Era una de las instancias más esperadas desde hacía tiempo. Por Europa en concreto… y por el mundo en general. Hace un par de meses, los países de la Unión Europea (UE) refrendaron oficialmente un acuerdo (que habían preestablecido en diciembre del pasado año), para fijar un inevitable punto de referencia mundial sobre los alcances de la inteligencia artificial (IA) utilizada en casi todas las facetas de la vida y los negocios de la Humanidad.
La denominada Ley de IA europea aprobada definitivamente este mes de mayo viene cocinándose a fuego lento desde hace tiempo. En su espíritu y formas, es mucho más exhaustiva y rigurosa que la que esbozó Estados Unidos (cuyos requisitos prioritarios son más bien ‘voluntarios’ pero poco estrictos). Y que la de China, que elaboró borradores intervencionistas porque persigue mantener (cómo no…) el control estatal.
Pues bien… los países de la Unión Europea han dado luz verde ahora a una norma que contó en la Eurocámara con un respaldo de 523 votos a favor, 46 en contra y 49 abstenciones. Si bien el primer ‘esqueleto’ elaborado por la Comisión Europea comenzó a labrarse en 2021, el pasado mes de mayo se arribó a la promulgación determinante. Eso sí, no será hasta 2026 cuando entre en vigor en su totalidad.
No caben dudas de que esta es la primera ley y la más significativa en este campo del mundo sobre inteligencia artificial. Europa se posiciona de este modo como una especie de brújula que marca rumbos sobre aspectos clave a nivel universal.
Ya lo ha proclamado a cuatro vientos estos días Mathieu Michel, ministro de Digitalización de Bélgica: «Esta ley histórica, la primera de este tipo en el mundo, aborda un reto tecnológico global que también crea oportunidades para nuestras sociedades y economías. Con la Ley de IA, Europa subraya la importancia de la confianza, la transparencia y la responsabilidad a la hora de tratar con las nuevas tecnologías, al tiempo que garantiza que entren en rápida evolución y que puedan prosperar e impulsar la innovación europea».
A continuación, estas son 5 claves a tener en cuenta, que resultarán esenciales, y no aparecen tan ‘visibles’ en el enunciado de la iniciativa:
1. La gobernanza de la IA en las empresas… ¿Qué hacemos con las pymes?
La Ley de IA de la UE establece efectivamente un marco regulatorio para el cumplimiento legal de compromisos relacionados con actividades y comportamientos relacionados con esta tecnología. Los firmados en febrero de este año por muchas de las principales empresas y organizaciones tecnológicas del mundo, durante la Cumbre Mundial sobre Ética e Inteligencia Artificial de 2024, dan muestra de ello. En ese marco, destaca la Declaración de la UNESCO (rubricada -entre otros gigantes- por GSMA, INNIT, Lenovo Group, LG AI Research, Mastercard, Microsoft, Salesforce y Telefónica de España), que se enfoca en el comportamiento ético en el desarrollo y la posible aplicación de la IA.
Pero la norma a la que hace objeto este artículo ha trasladado uno de los ejes sobre un tema esencial, como la gobernanza de la IA, al ámbito de las empresas tecnológicas hasta poder provocar reales quebraderos de cabeza para muchas de las compañías. La Ley establece que las empresas instauren un marco de gobernanza de la IA para desarrollar sus procesos y garantizar que cualquier uso de la IA cumpla con los criterios básicos de ser “justo, transparente, responsable y respetar la privacidad”.
Al margen de las multinacionales tecnológicas, esto abre un enorme dilema y obstáculos particularmente para millones de pymes por el globo. Está claro que no tienen la capacidad, infraestructura o el conocimiento para crear un marco de gobernanza de IA desde cero.
En la teoría, esto puede sonar más bonito (y abstracto). La Ley de IA de Europa explicita que “un marco de gobernanza de la IA garantiza el desarrollo y la implementación responsables de sistemas de IA a través de un conjunto estructurado de regulaciones, políticas, estándares y mejores prácticas destinadas a regular y gobernar el desarrollo de las tecnologías de IA. Sirve como guía para garantizar que los sistemas de IA se desarrollen y utilicen de manera ética, responsable y de acuerdo con los estándares legales”.
