INTELIGENCIA ARTIFICIAL

Aprobación
El 9 de diciembre de 2023 se publicó la noticia del acuerdo político sobre la Ley europea de Inteligencia Artificial (en adelante Ley de IA) (1). El texto de la norma, basado en la Propuesta de Reglamento elaborada en 2021, ha sido aprobado por el Parlamento Europeo el pasado 13 de marzo de 2024 por una abrumadora mayoría (523 votos a favor 46 en contra y 49 abstenciones). Dicho texto trae tras de sí varios años de intenso trabajo por distintos órganos de la Unión Europea: resoluciones del Parlamento sobre materias relacionadas con la IA (ética, responsabilidad civil, etc.), peticiones formales del Consejo Europeo de adopción de medidas legislativas sobre IA, el Libro Blanco publicado en 2020 por la Comisión, el Pacto sobre IA propiciado por ella o, en fin, la consulta global en línea que recibió más de un millar de contribuciones de empresas, asociaciones, ONG, particulares, instituciones académicas, autoridades públicas, etc. Se advierte, por tanto, que la Ley de IA forma parte de un paquete de medidas más amplio desarrollado en la Unión Europea.

La consideración de que el acuerdo constituye un paso histórico explica las manifestaciones celebrativas y las declaraciones efectuadas entonces. A modo de ejemplo, VON DER LEYEN afirmaba que: “celebro con gran satisfacción el acuerdo político alcanzado hoy por el Parlamento Europeo y el Consejo sobre la Ley de IA (...) se trata de un momento histórico. La Ley de IA lleva los valores europeos a una nueva era (...). Nuestra Ley de IA contribuirá de manera sustancial a la formulación de normas y principios mundiales sobre una IA centrada en el ser humano”.

“El texto de la norma, basado en la Propuesta de Reglamento elaborada en 2021, trae tras de sí varios años de intenso trabajo por distintos órganos de la Unión Europea”

La entrada en vigor a los 20 días de la publicación de la Ley en el Diario Oficial de la Unión Europea la convierte en el primer marco jurídico global en todo el mundo sobre IA. Será aplicable en su totalidad en dos años tras la publicación, salvo en relación a las autoridades notificantes y obligaciones de transparencia de IA generales, así como en lo relativo a las sanciones, que se aplicarán a los 3 y 12 meses respectivamente (art. 85). En todo caso, las reglas contenidas en la Ley de IA son “normas armonizadas” que toman la forma de Reglamento y, por tanto, directamente aplicables en todos los países miembros. Práctica que últimamente se ve con mayor frecuencia en materia digital en la Unión Europea (ad ex. las recientes Digital Market Act y Digital Services Act), pues garantiza una aplicación uniforme, antes que la disparidad hasta cierto punto connatural de las Directivas.

Contexto internacional
El acuerdo alcanzado en diciembre “introduce” la Ley europea de IA en la “competición” por ser líder mundial en la materia con otros importantes actores.
Así, China aprobó en verano de 2023 una “Ley General reguladora de la IA” (73 artículos) y unas “Medidas Generativas de IA”. Aun cuando ambas normas parecen inspirarse en modelos occidentales, la segunda es una versión “rebajada” de una propuesta anterior de abril de 2023, quizá para buscar un equilibrio entre favorecer la innovación, el control estatal de la tecnología, y los peligros individuales y “nacionales” que la IA puede ocasionar. En tales regulaciones se advierten elementos comunes con la Ley europea: etiquetado de contenidos generados por IA, cierta extraterritorialidad en su aplicación, la posibilidad de crear sandboxes, la existencia de una “lista negra de IA” o el establecimiento de sanciones, entre otros. Ahora bien, a mi juicio, difieren en la jerarquía axiológica: si “las actividades relacionadas con la investigación y el desarrollo, el suministro o el uso de la IA deben estar centradas en las personas y dirigir la inteligencia hacia el bien” (art. 4 Ley General sobre IA), las “Medidas Generativas de IA” buscan promover el desarrollo sólido de tal tipo de IA y sus aplicaciones estándar, salvaguardar la seguridad nacional y los intereses públicos sociales, y proteger los derechos e intereses legítimos de los ciudadanos, las personas jurídicas y las organizaciones (arts. 1 y 4) (2). Por tanto, valores y objetivos similares a los europeos, pero con distinto orden jerárquico y, en vista de la realidad sociopolítica de ambos actores, con un contenido sustantivo parcialmente diverso.

