El pasado viernes, 8 de diciembre, el Parlamento Europeo y el Consejo de la Unión Europea, bajo el mandato de la Presidencia española, alcanzaron un acuerdo político provisional sobre la propuesta de Reglamento de Inteligencia Artificial (AI Act), planteada por la Comisión Europea en abril de 2021.
El texto definitivo aún está sujeto a trabajos técnicos, y posteriormente deberá ser refrendado por ambos órganos (Parlamento y Consejo de la UE), lo que podría tener lugar en el primer trimestre de 2024. El Reglamento de IA será de aplicación dos años después de su entrada en vigor, previsiblemente en 2026, salvo disposiciones específicas, como las prohibiciones en el uso de IA, que se aplicarán a los 6 meses de la entrada en vigor.
Mientras tanto, con el objetivo de abordar el periodo transitorio antes de que el Reglamento sea aplicado de manera general, la Comisión Europea ha subrayado el papel del AI Pact, que lanzó hace menos de un mes. Para ello, llama a desarrolladores de IA de la UE y de todo el mundo a comprometerse de forma voluntaria a implementar las obligaciones clave del AI Act antes de los plazos legales. Además, la Comisión ha anunciado que, para promover normas sobre una IA de confianza a nivel global, la UE seguirá trabajando en foros como el G7, la OCDE, el Consejo de Europa, el G20 y las Naciones Unidas.
Una norma que busca el equilibrio
El objetivo del AI Act es garantizar que los sistemas de IA que se comercialicen en el mercado europeo y sean utilizados en la UE sean seguros y respeten los derechos fundamentales y los valores de la UE. Al mismo tiempo, busca favorecer la inversión y la innovación en IA en Europa, por ejemplo, mediante sandboxes regulatorios de IA, que establecerán un entorno controlado para el desarrollo, prueba y validación de sistemas de IA innovadores.
De igual forma, al tratarse de una norma pionera, la UE quiere además establecer un estándar global para la regulación de la IA en otras jurisdicciones, de forma similar a como ha ocurrido con el Reglamento General de Protección de Datos (GDPR), promoviendo así el enfoque europeo de la regulación tecnológica en el mundo.
Aunque todavía no es público el texto oficial del acuerdo, sí se han revelado algunos detalles sobre el acuerdo provisional, que parte de un enfoque basado en el riesgo.
Definiciones y alcance
El texto del acuerdo provisional se alinea con la definición de “sistema de IA” con el enfoque propuesto por la OCDE. Y aclara que el Reglamento no se aplica a áreas fuera del alcance de la legislación de la UE. Especialmente, señala que, en ningún caso, afectará a las competencias de los Estados miembros en materia de seguridad nacional o cualquier entidad a la que se le hayan confiado tareas en este área.
Excluye del ámbito de aplicación a los sistemas que se utilicen exclusivamente con fines militares o de defensa, y también a los sistemas de IA utilizados exclusivamente para la investigación e innovación, y el uso de IA por motivos no profesionales por personas individuales.
Por último, aclara la asignación de responsabilidades y roles de los diversos actores en la cadena de valor, en particular los proveedores y usuarios de sistemas de IA.
Clasificación de los sistemas de IA
El texto crea cuatro categorías según el riesgo en su uso: inaceptable, alto riesgo, riesgo limitado, y riesgo mínimo o inexistente.
- Establece obligaciones de transparencia muy leves para los sistemas de IA que presenten un riesgo limitado. Por ejemplo, revelar que el contenido fue generado por IA para que los usuarios puedan tomar decisiones informadas sobre su uso posterior.
- Autoriza una amplia gama de sistemas de IA de alto riesgo, pero sujetos a una serie de requisitos y obligaciones para acceder al mercado de la UE. Por ejemplo, prevé una evaluación del impacto sobre los derechos fundamentales antes de la comercialización en el mercado de un sistema de IA de alto riesgo, así como disposiciones de transparencia.
- Prohíbe aquellos sistemas de IA cuyos usos de la IA impliquen un riesgo considerado inaceptable. Por ejemplo, se prohíbe la manipulación cognitiva conductual, la eliminación no selectiva de imágenes faciales de Internet o imágenes de videovigilancia, el reconocimiento de emociones en el lugar de trabajo y en instituciones educativas, la puntuación social, la categorización biométrica para inferir datos sensibles, como la orientación sexual o la religión, y algunos casos de vigilancia policial predictiva para individuos.
Adicionalmente, introduce el concepto de riesgo sistémico para aquellos sistemas, que independientemente de su uso, se considera que conllevan un riesgo inherente por su propia naturaleza.
Sistemas de IA de propósito general y modelos fundacionales
El acuerdo provisional añade nuevas disposiciones para tener en cuenta situaciones en las que los sistemas de IA pueden utilizarse para muchos fines diferentes (IA de propósito general, GPAI) y en las que esta tecnología GPAI se integra posteriormente en otro sistema de alto riesgo.
Introduce reglas específicas para los modelos fundacionales (foundational models, FM), grandes sistemas capaces de realizar de manera competente una amplia gama de tareas distintivas, como generar vídeo, texto, imágenes, conversar, o generar código informático. Estos modelos deben cumplir con obligaciones específicas de transparencia antes de su comercialización.
También establece un régimen más estricto para los modelos fundacionales de alto impacto, aquellos entrenados con una gran cantidad de datos y con una complejidad, capacidades y rendimiento avanzados muy por encima del promedio, que pueden difundir riesgos sistémicos a lo largo de la cadena de valor.
Gobernanza
La estructura de gobernanza se dividirá en, por un lado, una Oficina de IA (AI Office) dentro de la Comisión Europea, encargada de supervisar los modelos de IA de propósito general, así como de fomentar el desarrollo de estándares y hacer cumplir las normas comunes en todos los estados miembros. Estará asistida por un panel científico de expertos independientes.
Por otro lado, se creará un Comité de IA (AI Board), compuesto por representantes de los Estados miembros, seguirá siendo una plataforma de coordinación y un órgano asesor de la Comisión Europea, y otorgará un papel importante a los Estados miembros en la implementación del reglamento, incluido el diseño de códigos de prácticas para los modelos fundacionales. Estará asistido por un foro consultivo para los stakeholders, con representantes de la industria, las pymes, startups, la sociedad civil y el mundo académico.