Nadie podría dudar de la imperiosa necesidad de aplicar esta cuestión. Pero el problema real para startups emergentes y pequeñas empresas es establecer una estructura para regular problemas potenciales, como el sesgo de los algoritmos, las violaciones de la privacidad y el uso de la IA con fines maliciosos.
2. Contra la discriminación, ‘vigilancia’ laboral extrema, invasión a la privacidad… ¿y cómo limitar los millones de deepfakes por minuto?
La nueva norma prohíbe determinadas aplicaciones de inteligencia artificial como los sistemas de categorización biométrica basados en características sensibles (por ejemplo, el color de la piel de una persona, las creencias políticas, religiosas, filosóficas u orientación sexual). Esto se extiende a la captura de imágenes faciales de Internet o las grabaciones de cámaras de videovigilancia para crear bases de datos de reconocimiento facial.
Además, limita el uso de esta tecnología para el reconocimiento de emociones en el lugar de trabajo (para evitar controles exhaustivos y vigilancia extrema de empleadores) y en las escuelas, o los sistemas que controlen y evalúen el comportamiento de la población. Tampoco se podrá utilizar aquella IA que manipule el comportamiento humano, como la publicación de ‘deepfakes’ en redes sociales, o que se aproveche de las vulnerabilidades de las personas.
Aquí el dilema a resolver es netamente abarcador: ¿cómo pueden monitorizarse acciones tan amplias, principalmente en el universo virtual de las redes sociales? Debido al volumen incesante de contenidos que se producen cada milésima de segundo en las redes, es previsible que las sanciones y castigos por infringir la generación de contenidos engañosos (deepfakes) atacando a colectivos vulnerables que prevén los artículos de esta norma se tornen tal vez lentos, tardíos, e ineficaces en cierto punto, cuando el daño ya se haya consumado y eliminar las acciones sancionadas no surta ya ningún efecto reparador para las víctimas.
Y existe otro punto también bastante difuso respecto a lo anteriormente enunciado. La ley también prohíbe el uso de la IA en la actuación policial predictiva (cuando se basa en el perfil de una persona en concreto o en la evaluación de sus características). Pero admite algunas excepciones. Los sistemas de identificación biométrica en tiempo real solo se podrán emplear si su uso se limita a un período y lugar específicos y cuenta con una autorización judicial o administrativa previa.
En caso de que esto comience a ser habitual, por más que los límites temporales y de situación estén especificados, ya sabemos que la frecuencia y habitualidad de este tipo de situaciones pueden dar lugar a reiteración abusiva y -en consecuencia- errores e injusticias para con personas inocentes de delitos. Más que nada, en el apartado que da autoridad para ordenar las acciones al área administrativa (no judicial) de las estructuras estatales.
3. Las obligaciones para las entidades financieras: detrás de mecanismos que pueden vulnerar derechos fundamentales del cliente
La Ley también especifica que las entidades financieras, en la medida en que usen las tecnologías de inteligencia artificial, deberán adecuarse estrictamente a esta norma. Enfatiza las obligaciones y límites de bancos que incorporen esta tecnología para evaluar la solvencia y establecer la calificación crediticia, por ejemplo. Busca de este modo evitar riesgos de vulneración de los derechos fundamentales de clientes reales, eventuales o futuros. Con este enfoque de riesgo, los clasifica en:
Sistemas prohibidos expresamente, como los que se sirven de técnicas subliminales o deliberadamente manipuladoras o engañosas con el fin o efecto de alterar sustancialmente el comportamiento de una persona, mermando su capacidad para tomar una decisión informada, de un modo que pueda provocar perjuicio a esa persona.
Sistemas de alto riesgo, como los utilizados para evaluar la solvencia de personas físicas o establecer su calificación crediticia (salvo los dedicados a detectar fraudes financieros) o para valorar riesgos y fijar precios en seguros de vida y salud.
Sistemas de riesgo limitado, como los de atención continuada al cliente durante 24 horas con asistentes virtuales (chatboots) o de asesoramiento financiero personalizado (roboadvisors).
Sistemas de riesgo mínimo o nulo, por ejemplo, los sistemas destinados a la clasificación automática de documentación o a la mejora del resultado de una actividad humana previamente realizada, entre otros.