“La Ley de IA forma parte de un paquete de medidas más amplio desarrollado en la Unión Europea”

En la otra esquina del globo, Estados Unidos aprobó en octubre de 2023 la Orden ejecutiva “Safe, Secure and Trustworthy Development and Use of AI”. En palabras de JOE BIDEN, “first, the executive order is about AI safety and security (..); second, (..) is about making sure AI systems can earn the American people’s trust and people’s trust around the world”… Ambos propósitos configuran la regulación que, antes que en los derechos fundamentales -que BIDEN menciona en tercer lugar-, se fija en la seguridad nacional. Cierto es que al no tratarse de una ley parlamentaria tiene la ventaja de ser una norma directa e inmediatamente aplicable; cierto que exige a futuro el etiquetado del contenido generado por IA aun cuando no aborde el que ya está en el mercado; cierto que supone un avance respecto de las directrices de carácter más ético que jurídico hasta entonces aprobadas, pero cierto es también que tiene efectos limitados. Comparando el texto americano y el europeo, se advierte que este se centra más en los derechos fundamentales, es más garantista, cuenta con la legitimidad de los órganos parlamentarios, tiene contenido más jurídico e impone obligaciones no solo a los proveedores sino también a otros actores (importadores, distribuidores, etc.). Y si la regulación europea llevaba varios años gestándose (la Propuesta en que se basa es de 2021), la americana entró en vigor antes que aquella; quizá porque no querían “quedarse atrás” como ocurrió con el RGPD. Desde distintas perspectivas, ambos actores claman por ser los pioneros…

“Las reglas contenidas en la Ley de IA son “normas armonizadas” que toman la forma de Reglamento y, por tanto, directamente aplicables en todos los países miembros”

En lo que ahora importa, la breve síntesis de las regulaciones realizada evidencia un común sentir sobre la necesidad de un marco reglamentario de la IA en atención a su potencial -no sólo económico-, así como el interés de los diversos actores para su “gobierno” a favor de una serie de valores en sí mismos positivos, aunque con distintos acentos, intensidades y efectos prácticos en cada caso. Lo que es obvio es que la concurrencia temporal de iniciativas para regular la IA pone a los ciudadanos y sus derechos en una situación considerablemente mejor que hace unos meses. Mencionado el contexto internacional que enmarca la Ley europea de IA, es momento de hacer un repaso sobre su contenido.

Innovación responsable: una IA fiable en la Unión Europea
El texto sobre el que se llegó a acuerdo en diciembre de 2023 tiene en cuenta las “Directrices éticas para una IA fiable” emanadas por la Unión Europea en 2019. Dos son los leitmotivs que cabe resaltar ahora: i) la intención de dar lugar a una IA que genere confianza y seguridad; y ii) que la regulación, centrada en las personas, sea equilibrada, evitando frenar la innovación y esforzándose por reducir a lo imprescindible las obligaciones que impone.
En coherencia con ello, la Ley de IA apunta como objetivos específicos: “garantizar que los sistemas de IA introducidos y usados en el mercado de la UE sean seguros y respeten la legislación vigente en materia de derechos fundamentales y valores de la Unión; garantizar la seguridad jurídica para facilitar la inversión e innovación en IA; mejorar la gobernanza y la aplicación efectiva de la legislación vigente en materia de derechos fundamentales y requisitos de seguridad aplicables a los sistemas de IA; facilitar el desarrollo de un mercado único para hacer un uso legal, seguro y fiable de las aplicaciones de IA y evitar la fragmentación del mercado”.

