Antecedentes
Los Estados y el Parlamento Europeo llegaron el 8 de diciembre de 2023, y después de tres días de intensas y duras negociaciones, a un acuerdo, un texto final que todavía deberá ser ratificado antes de entrar en vigor, previsiblemente a finales de 2026, aunque algunas disposiciones entrarán en vigor con anterioridad. Este texto define las obligaciones y normas por las que deberá regirse una tecnología que está aquí para quedarse y que está transformando completamente la vida diaria, pero que conlleva tantas posibilidades como riesgos, muchos de ellos ni siquiera aún imaginables.
El Reglamento Ley de IA es una iniciativa legislativa emblemática con el potencial de fomentar el desarrollo y la adopción de IA segura y confiable en todo el mercado único de la UE por parte de actores públicos y privados. La idea principal es regular la IA en función de su capacidad de causar daño a la sociedad siguiendo un enfoque ‘basado en el riesgo’ : cuanto mayor es el riesgo, más estrictas son las reglas . Como primera propuesta legislativa de este tipo en el mundo, puede establecer un estándar global para la regulación de la IA en otras jurisdicciones, tal como lo ha hecho el GDPR (LA LEY 6637/2016), promoviendo así el enfoque europeo de la regulación tecnológica en el escenario mundial.
El Reglamento de Inteligencia Artificial responde directamente a las propuestas ciudadanas de la Conferencia sobre el Futuro de Europa (COFE), más concretamente a la propuesta 12(10) sobre la mejora de la competitividad de la UE en sectores estratégicos, la propuesta 33(5) sobre una sociedad segura y digna de confianza, incluida la lucha contra la desinformación y la garantía de que los humanos tengan el control en última instancia, la propuesta 35 sobre la promoción de la innovación digital, (3) garantizando al mismo tiempo la supervisión humana y (8) el uso confiable y responsable de la IA, estableciendo salvaguardias y garantizando la transparencia, y la propuesta 37 (3) sobre el uso IA y herramientas digitales para mejorar el acceso de los ciudadanos a la información, incluidas las personas con discapacidad.
Aplicaciones prohibidas
Las nuevas reglas prohíben ciertas aplicaciones de inteligencia artificial que amenazan los derechos de los ciudadanos, incluidos los sistemas de categorización biométrica basados en características sensibles y la extracción no dirigida de imágenes faciales de Internet o imágenes de CCTV para crear bases de datos de reconocimiento facial. También estarán prohibidos el reconocimiento de emociones en el lugar de trabajo y las escuelas, la puntuación social, la vigilancia policial predictiva (cuando se base únicamente en perfilar a una persona o evaluar sus características) y la IA que manipule el comportamiento humano o explote las vulnerabilidades de las personas.
Exenciones de aplicación de la ley
El uso de sistemas de identificación biométrica (RBI) por parte de las fuerzas del orden está prohibido en principio, excepto en situaciones enumeradas exhaustivamente y definidas de forma estricta. La RBI «en tiempo real» sólo se puede implementar si se cumplen estrictas salvaguardias, por ejemplo, su uso está limitado en el tiempo y el alcance geográfico y está sujeto a una autorización judicial o administrativa previa específica. Dichos usos pueden incluir, por ejemplo, la búsqueda selectiva de una persona desaparecida o la prevención de un ataque terrorista. El uso de dichos sistemas post-facto («RBI post-remoto») se considera un caso de uso de alto riesgo, que requiere autorización judicial vinculada a un delito penal.
Obligaciones para sistemas de alto riesgo
También se prevén obligaciones claras para otros sistemas de IA de alto riesgo (debido a su importante daño potencial a la salud, la seguridad, los derechos fundamentales, el medio ambiente, la democracia y el Estado de derecho). Ejemplos de usos de IA de alto riesgo incluyen infraestructura crítica, educación y capacitación vocacional, empleo, servicios públicos y privados esenciales (por ejemplo, atención médica, banca), ciertos sistemas de aplicación de la ley, migración y gestión de fronteras, justicia y procesos democráticos (por ejemplo, influir en las elecciones). Dichos sistemas deben evaluar y reducir los riesgos, mantener registros de uso, ser transparentes y precisos y garantizar la supervisión humana. Los ciudadanos tendrán derecho a presentar quejas sobre los sistemas de IA y a recibir explicaciones sobre las decisiones basadas en sistemas de IA de alto riesgo que afecten a sus derechos.
Requisitos de transparencia
Los sistemas de IA de propósito general (GPAI), y los modelos GPAI en los que se basan, deben cumplir ciertos requisitos de transparencia, incluido el cumplimiento de la ley de derechos de autor de la UE y la publicación de resúmenes detallados del contenido utilizado para la capacitación. Los modelos GPAI más potentes que podrían plantear riesgos sistémicos enfrentarán requisitos adicionales, incluida la realización de evaluaciones de modelos, la evaluación y mitigación de riesgos sistémicos y la presentación de informes sobre incidentes.
Además, las imágenes, el contenido de audio o de vídeo artificiales o manipulados («deepfakes») deben etiquetarse claramente como tales.
Medidas de apoyo a la innovación y a las pymes
Será necesario establecer entornos de pruebas regulatorios y pruebas en el mundo real a nivel nacional, y hacerlos accesibles a las pymes y las empresas emergentes, para desarrollar y capacitar una IA innovadora antes de su comercialización.
Actuaciones futuras
El reglamento aún está sujeto a una revisión final por parte de los juristas lingüistas y se espera que sea adoptado definitivamente antes de que finalice la legislatura (mediante el llamado procedimiento de corrección de errores ).También necesita ser respaldada formalmente por el Consejo.
Entrará en vigor veinte días después de su publicación en el Diario Oficial, y será plenamente aplicable 24 meses después de su entrada en vigor, excepto: prohibiciones de prácticas prohibidas, que se aplicarán seis meses después de la fecha de entrada en vigor; códigos de práctica (nueve meses después de su entrada en vigor); normas de IA de uso general, incluida la gobernanza (12 meses después de la entrada en vigor); y obligaciones para sistemas de alto riesgo (36 meses).