en materia de inteligencia artificial (LA LEY 16665/2024) y por el que se modifican los Reglamentos (CE) n.o 300/2008 (LA LEY 3589/2008), (UE) n.o 167/2013 (LA LEY 2703/2013), (UE) n.o 168/2013 (LA LEY 2704/2013), (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE (LA LEY 13360/2014), (UE) 2016/797 (LA LEY 8246/2016) y (UE) 2020/1828.
II. Decálogo de la Ley Europea de Inteligencia Artificial
1. La LEIA es la primera regulación jurídica imperativa de la IA en el contexto internacional donde cabe diferenciar tres modelos que son: a) El modelo desregulador que considera que no es necesario regular los sistemas de IA. Es el modelo por el que parecen optar Rusia, China y, en distinta medida, los EEUU. b) El modelo de regulación jurídica obligatoria de los sistemas de IA, representado por la LEIA. c) El modelo intermedio o la «tercera vía» de regulación de la IA propuesta por Japón y conocida como el «Proceso de Hiroshima sobre IA», que proyecta un «sendero medio» en la regulación de la IA que aborda efectos colaterales de la IA como como la protección de los datos personales o los derechos de autor. Este camino intermedio ha sido aceptado por todos los miembros del G7.
2. Un sistema de IA se define —en la LEIA— como «un sistema basado en una máquina diseñado para funcionar con distintos niveles de autonomía, que puede mostrar capacidad de adaptación tras el despliegue y que, para objetivos explícitos o implícitos, infiere de la información de entrada que recibe la manera de generar información de salida, como predicciones, contenidos, recomendaciones o decisiones, que puede influir en entornos físicos o virtuales». A partir de esta definición legal podemos definir metafóricamente los sistemas de IA como «alambiques que procesan grandes cantidades de datos o información bruta que se alojan en el canal de entrada para generar —mediante un método de transformación algorítmica que le permite interactuar con su entorno y aprender en consecuencia— un producto de salida en forma de información neta o destilada».
3. El objetivo de la LEIA es doble porque consiste en: Estimular los beneficios de la IA mejorando el funcionamiento del mercado interior mediante la promoción de una inteligencia artificial (IA) centrada en el ser humano y fiable y prevenir los riesgos que el uso de los sistemas de IA presenta en forma de los efectos perjudiciales en la UE.
4. El ámbito de aplicación de la LEIA incluye a los operadores de los sistemas de IA que son los proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA o que introduzcan en el mercado modelos de IA de uso general en la UE; los responsables del despliegue de sistemas de IA que estén establecidos o ubicados en la UE; los importadores y distribuidores de sistemas de IA; los fabricantes de productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con su propio nombre o marca; los representantes autorizados de los proveedores que no estén establecidos en la UE; y las personas afectadas que estén ubicadas en la UE.
5. La estructura de la LEIA se asienta sobre tres tipos de elementos: subjetivos, objetivos y funcionales:
a) Los elementos subjetivos son los operadores (proveedores, fabricantes del producto, responsables del despliegue; los importadores; y los distribuidores) y las autoridades (Oficina de IA, las autoridades nacionales competentes, las autoridades garantes del cumplimiento del Derecho, las autoridades notificantes, los organismos de evaluación de la conformidad y los organismos notificados).
b) Los elementos objetivos son de cuatro tipos: los datos (datos de entrenamiento, los de validación, los datos operativos sensibles, los datos de entrada y de prueba, etc.), los factores (componentes de seguridad, instrucciones de uso, especificaciones comunes, la ultrasuplantación, las operaciones de coma flotante, etc.), las circunstancias (p.ej., los espacios de acceso público) y los distintivos (marcado CE y la norma armonizada).
c) Los elementos funcionales son de seis tipos: Los sistemas, que se pueden ordenar conforme a su importancia básica, su nivel de riesgo y su sesgo emocional o biométrico; los modelos de IA de uso general que generan un riesgo normal o bien un riesgo sistémico; los planes que pueden ser planes de prueba en condiciones reales o planes de espacios controlados de pruebas; las propiedades p.ej. la alfabetización en materia de IA); las funciones cronológicas (introducción en el mercado, comercialización, puesta en servicio, recuperación o modificación sustancial; las patologías e infracciones que podemos clasificar en uso indebido razonablemente previsible de un sistema de IA, el incidente grave y la infracción generalizada.
6. El funcionamiento de la ordenación de los sistemas de IA por la LEIA puede exponerse en las dos fases siguientes: a) La regulación de la IA que opera sobre la base de su respectivo nivel de riesgo, de modo tal que la LEIA clasifica los sistemas de IA en varias categorías —inaceptable, alto, medio y mínimo— que determinan los deberes que se imponen a los distintos operadores implicados en cada una de ellas y se asigna el nivel de transparencia exigible. b) La supervisión de los sistemas de IA que abarca desde la gobernanza pública y privada, hasta el seguimiento posterior a su comercialización alcanzando las actividades de fomento o apoyo a la innovación.
7. La primera fase de regulación de los sistemas de IA opera sobre la base de su respectivo nivel de riesgo para diferenciar cuatro niveles de riesgo en orden decreciente que son: El riesgo inaceptable de los sistemas de IA prohibidos, el riesgo alto de los sistemas de IA de alto riesgo permitidos y controlados específicamente, el riesgo medio de los sistemas de IA de medio riesgo que integran modelos de IA de uso general que generan riesgos sistémicos y el riesgo mínimo de los sistemas de IA de mínimo riesgo permitidos y controlados genéricamente y de los modelos de IA de uso general que no generan riesgos sistémicos.
8. La segunda fase del funcionamiento de los sistemas de IA por la LEIA reside en su supervisión y abarca su régimen de transparencia y su gobernanza que se articula en un doble nivel de las autoridades nacionales encargadas de garantizar el cumplimiento de la LEIA y de las autoridades de la UE, comenzando por la propia Comisión y siguiendo por los organismos especiales de la UE en materia de IA, como son la Oficina de IA, el Comité Europeo de Inteligencia Artificial, la Comisión Técnica Científica y el Foro Consultivo. En la ordenación de la supervisión y el control del funcionamiento de los sistemas de IA por la LEIA tiene una especial importancia Código de buenas prácticas
9. La ordenación de la supervisión y el control del funcionamiento de los sistemas de IA por la LEIA culmina con el régimen sancionador que opera a modo de precipitado lógico-jurídico del elenco de obligaciones que la LEIA impone a los operadores y que se traducirá en el deber de los Estados miembros establecer sanciones efectivas, proporcionadas y disuasorias para las infracciones de las normas aplicables a los sistemas de IA; dentro de los umbrales establecidos en la LEIA para las infracciones de prácticas prohibidas o incumplimientos relacionados con los requisitos en materia de datos, para el suministro de información incorrecta, incompleta o engañosa a los organismos notificados y a las autoridades nacionales competentes en respuesta a una solicitud, etc.
10. El incumplimiento de la LEIA se reflejará directamente en dos tipos de responsabilidades (amén de las penales cuando la IA sirva para la comisión de delitos): a) Responsabilidades administrativas, porque los Estados miembros deberán establecer el régimen de sanciones —efectivas, proporcionadas y disuasorias que tengan en cuenta los intereses de las pymes, incluidas las empresas emergentes, así como su viabilidad económica— y otras medidas de ejecución aplicable a las infracciones del RIA que cometan los operadores y adoptar todas las medidas necesarias para garantizar que se aplica de forma adecuada. b) Responsabilidades civiles que se acomodarán a las especialidades sustanciales y procesales que establecerá la futura Directiva sobre responsabilidad en materia de IA.