“El acuerdo alcanzado en diciembre ‘introduce’ la Ley europea de IA en la ‘competición’ por ser líder mundial en la materia con otros importantes actores”

A fin de no cercenar la innovación, la Ley de IA contempla una definición de IA amplia y tecnológicamente neutra que, en atención a la celeridad de los cambios en el sector, pueda resistir satisfactoriamente el paso del tiempo (art. 3.1). Tal definición se complementa con un Anexo sobre estrategias y técnicas para el desarrollo de la IA que será actualizado por la Comisión para ir de la mano de los avances tecnológicos.
Igualmente se contempla la posibilidad de que los Estados miembros creen “espacios controlados de pruebas”, a modo de sandboxes, donde, de acuerdo con un plan previsto y aprobado, se puedan “probar” tecnologías innovadoras en relación con la IA. Para tales “espacios” se establece un marco jurídico básico sobre gobernanza, supervisión y responsabilidad confiándose la determinación de variadas cuestiones a “actos de ejecución” (Título V).
Y de entre los mecanismos de gobernanza y funcionamiento que fija la Ley de IA, destaca la creación del Comité Europeo de IA. Su labor será facilitar la cooperación con las autoridades nacionales, ofrecer asesoramiento y conocimientos, y compilar y compartir las mejores prácticas entre los Estados miembros (Título VI). También sobresale la creación de una base de datos pública con las IA de “alto riesgo” que permitirá evaluar si cumplen la normativa, constituyendo un sistema de vigilancia reforzada (Título VII).

“Antes que intentar ‘aprehender’ y ‘categorizar’ la multiforme variedad de IA actual -y, lógicamente, ante la dificultad de hacerlo anticipándose al futuro- la Ley de IA se estructura sobre su riesgo potencial”

 

Construcción sobre los riesgos y los códigos de conducta
De entre las opciones examinadas, la Comisión en su momento prefirió elaborar un instrumento legislativo horizontal cuyo eje lo constituya el enfoque basado en los riesgos, complementado con “códigos de conducta”. Antes que intentar “aprehender” y “categorizar” la multiforme variedad de IA actual -y, lógicamente, ante la dificultad de hacerlo anticipándose al futuro- la Ley de IA se estructura sobre su riesgo potencial; obviamente no es el mismo el de la IA que filtra el spam, que el de ChatGPT o el de un dron no tripulado con asistencia sanitaria. Se distinguen tres niveles: IA que generan un “riesgo inaceptable” y, por ello, prohibidas; las que producen “riesgo alto”; y las que crean “riesgo bajo o mínimo”.
El Título II de la Ley establece un listado de IA prohibidas por ser contrarias a los valores de la Unión y suponer una afección inaceptable a los derechos fundamentales. Entre ellas se encuentran: i) las que usan técnicas subliminales que trascienden la consciencia para alterar sustancialmente el comportamiento de las personas provocándoles perjuicios y/o se aprovechen de las debilidades y/o vulnerabilidades de grupos concretos (p. ej. juguetes con IA para menores que inciten a comportamientos peligrosos); ii) los sistemas de identificación biométrica remota en tiempo real en espacios de acceso público con fines de aplicación de la ley, salvo en algunos supuestos excepcionales; iii) las que proveen calificaciones sociales para su uso por las autoridades públicas con fines generales.

“A las IA que no sean de ‘riesgo inaceptable’ ni de ‘alto riesgo’ no se les impone obligación alguna, aunque se incentiva la elaboración y suscripción de ‘códigos de conducta’ voluntarios”

Las IA que, en función de su finalidad específica y modalidades de uso, se califican como de “alto riesgo” (para la salud, seguridad o derechos fundamentales) se regulan en el Título III de la Ley de IA. De entre ellas se distinguen las que se utilizan como componentes de seguridad de productos (p. ej. robots de asistencia personal, juguetes, productos sanitarios, etc.), de las que son independientes -en sí mismas son el producto- cuyas implicaciones conciernen principalmente a los derechos fundamentales (p. ej. gestión de tráfico, suministro de agua, puntuaciones en exámenes de acceso, etc.). Si para permitir el uso de las primeras se han de someter a los mismos mecanismos de verificación definidos por la legislación sectorial (recientemente modificada) que los productos de que forman parte -que ahora también evaluarán los aspectos contenidos en la Ley de IA-, para las segundas se crea un nuevo procedimiento que combina la conformidad ex ante con la supervisión ex post; ambos necesarios debido a lo temprano de la intervención reguladora, el crecimiento progresivo de los conocimientos sobre IA y lo innovador del sector. El Anexo III de la Ley contiene una lista de IA de este último tipo, enumeración que irá ampliando la Comisión. De manera particular, el Título dedicado a las IA de “alto riesgo” regula los requisitos legales que deben cumplir sobre datos, gobernanza y otros aspectos para que se permita su uso (Capítulo 2), las obligaciones que pesan sobre los proveedores u otros participantes en la cadena de valor (Capítulo 3) o, en fin, los procedimientos y órganos de evaluación de la conformidad (Capítulos 4 y 5).

