El Reglamento Europeo de Inteligencia Artificial ha sido adoptado en el pasado Consejo de Ministros de Telecomunicaciones de 21 de mayo. Una vez publicado en el DOUE comenzarán a contarse los 20 días para su entrada en vigor. Esta norma se ha negociado durante siete presidencias del Consejo: Portugal, Eslovenia, Francia, Repúblicas Checa, Suecia y España.
Este reglamento -primera norma que disciplina la inteligencia artificial a nivel mundial- se fundamenta en la normativa de seguridad de producto europea (es decir aquella que tiene por objeto asegurar que todo producto que se pone en mercado cumple unos mínimos estándares de seguridad) y tiene una aproximación de riesgo (es decir impone crecientemente las obligaciones a los sistemas de inteligencia artificial en función del mayor riesgo de éstos).
De este modo se regulan los sistemas de inteligencia artificial de forma piramidal diferenciando aquellos prohibidos, de aquellos de alto riesgo (que pueden generar riesgos para la salud, la seguridad o los derechos de las personas y que son regulados de forma más intensa) y todos los demás.
La norma parte de una definición de inteligencia artificial que sigue la adoptada por la OCDE. El reglamento además contiene una exclusión en materia de defensa o seguridad nacional garantizando que en aquellos sistemas de doble uso sólo queden excluidos los casos que se usen para los fines anteriores, de manera que no haya fraude alguno. Por tanto, si un sistema se usa para fines de defensa y para fines civiles sólo quedará sujeto al reglamento cuando se use para fines civiles.
El capítulo de prohibiciones es muy importante puesto que se declaran fuera de la ley (art. 5) aquellos sistemas que básicamente engañen o defrauden a los ciudadanos con particular atención en aquellos ciudadanos vulnerables. Hubo una muy dificultosa negociación alrededor de tres prohibiciones que el Parlamento pretendía introducir ex novo en comparación a la propuesta original de la Comisión; la prohibición absoluta de usar sistemas para el reconocimiento biométrico en tiempo real a partir de cámaras en lugares de acceso público, para la categorización biométrica y para el reconocimiento emocional.
Finalmente, se ha mantenido la posibilidad de utilizar sistemas de inteligencia artificial en esos casos, pero con enormes limitaciones y salvaguardas, de forma que solo se prohibirá su uso en casos muy tasados.
Como se ha indicado, el Reglamento de Inteligencia Artificial es un reglamento orientado al riesgo y precisamente, para definir qué es alto riesgo, el reglamento acude a dos fórmulas; son de alto riesgo bien aquellos sistemas que se contienen en el nuevo marco legislativo (por ejemplo los usados en aeronaves o dispositivos médicos) o bien aquellos que constan en el Anejo 3 que serían de alto riesgo siempre que no realicen una labor accesoria (sistemas vinculados a la educación, la empleabilidad, los seguros, la impartición de justicia).
Este es un reglamento enormemente flexible que puede ser adaptado: la Comisión mediante actos delegados puede no solo aumentar o disminuir los casos de alto riesgo, sino que también puede aumentar, disminuir o modificar aquellos casos en los que se considera que un sistema de alto riesgo es accesorio. La posibilidad de influir en este desarrollo legislativo secundario será esencial para todas las partes interesadas.
Una cuestión que fue particularmente difícil durante la negociación fue la atinente a la regulación o no de los modelos fundacionales; es decir los modelos base sobre los que se desarrollan los sistemas de inteligencia artificial generativa (de textos, imágenes, voces…) ya que la negociación del reglamento se mezcló con el surgimiento explosivo de los modelos generadores de lenguaje (ChatGPT). Ello aconsejó reflexionar sobre la necesidad de regular la inteligencia artificial de propósito general. Tras una ardua negociación se acordó regular de forma más intensa aquellos modelos de propósito general de riesgo sistémico, que serían aquellos modelos que determinase la Comisión una vez oído el panel científico, o bien aquellos que tuvieran un alto impacto en términos de capacidades computacionales.
Las obligaciones de los desarrolladores de estos modelos serán mayores que las de los proveedores de modelos de propósito general básicos: evaluación del modelo, de posibles riesgos sistémicos y adecuado nivel de protección frente a ciberseguridad.
Una importante particularidad que se ha incluido en el reglamento ha sido la de poner en marcha un sistema de corregulación (a través de códigos de prácticas que la industria adoptará juntamente con la Comisión) que serán (estos códigos de prácticas) los que implementen las obligaciones enumeradas en el párrafo anterior. Esencial de nuevo esta segunda fase de desarrollo que se abrirá en los próximos meses dado que la aplicación de las normas sobre modelos está fijada en 12 meses desde la entrada en vigor y los códigos deben estar adoptados en 9 meses desde esa misma entrada en vigor.
Muy importante capítulo en el reglamento es el atinente a la innovación, donde el Consejo propuso junto con a la posibilidad de generar entornos controlados de prueba (los denominados “sandboxes”) el permitir el testado en condiciones de mundo real.
El capítulo de la gobernanza que se contiene en el reglamento es muy importante dado que la inteligencia artificial es una cuestión que se está tratando a nivel mundial en diferentes foros como el G7 o el G20. El sistema incluido está basado en atribución de competencias de arriba a abajo asumiéndose por parte de la Comisión a través de la Oficina de Inteligencia Artificial la supervisión de los modelos de propósito general de manera que la supervisión de todo el resto del reglamento se asigna a reguladores nacionales existiendo también un organismo de reguladores nacionales que debe supervisar las mejores prácticas y ser un coordinador con un sistema de alertas temprana.
Este reglamento es un primer paso regulatorio que ha sido así confirmado por la opinión mundial y que debería traducirse en una ventaja competitiva ya que todos “jugarán” con las reglas que la UE ha fijado de antemano, creándose un efecto prescriptor semejante al que se produjo con el Reglamento General de Protección de datos. Es muy probable (lo estamos viendo ya) que países como EEUU o China sigan las premisas de este reglamento porque al fin y al cabo la IA no tiene fronteras.
La UE fija las reglas del juego en la regulación de la IA: el efecto precriptor
