Las claves de la primera ley de inteligencia artificial del mundo: riesgos, aplicaciones prohibidas y multas

Tras 36 horas de negociaciones, los 27 y el Parlamento anunciaron el acuerdo: la primera ley del mundo sobre inteligencia artificial. La legislación aún tiene por delante un largo camino administrativo y legislativo y no se espera que entre en vigor hasta dentro de varios años, pero supone todo un hito histórico que marca un antes y un después en el uso de la IA.

"¡TRATO! ¡TRATO! ¡TRATO! El Consejo de la Unión Europea y el Parlamento Europeo han llegado a un acuerdo provisional sobre la ley de inteligencia artificial". Así, en letras mayúsculas, lo ha anunciado la Presidencia española del Consejo de la UE, demostrando la magnitud del acuerdo. Un acuerdo que "tiene como objetivo garantizar que los sistemas de IA colocados y utilizados en la UE sean seguros y respeten los derechos fundamentales y los valores europeos".

Tras dos días de largas negociaciones e intensos debates -dos sesiones de 22 y 14 horas- se ha llegado a este convenio comunitario que, aunque no se espera que esté completamente en funcionamiento hasta finales de 2026 -algunas medidas sí se implementarán antes-, subraya la necesidad que había para regular un campo tan al alza y en crecimiento como es la IA.

Conocida como IA Act, la Ley de Inteligencia Artificial, se presentó por primera vez en abril de 2021. Ahora, tras la gran popularización de aplicaciones como ChatGPT, los organismos gubernamentales han visto la necesidad de darle un impulso a esta normativa que es provisional -ambas partes deben todavía ratificarlo-, pero también una realidad.

"La ley de inteligencia artificial de la UE es pionera en el mundo. Un marco legal único para el desarrollo de la inteligencia artificial el que se puede confiar", dijo la presidenta de la Comisión Europea, Ursula von der Leyen, en un mensaje en su cuenta de la red social X.

4 niveles de riesgo

"El acuerdo centra la norma en los riesgos identificables, aporta seguridad jurídica y abre el camino a la innovación en una IA fiable. Al garantizar la seguridad y los derechos de las personas y empresas, la ley apoyará el desarrollo, despliegue y asimilación de la IA en la UE centrados en las personas, transparentes y responsables", ha señalado Von der Leyen.

Una de las claves de la IA Act es que clasifica la inteligencia artificial en función del riesgo que representa. En el comunicado en el que se detalla la normativa se hace referencia a cuatro niveles, que van desde el más bajo hasta el inasumible.

Según este criterio, la mayoría de IAs se enmarcarán en el primer caso, el de 'riesgo mínimo'. Aquí entrarían, entre otros, los sistemas de recomendación. En estos casos, se "beneficiarán de un pase libre y la ausencia de obligaciones", reza el comunicado.

Caso diferente es cuando se considere que la inteligencia artificial es de 'alto riesgo', como pueden ser las relacionadas con infraestructuras críticas, como instalaciones de agua, gas y electricidad o dispositivos médicos. La tecnología estará entonces regida a "requisitos estrictos": sistemas de mitigación de riesgos, un registro de actividad, supervisión y aportar información clara, entre otras medidas.

Y a estos dos habría que añadir otros dos niveles: el de 'transparencia específico', que establece que en el caso de los chatbots los usuarios deben ser conscientes de que están interactuando con una máquina; y el 'riesgo inaceptable', donde se incluirían las IAs que "manipulan el comportamiento humano para eludir el libre albedrío de los usuarios". En esos segundos casos, la Comisión Europea habla directamente de prohibición.

Aplicaciones prohibidas

Además, el Parlamento Europeo especifica aplicaciones prohibidas que representan una amenaza tanto para los derechos de los ciudadanos como para la democracia y entre los que se incluirían ciertos sistemas de reconocimiento biométrico y de categorización. En concreto, cita los sistemas de categorización biométrica que se apoyan en "características sensibles", como la raza, la orientación sexual o el credo; "la extracción no dirigida" de imágenes de rostros de Internet o de cámaras de vigilancia (CCTV) para elaborar bases de datos de reconocimiento; o sistemas de puntuación social basados en el comportamiento social o las características personales.