El primer paso para las entidades financieras será inventariar todos los sistemas de inteligencia artificial que puedan estar utilizando, clasificarlos e identificar las obligaciones que han de cumplir, derivadas de esa clasificación. Ese será un trabajo interno, pero se plantean dilemas en materia de auditorías externas que pueden verificar cabalmente el proceso transparente de estas acciones. No son pocos los expertos en el ámbito legal que consideran que debe haber peritajes externos solventes en materia de actores de contralor que fije la propia UE, y que en definitiva evalúe los informes, y en consecuencia, su fiabilidad.
4. Criterios de transparencia para la IA generativa: uno de los puntos más álgidos, entre el riesgo y no riesgo
Por lo general, leyes tan transversales para aplicarse en varios países plantean puntos polémicos o álgidos. En este caso no fue la excepción: entrarán en vigor los criterios de transparencia que deberán cumplir los sistemas de inteligencia artificial generativa. Fue uno de los puntos de mayor discusión en el Parlamento Europeo, en pleno auge de programas como ChatGPT.
Estos modelos tendrán que dejar claro si un texto, una canción o una fotografía se han generado a través de la inteligencia artificial y garantizar que los datos que se han empleado para entrenar a los sistemas respetan los derechos de autor. Para ello, tendrán que:
- Diseñar el modelo para evitar que genere contenidos ilegales.
- Publicar resúmenes de los datos protegidos por derechos de autor utilizados para el entrenamiento.
Lo curioso es que el texto de la norma no considera “de alto riesgo” a la IA generativa, a pesar de que “los modelos de IA de uso general que cuenten con un alto impacto y que pudieran plantear un riesgo sistémico, como el modelo de IA más avanzado GPT-4, tendrán que someterse a evaluaciones exhaustivas e informar a la Comisión de cualquier incidente grave”, dice literalmente.
Esa aparente contradicción entre riesgo y no riesgo puede inducir a confusiones, sobre todo a la hora de no fijar alcances pormenorizados. Algo añadido: el contenido que haya sido generado o modificado con la ayuda de la IA, como imágenes, audio o vídeos (por ejemplo, las “ultrafalsificaciones”), tendrá que etiquetarse claramente como tal.
5. En busca de una mejor asistencia sanitaria, un transporte más seguro y una energía más sostenible… Sí, pero la supervisión depende al final de personas
Claro que, más allá de estos aspectos que deberán (o deberían) afinarse, nadie duda de que la UE -tal y como señala públicamente en su site- quiere regular la inteligencia artificial para garantizar mejores condiciones de desarrollo y uso de esta tecnología innovadora. “La IA puede aportar muchos beneficios, como lo son una mejor asistencia sanitaria, un transporte más seguro y limpio, una fabricación más eficiente y una energía más barata y sostenible”, destaca entre sus premisas.
El texto deja bien claro que “los sistemas de IA utilizados en la UE deben ser seguros, transparentes, trazables, no discriminatorios y respetuosos con el medio ambiente”. Pero, finalmente, señala que estos “deben ser supervisados por personas, en lugar de por la automatización, para evitar resultados perjudiciales”.
Aquí asoma otro de los mayores desafíos: queda claro que al final, más allá de la evolución de las máquinas, la acción del hombre (por ahora) seguirá siendo determinante a la hora de analizar al milímetro la infracción o transgresión de las normas.
La Ley será plenamente aplicable 24 meses después de su entrada en vigor (es decir, en 2026), pero algunas partes lo serán antes. Estos casos son:
a) La prohibición de sistemas de IA que planteen riesgos inaceptables se aplicará seis meses después de la entrada en vigor.
b) Los códigos de buenas prácticas se aplicarán nueve meses después de la entrada en vigor.
c) Las normas sobre sistemas de IA de uso general que deban cumplir requisitos de transparencia se aplicarán 12 meses después de la entrada en vigor.
d)Los sistemas de alto riesgo dispondrán de más tiempo para cumplir los requisitos, ya que las obligaciones que les conciernen serán aplicables 36 meses después de la entrada en vigor.
Ahora, el balón ha echado a rodar.
Ya se juega el partido. Y el resultado final depende de muchos factores, pero a esta altura todo hace suponer que lo que viene será decisivo, crucial… y apasionante.
Tecnología