Novedades en la tramitación del próximo Reglamento europeo de inteligencia artificial

Reunión semanal de la Comisión von der Leyen sobre el fomento de un enfoque europeo de la inteligencia artificial en Bruselas (21/04/2021). De izquierda a derecha: Eric Mamer (portavoz jefe de la Comisión Europea), Margrethe Vestager (Vicepresidenta ejecutiva de la Comisión Europea) y Thierry Breton (Comisario de Mercado Interior)
Reunión semanal de la Comisión von der Leyen sobre un enfoque europeo de la inteligencia artificial (21/04/2021). Foto: Aurore Martignoni - EC Audiovisual Services / ©European Union, 2021

Tema

El Parlamento Europeo ha introducido el pasado 14 de junio de 2023 cambios a la Propuesta de Reglamento europeo por la que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de inteligencia artificial o Artificial Intelligence Act) y se modifican determinados actos legislativos de la Unión de 21 de abril de 2021.

Resumen

Este ARI expone las principales novedades en el futuro Reglamento europeo regulador de inteligencia artificial (IA), tras la tras la posición del Parlamento Europeo adoptada el pasado 14 de junio de 2023. Los cambios se refieren sobre todo a la ampliación del ámbito de aplicación del Reglamento, la incorporación de nuevas definiciones y unos principios estructurales para todos los sistemas de IA, el establecimiento de una regulación específica para los modelos fundacionales, cambios relevantes en los sistemas prohibidos y de alto riesgo, la obligación de los sistemas de IA generativa de revelar que los contenidos han sido generados artificialmente, intensificación de las medidas de apoyo a la innovación y la modificación de ciertos aspectos del régimen sancionador.

Análisis

Las aplicaciones del conjunto de tecnologías agrupadas bajo el supraconcepto[1] de IA son transversales. Se emplean en multitud de sectores y para usos y en entornos muy distintos. Desde la automatización de tareas puramente mecánicas o rutinarias (comunicaciones con clientes y proveedores, seguimiento de envíos, facturación, remesas…), hasta la cada vez más compleja toma de decisiones para la contratación (negociación algorítmica en los mercados financieros), la clasificación (selección de personal, filtrado de contenidos, perfiles de solvencia), la resolución de controversias (gestión de reclamaciones, resolución de conflictos) o la interacción con humanos con fines conversacionales, asistenciales o resolutivos (asistentes personales, robots asistenciales, chatbots). Los riesgos son muy diversos y las cuestiones jurídicas que plantean también difieren significativamente en cada caso.

Los efectos positivos de la inteligencia artificial son innumerables. Tanto para el sector privado como para el público. La IA está mejorando las organizaciones, así como su gestión y procesos internos. Aparecen nuevos modelos de negocio, productos y servicios. Y también para los Estados: predecibilidad de las decisiones administrativas y de las sentencias judiciales; sistemas objetivos de selección de empleados públicos; incremento de la protección policial; identificación de delincuentes; predictibilidad de defraudaciones e incumplimientos con la Hacienda Pública o la Seguridad Social, etc.

Pero también se han detectado efectos negativos: cualquiera de las ventajas enunciadas puede afectar a derechos individuales como la intimidad, la protección de datos, la igualdad y la no discriminación, o provocar la destrucción de puestos de trabajo, la confusión entre inocentes y delincuentes con un mal uso de la biométrica o incrementar la discriminación por diferentes circunstancias personales.

Por eso, con fecha 21 de abril de 2021 la Comisión Europea presentó la Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de inteligencia artificial o Artificial Intelligence Act) y se modifican determinados actos legislativos de la Unión[2], actualmente en muy avanzada tramitación.

Consideración general del Reglamento

Este proyecto normativo supondrá la primera regulación jurídica de la IA de carácter global, y será directamente aplicable en todos los Estados miembros de la Unión Europea (UE) sin necesidad de normas de transposición, como sí requieren en cambio las directivas.