De esta manera, la norma prohíbe las cámaras de reconocimiento facial en espacios públicos. No obstante, desde los gobiernos centrales han presionado para permitirlas en determinadas circunstancias y en casos concretos, siempre con previa autorización judicial.

Otra de las claves que han alargado la negociación ha sido la regulación de los modelos de IA generativa, como ChatGPT o Bard. Esta tecnología contará con reglas específicas con el objetivo de garantizar la transparencia. "Para modelos muy potentes que podrían plantear riesgos sistémicos, habrá obligaciones vinculantes adicionales relativas a la gestión de riesgos y seguimiento de incidentes graves, la realización de evaluaciones de modelos y pruebas adversas", se explica.

Multas para asegurar que se cumpla la ley

En lo referente a las sanciones, se precisa que saltarse las pautas de la legislación puede acarrear multas que van desde 7,5 millones de euros o el 1,5% del volumen de negocio a 35 millones de euros o el 7% del volumen de negocio. El importe final dependerá del tipo de infracción o el tamaño de la empresa.

¿Qué había antes de esta normativa?

Ya antes de la IA Act, en Europa se habían tomado diversas medidas con la finalidad de abordar los desafíos que plantea la inteligencia artificial. Lo mismo ocurría en Estados Unidos, aunque todas estas acciones eran más bien directrices éticas, estrategias nacionales y regulaciones generales de datos. La situación cambia ahora con esta legislación con detalles específicos y bien detallados.

Entre esas pautas europeas anteriores a la reciente legislación sobre el uso de la IA se encuentran las siguientes:

• Directrices Éticas para la IA Confiable: en abril de 2019, la Comisión Europea presentó unas directrices éticas para el desarrollo y uso de la IA. Estas estaban centradas en asegurar que esta tecnología fuera legal, ética y robusta desde un punto de vista técnico.
• Reglamento General de Protección de Datos (GDPR): implementado en mayo de 2018, y aunque no específico de la inteligencia artificial, el GDPR influyó significativamente en el manejo de los datos relacionados con esta herramienta, sobre todo en lo referente a la privacidad y protección de los datos personales.
• Iniciativas Nacionales: varios países de la UE, entre los que se encuentran Francia o Alemania, han desarrollado estrategias propias sobre la inteligencia artificial, centradas en la ética, la innovación y el apoyo a la investigación y el desarrollo en el campo de la IA.

Y en EEUU encontrábamos estas directrices:

• Guía de la Casa Blanca para la Regulación de la IA: la Casa Blanca publicó un conjunto de principios para el desarrollo y la regulación de la inteligencia artificial en enero de 2020. Unos principios que estaban enfocados en la promoción de la innovación y el crecimiento económico, al tiempo que se protegía la seguridad pública y se fomentaban los valores estadounidenses.
• National Artificial Intelligence Initiative Act: aprobada a finales de 2020 con el objetivo de coordinar y unificar los esfuerzos de inteligencia artificial en todo el gobierno federal de los Estados Unidos, además de para promover la investigación, la educación y la formación en IA.
• Directrices y estándares técnicos: el Instituto Nacional de Estándares y Tecnología (NIST), entre otras organizaciones, han trabajado en el desarrollo de estándares y marcos para la inteligencia artificial, entre los que se incluyen aspectos de fiabilidad y seguridad.
• Iniciativas del sector privado: el sector privado también ha jugado un papel importante en lo referente a las prácticas éticas de la IA. Así, empresas de la talla de Google, Microsoft o IBM han desarrollado sus propios principios éticos sobre la IA, así como han participado en varias iniciativas para promover su uso responsable.