La UE está a punto de convertirse en la policía mundial de la IA con normas vinculantes sobre transparencia, ética, y más.
Está hecho. Se ha acabado. Dos años y medio después de presentarse por primera vez, tras meses de presiones, pulso político, y unas agotadoras negociaciones finales que duraron casi 40 horas, los legisladores de la UE han llegado a un acuerdo sobre la Ley de Inteligencia Artificial. Será la primera Ley de IA del mundo.
La Ley de IA se concibió como un proyecto de ley histórico, que mitigaría los perjuicios en ámbitos donde el uso de la IA supone un mayor riesgo para los derechos fundamentales. Por ejemplo, la sanidad, la educación, la vigilancia de fronteras y los servicios públicos, además de prohibir los usos que supongan un "riesgo inaceptable".
Los sistemas de IA de "alto riesgo" deberán cumplir unas estrictas normas que exijan, por ejemplo, sistemas de mitigación de esos riesgos, conjuntos de datos de alta calidad, mejor documentación y supervisión humana. Sin embargo, la gran mayoría de los usos de la IA, como los sistemas de recomendación y los filtros de spam, tendrán vía libre.
La Ley de IA es un gran acuerdo, ya que introducirá importantes normas y mecanismos de aplicación en un sector muy influyente que ahora parece el Salvaje Oeste.
Estas son las principales conclusiones de MIT Technology Review:
1. La Ley de IA introduce normas importantes y vinculantes sobre transparencia y ética
A las empresas tecnológicas les encanta hablar de su compromiso con la ética de la IA. Pero, cuando se trata de medidas concretas, la conversación se estanca. En cualquier caso, los hechos dicen más que las palabras. Los equipos responsables de IA suelen ser los primeros en sufrir recortes durante los despidos y las empresas tecnológicas pueden cambiar sus políticas éticas en materia de IA en cualquier momento. Por ejemplo, OpenAI empezó como un laboratorio de investigación de IA "abierta" antes de cerrar el acceso público a su investigación para conservar su ventaja competitiva, como cualquier otra start-up de IA.
La ley cambiará esta situación. El reglamento impone normas jurídicamente vinculantes que obligan a las empresas tecnológicas a notificar a los usuarios cuando interactúan con un chatbot, sistemas de categorización biométrica o de reconocimiento de emociones. También exigirá que se etiqueten tanto los deepfakes como los contenidos generados por IA, y se diseñen los sistemas de forma que puedan detectarse los medios generados por IA. Es un paso más allá de los compromisos voluntarios que las principales empresas de IA contrajeron con la Casa Blanca para limitarse a desarrollar herramientas de procedencia de la IA, como las marcas de agua.
El proyecto de ley también obligará a todas las organizaciones que ofrecen servicios esenciales, como seguros y banca, a realizar una evaluación de impacto sobre cómo afectará el uso de sistemas de IA a los derechos fundamentales de las personas.
2. Las empresas de IA aún tienen mucho margen de maniobra
En 2021, cuando se presentó por primera vez la Ley de IA, la población aún hablaba del metaverso. (¿Te lo puedes creer?)
En un mundo post-ChatGPT, los legisladores consideraron que la regulación debía tener en cuenta a los denominados modelos de lenguaje, unas potentes herramientas de IA que pueden utilizarse para fines muy distintos. Esto provocó un intenso debate sobre qué tipo de modelos deberían regularse, y si esta regulación podría acabar con la innovación.
La Ley de IA exigirá que los modelos fundacionales y los sistemas de IA creados a partir de ellos mejoren la documentación, cumplan la legislación de la UE sobre derechos de autor y compartan más información sobre los datos con los que se ha entrenado el modelo. Y, para los modelos más potentes, hay requisitos adicionales. Por ejemplo, las empresas tecnológicas tendrán que informar sobre la seguridad y eficiencia energética de sus modelos de IA.
No obstante, aquí está el truco. El compromiso al que han llegado los legisladores consiste en aplicar un conjunto de normas más estrictas solo a los modelos de IA más potentes, en función de la potencia informática necesaria para entrenarlos. Y corresponderá a las empresas evaluar si entran dentro de las normas más estrictas.
