Ley de inteligencia artificial: el Consejo y el Parlamento llegan a un acuerdo sobre las primeras normas para la IA en el mundo

La Ley de IA es una iniciativa legislativa emblemática con el potencial de fomentar el desarrollo y la adopción de una IA segura y fiable en todo el mercado único de la UE por parte de agentes públicos y privados. La idea principal es regular la IA en función de la capacidad de esta última para causar daño a la sociedad siguiendo un enfoque «basado en el riesgo»: cuanto mayor sea el riesgo, más estrictas serán las reglas. Al ser la primera propuesta legislativa de este tipo en el mundo, puede establecer un estándar global para la regulación de la IA en otras jurisdicciones, tal como lo ha hecho el GDPR, promoviendo así el enfoque europeo de la regulación tecnológica en el escenario mundial.

Principales elementos del acuerdo provisional

En comparación con la propuesta inicial de la Comisión, los principales elementos nuevos del acuerdo provisional pueden resumirse de la siguiente manera:

• normas sobre modelos de IA de uso general de alto impacto que puedan causar un riesgo sistémico en el futuro, así como sobre sistemas de IA de alto riesgo
• un sistema revisado de gobernanza con algunas competencias de ejecución a escala de la UE;
• ampliación de la lista de prohibiciones, pero con la posibilidad de utilizar la identificación biométrica a distancia por parte de las autoridades policiales en espacios públicos, con sujeción a salvaguardias
• una mejor protección de los derechos mediante la obligación de que los implementadores de sistemas de IA de alto riesgo lleven a cabo una evaluación de impacto en los derechos fundamentales antes de poner en funcionamiento un sistema de IA.

En términos más concretos, el acuerdo provisional abarca los siguientes aspectos:

Definiciones y ámbito de aplicación

Para garantizar que la definición de un sistema de IA proporcione criterios suficientemente claros para distinguir la IA de los sistemas de software más simples, el acuerdo transaccional alinea la definición con el enfoque propuesto por la OCDE.

El acuerdo provisional también aclara que el Reglamento no se aplica a ámbitos fuera del ámbito de aplicación del Derecho de la UE y no debe, en ningún caso, afectar a las competencias de los Estados miembros en materia de seguridad nacional ni a ninguna entidad encargada de tareas en este ámbito. Además, la ley de IA no se aplicará a los sistemas que se utilicen exclusivamente con fines militares o de defensa. Del mismo modo, el acuerdo establece que el Reglamento no se aplicaría a los sistemas de IA utilizados con fines exclusivos de investigación e innovación, ni a las personas que utilicen la IA por motivos no profesionales. 

Clasificación de los sistemas de IA como prácticas de IA de alto riesgo y prohibidas

El acuerdo transaccional prevé una capa horizontal de protección, incluida una clasificación de alto riesgo, para garantizar que no se capturen los sistemas de IA que no puedan causar violaciones graves de los derechos fundamentales u otros riesgos significativos. Los sistemas de IA que presenten un riesgo limitado estarían sujetos a obligaciones de transparencia muy ligeras, por ejemplo, revelar que el contenido ha sido generado por IA para que los usuarios puedan tomar decisiones informadas sobre su uso posterior.

Se autorizaría una amplia gama de sistemas de IA de alto riesgo, pero sujetos a una serie de requisitos y obligaciones para acceder al mercado de la UE. Estos requisitos han sido aclarados y ajustados por los colegisladores de tal manera que sean más técnicamente viables y menos gravosos de cumplir para las partes interesadas, por ejemplo en lo que respecta a la calidad de los datos, o en relación con la documentación técnica que deben elaborar las pymes para demostrar que sus sistemas de IA de alto riesgo cumplen los requisitos.

Dado que los sistemas de IA se desarrollan y distribuyen a través de cadenas de valor complejas, el acuerdo transaccional incluye cambios que aclaran la asignación de responsabilidades y funciones de los distintos agentes de esas cadenas, en particular los proveedores y usuarios de sistemas de IA. También aclara la relación entre las responsabilidades en virtud de la Ley de IA y las responsabilidades que ya existen en virtud de otra legislación, como la legislación sectorial o de protección de datos pertinente de la UE.

