El Parlamento Europeo aprueba la Ley de inteligencia artificial

A principios de 2023, la Unión Europea afirmó, mediante la Comisión Europea, sus planes para regular la inteligencia artificial de una manera bastante estricta. En aquel momento, y más después de saber en junio que ya tenían listo un primer borrador de la misma, parecía posible que su aprobación se produjera antes de que acabara 2023. Finalmente no fue posible, pero la urgencia de establecer este marco legal ha hecho que, salvo sorpresas, todo esté listo y que sea adoptado antes de que concluya la actual legislatura del Parlamento Europeo, que como ya sabes se renovará con las elecciones del próximo mes de junio. Y un paso clave es, claro, el que hemos vivido hoy, con la aprobación de la nueva ley para la inteligencia artificial por parte del Parlamento Europeo.

Antes de entrar al fondo, es decir, a lo que establece esta nueva norma, es importante eso sí aclarar que, tras su aprobación, todavía quedan pendientes algunos pasos. El primero es que el reglamento debe ser sometido a una revisión final por parte de juristas lingüistas, tras lo cual debe ser respaldada por el Consejo Europeo (una formalidad que se da por sentada) y, finalmente, ser publicada en el Diario Oficial de la Unión Europea (el BOE del espacio intracomunitario, para entendernos). Una vez que se produzca esta publicación, la nueva normativa entrará en vigor 20 días después, si bien se establecen varios márgenes de adaptación a la misma.

Con carácter general, y como ya hemos visto en otras muchas normas, para el común de la norma se establece un plazo de 24 meses para que las compañías puedan adaptar sus productos y servicios al nuevo marco legal. Sin embargo, y en la línea de urgencia que han transmitido las instituciones europeas desde el principio con respecto a la regulación de la Inteligencia Artificial, se han establecido diferentes «velocidades», entre las que destaca lo referido a las prácticas prohibidas, para las que solo se establece un periodo de adaptación de seis meses. Llama la atención, sin embargo, la mayor laxitud en las obligaciones para sistemas de alto riesgo, que es de 36 meses.

En la comunicación emitida por el Parlamento Europeo, son varios los puntos especialmente de esta regulación de la inteligencia artificial en la Unión Europea (si lo deseas, puedes obtener el texto completo aquí), en una norma que, al menos en su declaración de intenciones, pretende garantizar los derechos fundamentales de los ciudadanos de la Unión Europea pero, al tiempo, promover su adopción y uso en aras de la competitividad europea.

El primero tiene que ver con uno de los aspectos más preocupantes del uso indiscriminado de la inteligencia artificial, en el que se recogen usos como

«Los sistemas de categorización biométrica basados ​​en características sensibles y la extracción no dirigida de imágenes faciales de Internet o imágenes de CCTV para crear bases de datos de reconocimiento facial. También estarán prohibidos el reconocimiento de emociones en el lugar de trabajo y las escuelas, la puntuación social, la vigilancia policial predictiva (cuando se base únicamente en perfilar a una persona o evaluar sus características) y la IA que manipule el comportamiento humano o explote las vulnerabilidades de las personas«.

Este ha sido, desde el principio, uno de los puntos sobre los que la UE, a través de sus instituciones, ha querido establecer límites especialmente férreos y, como indicaba anteriormente, aquí nos encontramos con el plazo más corto de cara a la obligatoriedad en el cumplimiento de la nueva norma, seis meses desde su aplicación efectiva, por lo que salvo sorpresas podemos esperar que llegado el cambio de año este tipo de uso de la IA ya no se pueda llevar a cabo.

El Parlamento Europeo ha aprobado, eso sí, algunas excepciones a la norma en este punto. Concretamente se menciona el uso de este tipo de herramientas por parte de las fuerzas del orden en un conjunto de circunstancias concretas, que quedan definidas en la norma, y que están sujetas a un conjunto de salvaguardias, como estar sujetas a autorización judicial y que su uso esté limitado temporal y geográficamente. Entre los ejemplos citados se menciona tanto la búsqueda de personas desaparecidas como la prevención de acciones terroristas.

Mencionaba, anteriormente, el dilatado plazo en lo referido a lo que el reglamento considera sistemas de alto riesgo, y que en resumen son los sujetos a la consideración de sistemas de misión crítica, pero los amplía con otros que normalmente no reciben dicha consideración, pero que por el potencial impacto que pueden tener en la sociedad, también deben ser especialmente protegidos. En concreto, el texto los define como tales «debido a su importante daño potencial a la salud, la seguridad, los derechos fundamentales, el medio ambiente, la democracia y el estado de derecho«. Para los mismos, de manera resumida, se establece lo siguiente:

«Dichos sistemas deben evaluar y reducir los riesgos, mantener registros de uso, ser transparentes y precisos y garantizar la supervisión humana. Los ciudadanos tendrán derecho a presentar quejas sobre los sistemas de inteligencia artificial y a recibir explicaciones sobre las decisiones basadas en sistemas de inteligencia artificial de alto riesgo que afecten a sus derechos.

Por su parte, los sistemas de inteligencia artificial de propósito general (GPAI, General Purpose Artificial Inteligence), entre los que podemos contar con muchos de los modelos generativos tan presentes y populares en la actualidad, también están presentes en el texto. Sobre los mismos, se indica que deberán bastante transparentes tanto en su entrenamiento como en su funcionamiento. Esto se aplica, por ejemplo, en lo referido al cumplimiento de las normativas de derechos de autor de la Unión Europea, para lo que deberán publicar informes detallando el contenido utilizado en los entrenamientos.

Para el contenido generado con los mismos, concretamente el audiovisual (imágenes, audios y vídeos), también se establece la obligatoriedad de que se etiqueten claramente como tales. Esta medida pretende, sin duda, combatir los deepfakes que se han popularizado, estos últimos tiempos, para la difusión de noticias falsas e informaciones intencionadamente erróneas.

Adicionalmente, el texto plantea obligaciones adicionales para lo que considera «modelos GPAI más potentes«, y que como consecuencia de sus capacidades «podrían plantear riesgos sistémicos«. En tal caso se establece la necesidad de realizar «evaluaciones de modelos, la evaluación y mitigación de riesgos sistémicos y la presentación de informes sobre incidentes«.

Así, en resumen, vemos que la legislación que hoy ha sido aprobada por el Parlamento Europeo pone el foco en la privacidad, la seguridad, la transparencia y la evaluación y prevención de riesgos. No obstante, aún tendremos que esperar a la revisión legal del texto (con las posibles correcciones que surjan de la misma), para hacer una lectura en profundidad que nos permita valorar, de manera más detallada, todo su alcance.