Un funcionario de la Comisión Europea no quiso confirmar si el límite actual incluiría potentes modelos como GPT-4 de OpenAI o Gemini de Google, porque solo las propias empresas saben cuánta potencia de cálculo utilizaron para entrenar sus modelos. El funcionario sí afirmó que, a medida que se desarrolle la tecnología, la UE podría cambiar la forma de medir la potencia de los modelos de IA.
3. La UE se convertirá en la primera policía de la IA del mundo
La Ley de la IA creará una nueva Oficina Europea de la IA para coordinar su cumplimiento, aplicación y ejecución. Será el primer organismo mundial que aplique normas vinculantes sobre IA, y la UE espera que esto le ayude a convertirse en el regulador tecnológico mundial de referencia. El mecanismo de gobernanza de la Ley de IA también incluye a un grupo científico de expertos independientes que ofrezca orientación sobre los riesgos sistémicos que plantea la IA, y cómo clasificar y probar los modelos.
Las multas por incumplimiento son elevadas: del 1,5% al 7% de la facturación global de una empresa, dependiendo de la gravedad de la infracción y del tamaño de la empresa.
Europa también se convertirá en uno de los primeros lugares del mundo donde los ciudadanos podrán presentar quejas sobre los sistemas de IA y recibir explicaciones sobre cómo estos sistemas han llegado a las conclusiones que les afectan.
Al ser la primera en formalizar normas en torno a la IA, la UE conserva su ventaja. Al igual que el RGPD, la Ley de IA podría convertirse en una norma mundial. Las empresas de otros países que quieran hacer negocios en la segunda economía mundial tendrán que cumplir la ley. Las normas de la UE también van un paso más allá que las introducidas por EE UU, como la orden ejecutiva de la Casa Blanca, ya que son vinculantes.
4. La seguridad nacional siempre gana
Algunos usos de la IA ahora están prohibidos en la UE: los sistemas de categorización biométrica que utilizan características más sensibles, el raspado no selectivo de imágenes faciales de internet o grabaciones de CCTV [circuito cerrado de televisión] para crear bases de datos de reconocimiento facial como Clearview AI. Además, el reconocimiento de emociones en el trabajo o las escuelas, el scoring (puntuación) social, los sistemas de IA que manipulan el comportamiento humano, y la IA utilizada para explotar las vulnerabilidades de las personas.
Se prohíbe también la actuación policial predictiva, a menos que se utilice con "una clara evaluación humana y hechos objetivos, que no dejen la decisión de ir a por un individuo concreto en una investigación penal solo porque lo indique un algoritmo", según un funcionario de la Comisión Europea.
Sin embargo, la Ley de IA no se aplica a los sistemas desarrollados de manera exclusiva para usos militares y de defensa.
Una de las luchas más cruentas en torno a la Ley de IA ha sido siempre cómo regular el uso policial de sistemas biométricos en lugares públicos, muchos temen que pueda conducir a una vigilancia masiva. Mientras el Parlamento Europeo impulsaba una prohibición casi total de esta tecnología, algunos países de la UE, como Francia, se han resistido de manera feroz. Pues quieren utilizarla para luchar contra la delincuencia y el terrorismo.
Las fuerzas policiales europeas solo podrán utilizar sistemas de identificación biométrica en lugares públicos si antes obtienen la aprobación judicial, y para 16 delitos específicos, como terrorismo, trata de seres humanos, explotación sexual de menores y tráfico de drogas. Las fuerzas del orden también podrán utilizar sistemas de IA de alto riesgo que no superen las normas europeas en "circunstancias excepcionales relacionadas con la seguridad pública".
5. ¿Y ahora qué?
Podrían pasar semanas o incluso meses antes de que veamos la redacción final del proyecto de ley. El texto aún tiene que sufrir algunos retoques técnicos, además de ser aprobado por los países europeos y el Parlamento de la UE antes de entrar en vigor de manera oficial.
Una vez esté vigente, las empresas tecnológicas tienen dos años para aplicar las normas. Las prohibiciones de los usos de la IA se aplicarán a los seis meses, y las empresas que desarrollen modelos fundacionales tendrán que cumplir la ley en el plazo de un año.