Para algunos usos de la IA, el riesgo se considera inaceptable y, por lo tanto, estos sistemas estarán prohibidos en la UE. El acuerdo provisional prohíbe, por ejemplo, la manipulación cognitivo-conductual, la eliminación no selectiva de imágenes faciales de Internet o de las imágenes de circuito cerrado de televisión, el reconocimiento de emociones en el lugar de trabajo y en las instituciones educativas, la puntuación social, la categorización biométrica para inferir datos sensibles, como la orientación sexual o las creencias religiosas, y algunos casos de vigilancia policial predictiva para las personas.

Excepciones a la aplicación de la ley

Teniendo en cuenta las especificidades de las autoridades policiales y la necesidad de preservar su capacidad para utilizar la IA en su labor vital, se acordaron varios cambios en la propuesta de la Comisión en relación con el uso de sistemas de IA con fines policiales. Con sujeción a las salvaguardias adecuadas, estos cambios tienen por objeto reflejar la necesidad de respetar la confidencialidad de los datos operativos sensibles en relación con sus actividades. Por ejemplo, se introdujo un procedimiento de emergencia que permite a los organismos encargados de hacer cumplir la ley desplegar una herramienta de IA de alto riesgo que no haya superado el procedimiento de evaluación de la conformidad en caso de urgencia. Sin embargo, también se ha introducido un mecanismo específico para garantizar que los derechos fundamentales estén suficientemente protegidos contra cualquier posible uso indebido de los sistemas de IA.

Por otra parte, por lo que se refiere al uso de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público, el acuerdo provisional aclara los objetivos en los que dicho uso es estrictamente necesario a efectos policiales y para los que, por lo tanto, debe permitirse excepcionalmente a las autoridades policiales utilizar dichos sistemas. El acuerdo de transacción prevé salvaguardias adicionales y limita estas excepciones a los casos de víctimas de determinados delitos, la prevención de amenazas reales, presentes o previsibles, como los ataques terroristas, y la búsqueda de personas sospechosas de los delitos más graves.

Sistemas de IA de propósito general y modelos básicos

Se han añadido nuevas disposiciones para tener en cuenta las situaciones en las que los sistemas de IA pueden utilizarse para muchos fines diferentes (IA de uso general) y en las que la tecnología de IA de uso general se integra posteriormente en otro sistema de alto riesgo. El acuerdo provisional también aborda los casos específicos de los sistemas de IA de uso general (GPAI).

También se han acordado reglas específicas para los modelos básicos, grandes sistemas capaces de realizar de manera competente una amplia gama de tareas distintivas, como generar video, texto, imágenes, conversar en lenguaje lateral, computación o generar código informático. El acuerdo provisional establece que los modelos de cimentación deben cumplir obligaciones específicas de transparencia antes de su introducción en el mercado. Se introdujo un régimen más estricto para los modelos de cimentación de «alto impacto». Se trata de modelos básicos entrenados con gran cantidad de datos y con complejidad, capacidades y rendimiento avanzados muy por encima de la media, que pueden diseminar riesgos sistémicos a lo largo de la cadena de valor.

Una nueva arquitectura de gobernanza

A raíz de las nuevas normas sobre los modelos de IAAP y de la evidente necesidad de su aplicación a escala de la UE, se crea una Oficina de IA dentro de la Comisión encargada de supervisar estos modelos de IA más avanzados, contribuir a fomentar las normas y las prácticas de ensayo, y hacer cumplir las normas comunes en todos los Estados miembros. Un panel científico de expertos independientes asesorará a la Oficina de IA sobre los modelos de GPAI, contribuyendo al desarrollo de metodologías para evaluar las capacidades de los modelos de cimentación, asesorando sobre la designación y la aparición de modelos de cimentación de alto impacto, y monitoreando los posibles riesgos de seguridad de materiales relacionados con los modelos de cimentación.

El Consejo de Inteligencia Artificial, que estará compuesto por representantes de los Estados miembros, seguirá siendo una plataforma de coordinación y un órgano consultivo de la Comisión y otorgará un papel importante a los Estados miembros en la aplicación del Reglamento, incluido el diseño de códigos de buenas prácticas para los modelos de fundación. Por último, se creará un foro consultivo para las partes interesadas, como representantes de la industria, las pymes, las empresas emergentes, la sociedad civil y el mundo académico, con el fin de proporcionar conocimientos técnicos al Consejo de IA.