Al mismo tiempo, aspira a tener una eficacia universal, como ya ha sucedido con el Reglamento General de Protección de Datos [3] (RGPD). Es decir, más allá de la UE, pues la futura normativa se aplicará a sistemas IA que funcionan como componentes de productos o que son productos en sí mismos que se pretenden comercializar o poner en servicio en el mercado de la UE.

La próxima norma pretende desarrollar un ecosistema de confianza mediante el establecimiento de un marco jurídico destinado a lograr que la IA sea fiable y respete el Derecho. Se basa en los valores y derechos fundamentales de la UE.

Tiene por objeto esencial inspirar confianza a los ciudadanos y otros usuarios para que adopten soluciones basadas en la IA, al tiempo que se trata de animar a las empresas a que desarrollen este tipo de soluciones. La IA debe ser un instrumento para las personas y una fuerza positiva en la sociedad, y su fin último debe ser incrementar el bienestar humano.

En consecuencia, regula la IA basándose en el riesgo y diferencia los sistemas de inteligencia artificial separando los prohibidos (porque generan riesgos inadmisibles y contravienen los valores de la UE, incluida la vulneración de los derechos fundamentales de los ciudadanos), distinguiéndolos de los de riesgo alto, limitado o mínimo.

Según su clasificación, el Reglamento establece determinados requisitos de mayor o menor intensidad y calado. Así, y de acuerdo con el principio de gestión de riesgo ya vigente en el RGPD[4], establece mínimas obligaciones de información para aquellas aplicaciones de inteligencia artificial consideradas como inocuas desde la perspectiva del riesgo, hasta la prohibición absoluta de otras en las que se considera que el riesgo para las personas es demasiado elevado.

Novedades introducidas por el Parlamento Europeo

Avanzando en su tramitación legislativa, el pasado 14 de junio de 2023 el Parlamento Europeo adoptó su posición sobre el texto del Reglamento.

En síntesis, los cambios introducidos en esta última versión se refieren sobre todo a la ampliación del ámbito de aplicación del Reglamento, la incorporación de nuevas definiciones y unos principios estructurales para todos los sistemas de IA, el establecimiento de una regulación específica para los modelos fundacionales, cambios relevantes en los sistemas prohibidos y de alto riesgo, la obligación de los sistemas de IA generativa de revelar que los contenidos han sido generados artificialmente, intensificación de las medidas de apoyo a la innovación y la modificación de ciertos aspectos del régimen sancionador.

En primer lugar, la definición de “sistema de inteligencia artificial” se alinea definitivamente con la propuesta por la Organización para la Cooperación y el Desarrollo Económicos (OCDE) en mayo de 2019, definiendo en consonancia el Reglamento éste como “un sistema basado en máquinas diseñado para funcionar con diversos niveles de autonomía y capaz, para objetivos explícitos o implícitos, de generar información de salida –como predicciones, recomendaciones o decisiones– que influya en entornos reales o virtuales”.

En segundo lugar, en cuanto al ámbito de aplicación del Reglamento ahora se incluyen como sujetos obligados a los implementadores (y no sólo los proveedores) de sistemas de IA, siempre y cuando el resultado producido por el sistema de IA esté destinado a ser utilizado en la UE o cuando dichos implementadores estén establecidos en la UE (independientemente del lugar en el que se utilice el sistema de IA). Asimismo, la norma será aplicable también a los importadores y distribuidores de sistemas de IA, así como a los representantes autorizados de los proveedores de sistemas de IA, cuando dichos importadores, distribuidores o representantes autorizados estén establecidos o se encuentren en la Unión.

También hay que destacar la incorporación de nuevas definiciones de términos tan relevantes como “modelo fundacional”[5] (a los que pertenecen ChatGPT, Bing Chat, Bard o LLaMA), “sistema de IA de uso general”, “riesgo”, “riesgo significativo”, “identificación biométrica”, “ultrafalsificación” (deep fake) o “espacio controlado de pruebas” (sandbox), entre otros. La ampliación de las definiciones resulta, en general, positiva y beneficiosa para la seguridad jurídica, aunque alguna de ellas debería redactarse en términos más neutrales para evitar su obsolescencia.

