La semana pasada se publicó a bombo y platillo el acuerdo provisional entre la presidencia del Consejo y el Parlamento de la Unión Europea sobre la propuesta de la llamada Ley de Inteligencia Artificial. Un paso más en el largo camino del proceso parlamentario europeo.
El objetivo principal de la norma es el de garantizar que los sistemas de inteligencia artificial comercializados y/o usados en la Unión Europea sean seguros y respeten los derechos fundamentales y los valores de la Unión Europea y deja al margen de su aplicación los sistemas de inteligencia artificial de carácter militar y de defensa así como los de uso no profesional, investigación y desarrollo.
Pretende asimismo promover la inversión y la innovación en inteligencia artificial mediante el desarrollo de un mercado único en la Unión Europea de aplicaciones en dicha tecnología dotando de seguridad jurídica la actual incertidumbre en cuanto a la normativa aplicable en cada estado miembro.
Es un texto que empezó a tramitarse en abril de 2021 (¡hace casi 3 años!) con un enfoque basado en el riesgo por el cual en función del nivel de riesgo que implique un sistema de inteligencia artificial cualquiera podrá estar prohibido o tendrá una regulación más o menos exigente en cuanto a las obligaciones que deberá cumplir para prevenir o mitigar dichos riesgos.
Los sistemas de inteligencia artificial que quedarán prohibidos serán por ejemplo aquellos que permitan la manipulación del comportamiento social, la captación indiscriminada de imágenes faciales de internet o de CCTVs, predicción policial, categorización biométrica por creencias políticas, religiosas, filosóficas o por su raza y orientación sexual.… es decir, aquellos que ponen en peligro los derechos fundamentales de los ciudadanos europeos.
Los sistemas de identificación biométrica en espacios abiertos y tiempo real parece que finalmente quedarán permitidos excepcionalmente previa autorización judicial y ante genuinas y previsibles amenazas terroristas, localización o identificación de delincuentes peligrosos por delitos graves y búsqueda de víctimas de dichos delitos.
Los de alto riesgo sin embargo requerirán del cumplimiento de una serie de obligaciones para poder ser comercializados y/o usados en la Unión Europea como pueden ser exigencias respecto de la información a añadir en la documentación técnica o de la calidad de los datos.
Los de riesgo limitado para los derechos fundamentales sin embargo (i.e. videojuegos) quedarán sometidos a reglas de transparencia por las que se deberá informar al usuario de que el contenido es generado por sistemas de inteligencia artificial.
El acuerdo provisional ha incluido normas específicas para los modelos fundacionales (Chat gpt, Bard…) que deberán cumplir con obligaciones de transparencia previas a su puesta en el mercado, si bien diferencia aquellos sistemas que sean entrenados con grandes cantidades de datos y complejidad, capacidades y desarrollo avanzados por encima de la media que puedan producir riesgos, que tendrán un régimen jurídico más estricto. En particular deberán especificar si un texto, una canción o una fotografía se han generado a través de la inteligencia artificial y garantizar que los datos que se han empleado para entrenar a los sistemas respetan los derechos de autor.
Además el acuerdo provisional profundiza en la determinación de responsabilidades y roles de los distintos actores en las cadenas de los sistemas de inteligencia artificial, de manera que sea más fácil delimitar su implicación, así como la interacción con otras normativas con las que esta tecnología entra en conflicto como la de protección de datos.
Creará una agencia europea de la inteligencia artificial de supervisión del sector que incluirá representantes de todos los estados miembros, asesorada por un panel de científicos y expertos independientes y que entre otras funciones tendrá encomendada la potestad sancionadora pudiendo imponer sanciones de hasta 35 millones de euros o el 7% de su volumen de facturación global, la que sea mayor, para supuestos de sistemas de inteligencia artificial prohibidos decreciendo los umbrales de las sanciones en casos de infracciones por sistemas permitidos.
Lo cierto es que parece que la norma prevé su aplicación con carácter general para dos años después de su entrada en vigor (algo parecido ocurrió con el Reglamento Europeo de Protección de Datos), esto es, 2026, lo cual, si bien es comprensible por dar a los operadores tiempo para adaptarse a la normativa, parece demasiado lejano en el tiempo teniendo en cuenta tanto el período de tramitación parlamentaria transcurrido hasta ahora como por la velocidad a la que la propia tecnología evoluciona y que podría generar la paradoja de que no se corresponda lo legislado ahora con la realidad tecnológica al momento de su entrada en vigor.
Máxime teniendo en cuenta que todavía queda trabajo por hacer hasta su publicación definitiva por cuanto que es preciso que se concreten algunos detalles técnicos en las próximas semanas y el texto sea revisado por los expertos lingüistas legales de la Unión Europea y quede ratificado por ambas instituciones.