“El Título IV impone requisitos de transparencia a las IA que interactúen con humanos, detecten emociones o asocien a categorías a partir de datos biométricos, así como las que generen o manipulen contenido”

A las IA que no sean de “riesgo inaceptable” ni de “alto riesgo” no se les impone obligación alguna, aunque se incentiva la elaboración y suscripción de “códigos de conducta” voluntarios, a modo de buenas prácticas (Título IX). Con ellos se busca estimular el cumplimiento voluntario de los requisitos fijados para las IA de “alto riesgo”. Su adopción supondrá un fortalecimiento del mercado de IA, apostando por una mayor seguridad y fiabilidad.
Finalmente, el Título IV impone requisitos de transparencia a las IA que, sean o no de “alto riesgo”, interactúen con humanos, detecten emociones o asocien a categorías a partir de datos biométricos, así como las que generen o manipulen contenido. Los proveedores de tales sistemas han de informar al usuario de si está interactuando con una IA, de si sus emociones o características están siendo reconocidas por ella, y de si el contenido (imágenes, audios, videos) ha sido generado por medios automatizados, a salvo algunas excepciones relacionadas con la libertad de expresión o la aplicación de la ley. Para las IA que se incluyen en este Título solamente se establecen tales obligaciones de transparencia.

“La Ley de IA resulta una norma muy prolija (¡99 páginas!), aun cuando desee ‘minimizar’ las obligaciones que impone, y presta demasiada atención a cuestiones formales u organizativas”

Consideraciones finales
Un examen detenido de la Ley de IA permite colegir que se trata de un texto innovador, con pretensión “universal” (art. 2), y que en muchas ocasiones utiliza términos “abiertos” o “prudentes” en atención al estado del arte (ad ex. arts. 17.2 o 20.1). Ahora bien, salvo que haya razones poderosas que así lo justifiquen -lo que se me escapa-, resulta una norma muy prolija (¡99 páginas!), aun cuando, como pretende, desee “minimizar” las obligaciones que impone. Es una regulación de corte “típicamente comunitario” que: i) incluye textos, a mi juicio, reiterativos (ad ex. arts. 9.6 y 9.7); ii) introduce elementos innecesarios o un tanto genéricos (ad ex. arts. 10.3, 11.1, 30.7, 33.9, 59.4, etc.); iii) presta demasiada atención a cuestiones formales u organizativas: el sistema de gestión de riesgos (arts. 9 a 11), el de gestión de calidad (art. 17, que tiene ¡13 subapartados!), las no escuetas obligaciones a cargo del proveedor (art. 16), etc.; o, en fin, iv) abunda en el organigrama: ¡se regula cómo hacer la solicitud ante una autoridad notificante, la asignación del número de identificación del órgano notificado, o las consecuencias de no colocar el citado número (arts. 31, 35 o 68)! ¿No cabía determinar parte de tales cuestiones por medio de “actos de ejecución” como se hace respecto de otros elementos (ad ex. art. 53.6 sobre el banco de pruebas o 61.3 sobre el plan de “seguimiento posterior a la comercialización”)? Pienso que sí. Es verdad que es un texto que busca ser especialmente “garantista” con los derechos de los ciudadanos y pretende fomentar la innovación, pero, dejando de lado el actual estado de la “carrera tecnológica” -que dista mucho de ser equilibrado, e, incluso, reversible-, con esta ley ¿no se estará cercenando la iniciativa empresarial por medio de una “tediosa burocracia”? Solo el tiempo lo dirá.

(1) El Título completo de la norma es Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de Inteligencia Artificial (Ley de Inteligencia Artificial) y se modifican determinados actos legislativos de la Unión {SEC(2021) 167 final} – {SWD(2021) 84 final} –- {SWD(2021) 85 final}.
(2) Cfr. “China aprueba una regulación de la inteligencia artificial y de la inteligencia artificial generativa”, Diario La Ley, 31 de agosto de 2023.

Palabras clave: Ley europea sobre Inteligencia Artificial, Estados Unidos, China, Derechos humanos, Innovación responsable.
Keywords: European Artificial Intelligence Act, United States, China, Human rights, Responsible innovation.