La Unión Europea se ha convertido en la primera institución supranacional en legislar sobre el uso de la inteligencia artificial (IA). Los negociadores del Parlamento Europeo y el Consejo alcanzaron un acuerdo provisional sobre la futura Ley de Inteligencia Artificial, la cual tiene por objeto garantizar que los derechos fundamentales, la democracia, el Estado de Derecho y la sostenibilidad medioambiental, al tiempo que impulsa la innovación y convierte a Europa en líder en este ámbito.
Este nuevo reglamento establece obligaciones para las aplicaciones de IA en función de sus riesgos potenciales y su nivel de impacto sobre los derechos de los ciudadanos. De esta manera, el texto legal prohíbe la utilización de las siguientes capacidades y funcionalidades:
• Sistemas de categorización biométrica que utilizan características sensibles (por ejemplo, creencias políticas, religiosas, filosóficas, orientación sexual o raza).
• Extracción no selectiva de imágenes faciales de Internet o de imágenes de circuito cerrado de televisión para crear bases de datos de reconocimiento facial.
• Reconocimiento de emociones en el lugar de trabajo y en las instituciones educativas.
• Puntuación social basada en el comportamiento o las características personales.
• Manipulación del comportamiento humano para eludir su libre albedrío.
• Explotación de vulnerabilidades de las personas (debido a su edad, discapacidad, situación social o económica).
Exenciones para la aplicación de la ley
Por otro lado, los negociadores también acordaron una serie de salvaguardias y excepciones limitadas para el uso de sistemas de identificación biométrica (RBI, por sus siglas en inglés) en espacios de acceso público con fines de aplicación de la ley, sujetos a autorización judicial previa y para listas de delitos estrictamente definidas. El RBI ‘post-remoto’ se utilizaría en el registro selectivo de una persona condenada o sospechosa de haber cometido un delito grave.
El RBI ‘en tiempo real’ cumpliría condiciones estrictas y su uso estaría limitado en el tiempo y el lugar, con los siguientes fines: búsquedas selectivas de víctimas (secuestro, trata, explotación sexual); prevención de una amenaza terrorista concreta y presente; o la localización e identificación de una persona sospechosa de haber cometido uno de los delitos específicos mencionados en el reglamento (por ejemplo, terrorismo, trata de seres humanos, explotación sexual, asesinato, secuestro, violación, robo a mano armada, participación en una organización delictiva, delitos contra el medioambiente).
Obligaciones de los sistemas de alto riesgo
En el caso de los sistemas de IA clasificados como de alto riesgo (debido a su importante daño potencial para la salud, la seguridad, los derechos fundamentales, el medioambiente, la democracia y el Estado de Derecho), se acordaron obligaciones claras. Los eurodiputados lograron incluir con éxito una evaluación de impacto obligatoria de los derechos fundamentales, entre otros requisitos, aplicable también a los sectores de los seguros y la banca.
Los sistemas de IA utilizados para influir en el resultado de las elecciones y el comportamiento de los votantes también se clasifican como de alto riesgo. Los ciudadanos tendrán derecho a presentar quejas sobre los sistemas de IA y a recibir explicaciones sobre las decisiones basadas en sistemas de IA de alto riesgo que afecten a sus derechos.
Barreras para sistemas generales de IA
Para tener en cuenta la amplia gama de tareas que pueden realizar los sistemas de IA y la rápida expansión de sus capacidades, se acordó que los sistemas de IA de uso general (GPAI, por sus siglas en inglés), y los modelos de GPAI en los que se basan, deberán cumplir los requisitos de transparencia propuestos inicialmente por el Parlamento Europeo. Entre ellos se encuentran la elaboración de documentación técnica, el cumplimiento de la legislación de la UE en materia de derechos de autor y la difusión de resúmenes detallados sobre los contenidos utilizados para la formación.
En el caso de los modelos de GPAI de alto impacto con riesgo sistémico, los negociadores del Europarlamento lograron obtener obligaciones más estrictas. Si estos modelos cumplen determinados criterios, tendrán que llevar a cabo evaluaciones de modelos, mitigar los riesgos sistémicos, realizar ensayos contradictorios, informar a la Comisión sobre incidentes graves, garantizar la ciberseguridad e informar sobre su eficiencia energética. Los eurodiputados también insistieron en que, hasta que se publiquen las normas armonizadas de la UE, las GPAI con riesgo sistémico pueden basarse en códigos de prácticas para cumplir con el reglamento.
Medidas de apoyo a la innovación y a las pymes
Los eurodiputados también quisieron garantizar que las empresas, especialmente las pymes, puedan desarrollar soluciones de IA sin la presión indebida de los gigantes de la industria que controlan la cadena de valor. Con este fin, el acuerdo promueve los llamados sandboxes regulatorios y las pruebas en el mundo real, establecidos por las autoridades nacionales para desarrollar y entrenar IA innovadora antes de su comercialización.
Sanciones y entrada en vigor
El incumplimiento de las normas puede dar lugar a multas que van desde los 35 millones de euros, o el 7% de la facturación global, hasta los 7,5 millones, o el 1,5 % de la facturación, dependiendo de la infracción y el tamaño de la empresa. El texto acordado tendrá que ser adoptado formalmente por el Parlamento Europeo y el Consejo para convertirse en legislación de la UE y su entrada en vigor está prevista para 2026. Las comisiones de Mercado Interior y de Libertades Civiles del Parlamento votarán sobre el acuerdo en una próxima reunión.