Penas

Las multas por violaciones de la ley de IA se fijaron como un porcentaje de la facturación anual global de la empresa infractora en el ejercicio anterior o una cantidad predeterminada, la que sea mayor. Esto supondría 35 millones de euros o el 7 % para las violaciones de las aplicaciones de IA prohibidas, 15 millones de euros o el 3 % para las violaciones de las obligaciones de la ley de IA y 7,5 millones de euros o el 1,5 % para el suministro de información incorrecta. Sin embargo, el acuerdo provisional establece límites más proporcionados a las multas administrativas para las pymes y las empresas emergentes en caso de infracción de las disposiciones de la Ley de IA.

El acuerdo transaccional también deja claro que una persona física o jurídica puede presentar una reclamación ante la autoridad de vigilancia del mercado pertinente en relación con el incumplimiento de la Ley de IA y puede esperar que dicha reclamación se tramite de conformidad con los procedimientos específicos de dicha autoridad.

Transparencia y protección de los derechos fundamentales

El acuerdo provisional prevé una evaluación de impacto sobre los derechos fundamentales antes de que sus implementadores introduzcan en el mercado un sistema de IA de alto riesgo. El acuerdo provisional también prevé una mayor transparencia en relación con el uso de sistemas de IA de alto riesgo. En particular, se han modificado algunas disposiciones de la propuesta de la Comisión para indicar que determinados usuarios de un sistema de IA de alto riesgo que sean entidades públicas también estarán obligados a registrarse en la base de datos de la UE para los sistemas de IA de alto riesgo. Además, las nuevas disposiciones añadidas hacen hincapié en la obligación de los usuarios de un sistema de reconocimiento de emociones de informar a las personas físicas cuando estén expuestas a dicho sistema.

Medidas de apoyo a la innovación

Con el fin de crear un marco jurídico más favorable a la innovación y promover el aprendizaje reglamentario basado en datos empíricos, las disposiciones relativas a las medidas de apoyo a la innovación se han modificado sustancialmente en comparación con la propuesta de la Comisión.

En particular, se ha aclarado que los entornos de pruebas regulatorios de IA, que se supone que establecen un entorno controlado para el desarrollo, las pruebas y la validación de sistemas de IA innovadores, también deben permitir la prueba de sistemas de IA innovadores en condiciones reales. Además, se han añadido nuevas disposiciones que permiten probar los sistemas de IA en condiciones reales, en condiciones y salvaguardias específicas. Para aliviar la carga administrativa de las empresas más pequeñas, el acuerdo provisional incluye una lista de acciones que deben emprenderse para apoyar a dichos operadores y establece algunas excepciones limitadas y claramente especificadas. 

Entrada en vigor

El acuerdo provisional establece que la ley de IA debe aplicarse dos años después de su entrada en vigor, con algunas excepciones para disposiciones específicas.

Pasos siguientes

Tras el acuerdo provisional alcanzado hoy, en las próximas semanas se seguirá trabajando a nivel técnico para ultimar los detalles del nuevo Reglamento. La Presidencia presentará el texto transaccional a los representantes de los Estados miembros (Coreper) para su aprobación una vez concluidos estos trabajos.

El texto completo deberá ser confirmado por ambas instituciones y someterse a una revisión jurídico-lingüística antes de su adopción formal por parte de los colegisladores.

Antecedentes

La propuesta de la Comisión, presentada en abril de 2021, es un elemento clave de la política de la UE para fomentar el desarrollo y la adopción en todo el mercado único de una IA segura y legal que respete los derechos fundamentales.

La propuesta sigue un enfoque basado en el riesgo y establece un marco jurídico uniforme y horizontal para la IA que tiene por objeto garantizar la seguridad jurídica. El proyecto de Reglamento tiene por objeto promover la inversión y la innovación en IA, mejorar la gobernanza y la aplicación efectiva de la legislación vigente en materia de derechos fundamentales y seguridad, y facilitar el desarrollo de un mercado único para las aplicaciones de IA. Va de la mano de otras iniciativas, incluido el plan coordinado sobre inteligencia artificial, cuyo objetivo es acelerar la inversión en IA en Europa. El 6 de diciembre de 2022, el Consejo alcanzó un acuerdo sobre una orientación general (mandato de negociación) sobre este expediente y entabló conversaciones interinstitucionales con el Parlamento Europeo («diálogos tripartitos») a mediados de junio de 2023.