Novedad muy significativa es la tipificación de seis principios estructurales aplicables a todos los sistemas de IA regulados en la norma: intervención y vigilancia humanas; solidez y seguridad técnicas; privacidad y gobernanza de datos; transparencia; diversidad, no discriminación y equidad; y bienestar social y medioambiental. Estos principios entroncan con la propia Carta de los Derechos Fundamentales de la Unión Europea (CDFUE).

Al mismo tiempo, se ha añadido una regulación específica y completa sobre los modelos fundacionales, lo que incluye la transparencia en su uso, su eficiencia energética y medioambiental, la gestión de calidad y de riesgos o su inscripción en un registro europeo. Asimismo, se establecen obligaciones previas específicas para los desarrolladores, y si además estas herramientas se utilizan como parte de un sistema calificado de alto riesgo, entonces tendrán su mismo régimen.

Otro de los aspectos de calado modificados y que ha generado polémica en su tramitación es el relativo a la definición de los sistemas de IA prohibidos. En este sentido, la norma sigue un criterio basado en el riesgo para los derechos fundamentales y, por tanto, ahora se han incluido los sistemas de identificación biométrica remota “en tiempo real” en espacios de acceso público que permitirían un control masivo, los sistemas de identificación biométrica remota “en diferido” (con la única excepción de las fuerzas de seguridad para la persecución de delitos graves y sólo previa autorización judicial), los sistemas para determinar el riesgo de comisión de ilícitos penales o administrativos y los sistemas para inferir las emociones de una persona física en los ámbitos de la aplicación del Derecho y la gestión de fronteras, en lugares de trabajo y en centros educativos.

Del mismo modo, el Parlamento Europeo ha ampliado la lista de sistemas y aplicaciones de IA que deben considerarse de alto riesgo. La lista de sistemas de alto riesgo incluye, por ejemplo, algunos sistemas de IA utilizados por grandes plataformas de redes sociales para recomendar contenidos a los usuarios. Y los requisitos de estos sistemas han sido intensificados. Así, se introduce la garantía de que las personas físicas responsables de la supervisión humana de los sistemas de IA de alto riesgo sean específicamente conscientes del riesgo de sesgo de automatización o confirmación, y la obligación de proporcionar especificaciones para los datos de entrada o cualquier otra información pertinente en cuanto a los conjuntos de datos utilizados, incluida su limitación y supuestos, teniendo en cuenta la finalidad prevista y el mal uso previsible y razonablemente previsible del sistema.

Asimismo, el texto impone requisitos específicos a los sistemas de IA generativa, como la obligación de revelar que los contenidos han sido generados por IA, diseñar el sistema de forma que impida generar contenidos ilegales y publicar resúmenes de los datos protegidos por derechos de autor utilizados para el entrenamiento.

El alcance de las medidas de apoyo a la innovación ha sido ampliado. Una de las nuevas disposiciones exige a los Estados miembros de la UE que promuevan la investigación y el desarrollo de soluciones de IA que apoyen resultados positivos para la sociedad y el medio ambiente, como soluciones para aumentar la accesibilidad de las personas con discapacidad; atajar las desigualdades socioeconómicas, y cumplir los objetivos de sostenibilidad y medio ambiente. También se potencian el ámbito y financiación de los espacios controlados de pruebas o sandboxes.

El régimen sancionador es objeto de cambios relevantes. Frente a los iniciales tres niveles de sanciones, ahora se establecen cuatro. Las sanciones más elevadas serán de hasta 40 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 7% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, en caso de incumplimiento del artículo 5 de la norma (sistemas de IA prohibidos).

Por otra parte, se prevén multas intermedias de 20 millones de euros o de hasta el 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, y de hasta 10 millones de euros o de hasta el 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, para el caso de incumplimiento del sistema de IA o del modelo fundacional de las normas incluidas en los artículos 5, 10 y 13. Por último, se han propuesto multas más bajas, de cinco millones de euros o de hasta el 1% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, por facilitar información incorrecta, incompleta o engañosa a organismos o autoridades nacionales competentes en respuesta a una solicitud.

