Fue una negociación maratonica. Fueron necesarias dos sesiones de 22 y 14 horas, respectivamente, para lograr un acuerdo, pero la Unión Europea (UE) puede decir que tendrá la primera ley para regular la Inteligencia Artificial tras el entendimiento al que llegaron la presidencia española del Consejo (que representa a los gobiernos de los 27), el Parlamento Europeo y la Comisión Europea, aunque aún debe ser ratificada formalmente por las dos primeras instituciones. Los colegisladores están convencidos de que la reglamentación será garantista al mismo tiempo que permitirá el desarrollo de las tecnologías.
La negociación se puso cuesta arriba en su recta final con la presión de Alemania, Francia e Italia para dejar fuera de la regulación a los grandes sistemas de IA multipropósito, como ChatGPT, limitándola a la aplicación concreta de cada uno. La Eurocámara se oponía frontalmente a esa posición y quería un cierto control ex ante de esos “modelos fundacionales” en los que se basan los demás. Una vez sorteado ese desafío, las conversaciones se centraron en la vigilancia biométrica, fundamentalmente en los espacios públicos. Los parlamentarios querían una prohibición completa del uso de la Inteligencia Artificial para el control biométrico en directo frente a una posición mucho menos restrictiva de los 27. También se oponían a su uso para el reconocimiento de emociones o para las denominadas policía o justicia predictivas. La negociación profundizó en todos los detalles.
Para la presidencia española del Consejo de la UE era importante cerrar el acuerdo para llevarse la victoria muy simbólica de la primera regulación de la Inteligencia Artificial, una “prioridad estratégica”, según afirmó la secretaria de Estado de Digitalización, Carme Artigas, que aseguró que es el “mayor hito” de la digitalización en Europa. En las 48 últimas horas de negociación se produjeron numerosos intercambios de propuestas en las que el Consejo trató, finalmente con éxito, de flexibilizar la posición inicial del Parlamento, mucho más restrictiva. “La regulación pretende garantizar que los sistemas de IA instalados y utilizados en la UE sean seguros y respeten los derechos fundamentales y los valores europeos”, destacó la presidencia española tras el acuerdo.
Los gobiernos europeos apostaban por utilizar la Inteligencia Artificial en tiempo real en los espacios públicos para evitar delitos como el terrorismo, el abuso sexual o la protección de infraestructuras críticas. Sin embargo, el Parlamento Europeo consideraba que ese tipo de despliegues podrían suponer una vulneración de los derechos fundamentales. “Los gobiernos quieren una larga lista de excepciones a la aplicación que no vamos a aceptar”, afirmó uno de los negociadores parlamentarios, el socialdemócrata Brando Benifei, en un encuentro con periodistas horas antes de sentarse a negociar. Se abrió, eso sí, a permitir el control biométrico con excepciones y salvaguardas.
Así, los sistemas de identificación biométrica (RBI) en espacios de acceso público con fines policiales tendrán que estar sujetos a una autorización judicial previa y limitarse a un listado de delitos al igual que su uso para la búsqueda selectiva de una persona condenada o sospechosa de haber cometido un delito grave. “La RBI en tiempo real cumpliría condiciones estrictas y su uso estaría limitado en el tiempo y el lugar, a efectos de: búsquedas específicas de víctimas (secuestro, trata, explotación sexual), prevención de una amenaza terrorista específica y actual, o la localización o identificación de una persona sospechosa de haber cometido delitos como terrorismo, trata de seres humanos, explotación sexual, asesinato, secuestro, violación, robo a mano armada, participación en una organización delictiva o contra el medio ambiente”, según informó la Eurocámara en un comunicado. Los ponentes parlamentarios celebraron que, a pesar de que no hay una prohibición completa, como querían, el texto es más restrictivo que la propuesta inicial de la Comisión.
También se incluyen limitaciones a las aplicaciones de la Inteligencia Artificial, como los sistemas de categorización biométrica que utilicen características sensibles (por ejemplo, creencias políticas, religiosas o filosóficas, orientación sexual o raza), la extracción no selectiva de imágenes faciales de Internet o de grabaciones de CCTV para crear bases de datos de reconocimiento facial; el reconocimiento de emociones en el lugar de trabajo y en instituciones educativas; o el social scoring (calificación social), entre otras. Más allá de las limitaciones o prohibiciones, la regulación establece un listado de riesgos de la Inteligencia Artificial que estarán sujetos a determinadas condiciones.
“La Ley de IA establece normas para los grandes y potentes modelos de IA, garantizando que no presenten riesgos sistémicos para la UE y ofrece sólidas salvaguardias para nuestros ciudadanos y nuestras democracias frente a cualquier abuso de la tecnología por parte de las autoridades públicas. Protege a nuestras empresas, refuerza nuestra capacidad para innovar y liderar en el campo de la IA y protege a los sectores vulnerables de nuestra economía”, resumió el eurodiputado Dragos Tudorache (Renew).
El otro gran desafío tenía que ver con los denominados modelos fundacionales, como Chat GPT. La norma hará que esos sistemas de inteligencia artificial generativa tengan que ser transparentes al indicar que los resultados, sean textos, imágenes, vídeos, etc., son producto de la inteligencia artificial y los datos a partir de los que se elaboraron para cumplir con los derechos de autor.
La presión ejercida por Francia, Alemania e Italia en la recta final de las negociaciones llevó a la presidencia española a hacer una propuesta tendente a la autorregulación de esos sistemas, basada en un “código de conducta” pactado por la industria. Esta parte del reglamento no estaba prevista en la propuesta inicial de la Comisión Europea de 2021, cuando este tipo de sistemas no habían demostrado poder llegar a ser de uso masivo como reveló este 2023.
En este sentido la posición de la Eurocámara también tendía hacía una regulación más estricta para los desarrolladores de estos modelos, dados los “riesgos sistémicos” que puede acarrear esta tecnología. Así, planteaba la obligatoriedad de hacer una comprobación de que esos sistemas eran seguros antes de que estuvieran en el mercado para situaciones consideradas de riesgo, como la sanidad, la justicia o las relaciones laborales.
La intención de la futura regulación, que entrará en vigor gradualmente a partir de 2024, es establecer un marco normativo que sea flexible a la incorporación de nuevos sistemas de una tecnología que está en constante desarrollo. Esa era la preocupación de países como Francia, Alemania e Italia que, el último momento de la negociación, apostaron por la autorregulación por el temor a que la UE quedara en desigualdad de condiciones frente a competidores como Estados Unidos o China. Sin embargo, la Asociación de la Industria Informática y la Comunicación ya dijo que “impone obligaciones estrictas a los desarrolladores de tecnologías punteras en las que se basan muchos sistemas derivados, por lo que es probable que frene la innovación en Europa”.
La futura legislación incluye, además, un régimen sancionador para las empresas que la incumplan y que se enfrentarán a multas de entre 35 millones de euros o el 7% de la facturación global y 7,5 millones o el 1,5% de la facturación, dependiendo de la infracción y el tamaño de la empresa.