El Consejo y el Parlamento Europeo cerraron el pasado 9 de diciembre de 2023 un acuerdo provisional sobre el primer marco legal que existirá a nivel mundial para limitar actividades y sistemas de riesgo de Inteligencia Artificial (IA). Se culminó así un dilatado proceso de negociación, iniciado a propuesta de la Comisión Europea en abril de 2021, que ha resultado imprescindible para equilibrar las exigencias de un espacio de desarrollo tecnológico competitivo y sus beneficios tanto sociales como económicos con la necesidad de seguridad y protección de los derechos fundamentales de consumidores y usuarios. El equipo jurídico de Lex-Boutique analiza las claves que han determinado el listado de sistemas y actividades de IA prohibidos en el proyecto de Reglamento de Inteligencia Artificial y otras cuestiones controvertidas, como los sistemas de identificación biométrica o el uso de sistemas basados en modelos de inteligencia artificial generativa.
Sistemas de IA prohibidos en la Unión Europea
Partiendo de una definición tecnológicamente neutra de los sistemas de IA, el concepto de riesgo se erige como enfoque central para determinar las obligaciones para el desarrollo, comercialización y uso de sistemas de IA permitidos en la Unión Europea y delimitar el listado de prohibiciones.
Si bien la Comisión Europea adoptó inicialmente en la materia una postura meramente orientativa en las directrices éticas de 2019, la rápida evolución de estas tecnologías ha evidenciado que los sistemas de IA pueden suponer un peligro para la seguridad y los derechos fundamentales de los usuarios, como la protección de datos personales y la privacidad, el derecho a la no discriminación y la libertad de expresión, entre otros. De ahí, el cambio de paradigma seguido a partir del Libro Blanco de 2020 sobre inteligencia artificial, orientado ya a un enfoque normativo centrado en el ser humano para garantizar que la población europea pueda beneficiarse de las nuevas tecnologías en un marco armonizado de respeto a los valores y principios comunitarios. Desde esa óptica, el proyecto de Reglamento de Inteligencia Artificial diseña una pirámide de riesgos respecto a la cual la intervención legal se adapta a cuatro niveles: (I) riesgo inaceptable, (II) riesgo alto, (III) riesgo limitado y (IV) riesgo bajo o mínimo.
El artículo 5 del proyecto incluye las prácticas expresamente prohibidas de IA por “riesgo inaceptable”, al considerarlas una amenaza evidente para la seguridad y los derechos fundamentales. En consecuencia, estará prohibido comercializar, prestar servicios o utilizar en la Unión Europea los siguientes sistemas de IA:
- Sistemas de IA que implementen “técnicas subliminales”, manipuladoras y dañinas;
- Sistemas de IA represivos y discriminatorios con grupos de población vulnerable (numerosas publicaciones científicas, como el Informe On the Dangers of Stochastic Parrots: Can Language Models Be Too Big?, evidencian los riesgos derivados de datos de formación que incluyen sesgos codificados, prejuicios y estereotipos negativos asociados con minorías sociales y de la cosmovisión hegemónica que asumen los modelos de sus datos de entrenamiento);
- Sistemas de IA utilizados por las autoridades públicas, o en su nombre, con fines de puntuación social en función del comportamiento de las personas o sus características físicas;
- Sistemas de identificación biométrica remota en tiempo real en espacios de acceso público, excepto en los casos previstos legalmente. El uso de sistemas de reconocimiento facial en tiempo real por las fuerzas del orden ha sido una de las cuestiones más controvertidas durante las negociaciones. Finalmente, ha prosperado su prohibición salvo que los Estados miembros decidan autorizarlo para garantizar la seguridad nacional, previa autorización judicial o administrativa.
Sistemas de IA de Alto Riesgo: requisitos y obligaciones
Por su parte, el artículo 6 regula los sistemas de IA de alto riesgo cuyo acceso al mercado de la UE está condicionado al cumplimiento de requisitos y obligaciones. Requerirán una evaluación de la conformidad ex ante previo registro del sistema en una base de datos comunitaria gestionada por la Comisión. Adicionalmente, tendrán que cumplir también con otros requisitos previstos en los artículos 8 a 15 en materia de gestión del riesgo, ensayos, solvencia técnica, formación y gestión de datos, transparencia, ciberseguridad y supervisión humana.
Asimismo, proveedores, distribuidores y usuarios de sistemas de IA de alto riesgo deberán cumplir una serie de obligaciones en sus respectivas esferas. Los proveedores externos a la UE deberán disponer de un representante autorizado y garantizar un seguimiento tras la comercialización que incluya la adopción de medidas de corrección conforme a los estándares de armonización europeos.
Sistemas de IA de Riesgo Limitado: La obligación de transparencia
Los sistemas de IA que sólo representan un riesgo limitado, como los chatbots que interactúan con humanos, estarán sujetos únicamente a obligaciones de transparencia.
Especial consideración han merecido los sistemas de inteligencia artificial generativa, tales como Bard (Google) o ChatGPT (OpenAI), ya que aún no se habían popularizado cuando la Comisión Europea presentó la propuesta inicial de regulación en 2021. En principio, el futuro reglamento no los incluye en el listado de sistemas prohibidos, pero sí ha fijado criterios para detectar modelos de alto riesgo e impone a los desarrolladores obligaciones más exigentes. En cuanto a su uso, se debe garantizar la transparencia y salvaguardar los derechos de autor, por lo que cualquier tipo de texto o imagen generada con inteligencia artificial deberá especificarlo expresamente.
Sistemas de IA de Riesgo Bajo o Mínimo
Los sistemas de IA que sólo presenten un riesgo bajo o mínimo podrán desarrollarse, comercializarse y utilizarse en la UE sin tener que cumplir con ninguna obligación legal. No obstante, el reglamento de IA apuesta por la creación de códigos de conducta para orientar a los proveedores de estos sistemas de IA de riesgo reducido.
Gobernanza y régimen sancionador en materia de IA
La norma prevé la creación de la Oficina Europea de Inteligencia Artificial, organismo competente para coordinar el uso de los sistemas de IA entre las autoridades nacionales que contará con el asesoramiento de un panel de científicos y la participación de organizaciones de la sociedad civil.
La regulación definitiva entrará en vigor en 2026 en forma de reglamento, por lo que será de aplicación inmediata sin necesidad de transposición interna. No obstante, los Estados miembros deberán establecer las medidas que aseguren su correcto funcionamiento, incluyendo las sanciones y multas administrativas graduadas conforme a la gravedad de la infracción que el reglamento establece, desde 7,5 millones de euros hasta un máximo de 30 millones de euros o el 6% del volumen de negocio anual a nivel mundial.
En el plano supracomunitario, la reciente asociación tecnológica establecida entre la Unión Europea y Estados Unidos trata de encontrar un entendimiento mutuo sobre los principios y formas de controlar el desarrollo de sistemas avanzados de IA ante los retos actuales y futuros que plantean y demandan, sin duda, una regulación de alcance mundial.