También es importante poner de manifiesto que el texto propone que las sanciones (incluidas las multas) tipificadas en la norma, así como las costas procesales y las reclamaciones de indemnización asociadas, no puedan estar sujetas a cláusulas contractuales u otras formas de acuerdos de reparto de cargas entre proveedores y distribuidores, importadores, implementadores o cualquier otro tercero.

En fin, especialmente relevante es la introducción de un derecho similar al del RGPD para presentar una denuncia ante una autoridad pública de supervisión.

Conclusiones

Este futuro Reglamento del Derecho digital europeo, tras los cambios introducidos por el Parlamento Europeo, supone una regulación prudente, meditada y proporcionada para hacer frente a los desafíos que entraña la IA. Coloca a la persona en el centro de la regulación y busca un punto de equilibrio entre la regulación y la innovación que aporta esta tecnología.

Durante los próximos meses, el Parlamento Europeo, el Consejo y la Comisión desarrollarán las negociaciones para terminar de cerrar el texto definitivo, que en principio será aprobado antes de final de año y bajo presidencia española del Consejo de la UE.

Los trílogos entre el Consejo, el Parlamento y la Comisión debatirán sin duda muchas cuestiones polémicas, como la lista de categorías de IA de alto riesgo y sus requisitos imperativos, la prohibición o no de la identificación biométrica en tiempo real y en diferido y otras. Sin embargo, se han discutido relativamente poco los detalles de la aplicación y el cumplimiento de la futura norma, que difieren significativamente entre las distintas propuestas del Reglamento provenientes del Consejo, la Comisión y el Parlamento.

Y es que el texto aprobado por el Parlamento Europeo centralizaría la supervisión de la IA en una agencia pública por cada Estado miembro (España ya está en proceso de completar la constitución de la Agencia Española de Supervisión de la Inteligencia Artificial, AESIA), al tiempo que ampliaría el papel de una Oficina de Coordinación de la IA para la UE, un cambio clave respecto a los textos de la Comisión y el Consejo. Las tres propuestas pretenden crear un ecosistema de supervisión pública de la IA en la Unión, pero ninguna se ha comprometido lo suficiente con este mecanismo como para garantizar su éxito. Además, en el horizonte se vislumbra el papel indeterminado de la responsabilidad civil. Estas cuestiones merecen atención y debate, porque independientemente de los sistemas específicos de IA que finalmente se regulen o prohíban en el ámbito de la UE, el éxito del Reglamento de IA de la Unión dependerá de una estructura de aplicación bien concebida, regulada y armonizada con el resto de los reguladores.

Una vez promulgado, el Reglamento de IA será una pieza de un grupo normativo más amplio del Derecho digital europeo, junto con normas como el RGPD, la Directiva NIS 2, la propuesta de Directiva relativa a la adaptación de las normas de responsabilidad civil extracontractual a la inteligencia artificial (Directiva sobre responsabilidad en materia de IA)[6] y la propuesta de revisión de la Directiva sobre responsabilidad por productos defectuosos de 1985[7].


[1] Sobre ello, véase Moisés Barrio Andrés (2022), “Inteligencia artificial: origen, concepto, mito y realidad”, en El Cronista del Estado Social y Democrático de Derecho, número 1002.

[2] COM(2021) 206 final.

[3] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

[4] El RGPD en sus artículos 5 y 24 integra la gestión del riesgo como un principio que exige que las organizaciones establezcan medidas técnicas y organizativas adecuadas y sean capaces de demostrar lo que hicieron y su eficacia cuando se les solicite.

[5] Véase Moisés Barrio Andrés (2023), “ChatGPT y su impacto en las profesiones jurídicas”, en Diario La Ley, número 10289. Disponible también en abierto.

[6] COM/2022/496 final.

[7] COM/2022/495 final.