Este miércoles se vota en la Eurocámara el Reglamento Europeo de la Inteligencia Artificial (IA), acordado el pasado 8 de diciembre por la Comisión, el Consejo y el propio Parlamento Europeo tras una maratoniana sesión de negociaciones de 38 horas, la más larga en la historia de la UE. El redactado final de la normativa, que no ha trascendido hasta esta semana, constata lo que ya se podía entrever en diciembre, cuando se cerró el acuerdo provisional, que también requiere aún la ratificación final de los Estados miembros antes de que pueda entrar en vigor: el reglamento marca el camino de lo que se puede y no se puede hacer, pero no concreta cómo deberán resolverse cuestiones clave, como la defensa de los derechos de autor.
La normativa se considera la primera regulación sobre IA que protege las libertades y derechos básicos (China puso en marcha su propia ley el verano pasado). En el último debate antes de la votación, el comisario de Mercado Interior, Thierry Breton, impulsor de la normativa, la defendió el martes en Estrasburgo como la “primera regulación de IA del mundo equilibrada y destinada a proteger de los excesos de una mala utilización de la IA, pero promoviendo al mismo tiempo la innovación”. La normativa, insistió Breton al pedir un apoyo mayoritario de la Eurocámara, supone un “compromiso histórico a prueba de tiempo”.
El reglamento establece distintos requisitos y obligaciones a las aplicaciones de IA en función de los riesgos que presenta su uso. Las más inocuas, como los filtros de spam o los detectores de duplicados de textos, se pueden usar sin restricción alguna. Se les denomina sistema de riesgos limitados y el único requisito que se les pone a los proveedores es que informen a los usuarios de que están manejando una herramienta de IA.
El grueso de la negociación consistió en determinar cuáles son de riesgo inaceptable y, por tanto, están totalmente prohibidas; y cuáles de alto riesgo, lo que implica una supervisión permanente. Entran en la primera categoría los sistemas “que trasciendan la conciencia de una persona o técnicas deliberadamente manipuladoras”, las que exploten sus vulnerabilidades o las que infieran emociones, raza u opiniones políticas de las personas.
Quedan encuadrados en el epígrafe de alto riesgo los sistemas de identificación biométrica remota, que un amplio sector del Parlamento quería prohibir terminantemente, los sistemas de categorización biométrica o el reconocimiento de emociones. También los sistemas que afecten a la seguridad de las infraestructuras críticas y los relacionados con la educación (evaluación de comportamientos, sistemas de admisión y exámenes), el empleo (selección de personal) y la prestación de servicios públicos esenciales, la aplicación de la ley o la gestión de la migración.
El documento, de 460 páginas, no incorpora sorpresas relevantes, si bien constata que sigue sin concretarse la indefinición que rodeaba algunos de los asuntos más sensibles de la normativa. “Es una regulación más bien escueta. Como instrumento legal, requiere más explicitación. Hay definiciones muy ambivalentes, algunas de ellas colindantes a las de otras normativas”, señala Lorena Jaume-Palasí, experta en ética y filosofía del derecho aplicadas a la tecnología y asesora del Parlamento Europeo en cuestiones relacionadas con la IA. “Se ve venir que, igual que ha sucedido con el Reglamento General de Protección de Datos (RGPD), necesitaremos jurisprudencia para saber con qué metodología se va a implementar todo esto”.
Identificación biométrica: en casos excepcionales
Una de las cuestiones más controvertidas, que más horas de negociaciones acaparó, es la regulación de los llamados sistemas de identificación biométrica remota en tiempo real. En esa categoría entraría, por ejemplo, la extensa red de cámaras de reconocimiento facial repartidas por las grandes ciudades chinas y que permite localizar a cualquiera en pocos minutos. Los primeros borradores de la normativa europea de IA eran muy restrictivos con esta tecnología.
En la última versión del documento, sin embargo, se fijan una serie de supuestos en los que se podrán utilizar, siempre bajo autorización judicial: “La búsqueda de determinadas víctimas de un delito, incluidas personas desaparecidas; determinadas amenazas para la vida o para la seguridad física de las personas físicas o amenazas de atentado terrorista; y la localización o identificación de los autores o sospechosos de [una lista de 32] infracciones penales”.
El texto final, además, incluye una excepción sobre las excepciones: “En casos de urgencia debidamente justificados, se podrá empezar a utilizar tales sistemas sin el registro en la base de datos de la UE, siempre que dicho registro se lleve a cabo sin demora indebida. […] Los Estados miembros notificarán dichas normas a la Comisión, a más tardar 30 días después de su adopción”. Es decir, las autoridades pueden saltarse la normativa y actuar, aunque posteriormente se declare que el uso del sistema haya sido inapropiado.
“Cuantas más excepciones tiene una prohibición, menos dura es. Lo que estamos viendo es que se están naturalizando tecnologías que deberían cuestionarse”, opina Jaume-Palasí.
Durante el último debate en la Eurocámara, los principales responsables de la negociación de la normativa han defendido, no obstante, el Reglamento de la IA como un instrumento que permitirá a los ciudadanos usar estas nuevas tecnologías sin miedo a que se vulneren sus derechos fundamentales.
Derechos de autor: protección, pero sin concretar
Otra de las cuestiones del reglamento que más atención han acaparado es cómo se protegen los derechos de autor, consagrados en la UE a través de 13 directivas y dos reglamentos. En EE UU hay una serie de demandas colectivas interpuestas contra grandes plataformas por usar, sin permiso, creaciones de particulares para entrenar modelos de IA; el resultado de esos procesos puede marcar el futuro de la IA generativa (la que genera textos, imágenes, vídeos o música a partir de instrucciones aportadas por el usuario).
El Reglamento Europeo de IA repite a lo largo de su articulado que todos los sistemas deben garantizar el cumplimiento de los derechos de autor, pero no dice cómo, más allá de que será competencia de la Oficina de la IA, el órgano que supervisará el cumplimiento de la normativa. Según Breton, esta oficina empezará a funcionar lo antes posible una vez entre en vigor el reglamento y contará con “el talento necesario para apoyar la implementación de la ley y para servir como centro de experiencia mundial en IA”.
En cuanto a los derechos de autor de los contenidos usados para entrenar algoritmos ya en funcionamiento, “el reglamento es bastante garantista y aportará mucha seguridad jurídica a los ciudadanos. Más que un marco jurídico es una declaración de principios y de valores democráticos”, subraya Iban García del Blanco, eurodiputado socialista y negociador de la ley de IA. ”En algunos casos, la Comisión tendrá que desarrollar más de 20 actos derivados de estas provisiones para hacerlas concretas. Por ejemplo, en materia de derechos de autor: elaborará una serie de propuestas tipo para que las empresas sepan en qué sentido van a tener que hacer esas declaraciones de transparencia sobre los contenidos que han utilizado en el entrenamiento de los modelos”, explica.
Esto no impide, dice García del Blanco, que en el futuro haya una serie de demandas y que mediante jurisprudencia se vayan fijando criterios. Jaume-Palasí recuerda que eso es lo que sucedió con el reglamento de protección de datos: “Los primeros fallos están saliendo ahora, cinco años después de que entrara en vigor”.
Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.