Tras una maratónica negociación —que se calcula que duró más de 36 horas—, la Comisión Europea, el Parlamento Europeo y el Consejo de la Unión Europea lograron un acuerdo provisional sobre la Ley de Inteligencia Artificial o AI Act.
La normativa, que el Parlamento aprobó negociar en junio pasado, es la primera en su tipo a nivel mundial. Y si bien ha sufrido modificaciones desde que la Comisión Europea la propuso en 2021, ha dado un nuevo paso hacia su implementación. Algo que, recordemos, no ocurrirá en lo inmediato.
El acuerdo político que se ha logrado en el trílogo para dar luz verde a la Ley de Inteligencia Artificial ahora tendrá que ser ratificado. Tanto el Parlamento Europeo como el Consejo de la Unión Europea deberán aprobarla formalmente. En tanto que su aplicación se completará recién dos años después de su publicación.
Esto significa que, si la legislación se aprueba en 2024, comenzará a regir formalmente a partir de 2026. Aunque existen excepciones para algunos puntos. Las prohibiciones establecidas por la norma comenzarán a aplicar a los 6 meses. Mientras que las reglas establecidas para la "inteligencia artificial de propósito general" serán aplicables un año después de su aprobación.
En qué consiste la Ley de Inteligencia Artificial de la Unión Europea
La Ley de Inteligencia Artificial de la Unión Europea se presenta como un libro de reglas único en el mundo, puesto que establece los parámetros que se deben cumplir para el desarrollo y el uso de la IA en sus distintos niveles. Esto abarca un espectro de posibilidades muy amplio. Desde el uso de un filtro antispam en un servicio de correo electrónico, hasta la recolección de datos biométricos en tiempo real.
De acuerdo con la Comisión Europea, las reglas establecidas en la Ley de Inteligencia Artificial son "a prueba de futuro". Es decir, que la normativa se ha creado de un modo tal que no quede obsoleta ante la rápida evolución de la tecnología. Su aplicación directa será idéntica en todos los países miembro de la UE, por supuesto.
Como ya se sabía de antemano, la Ley de Inteligencia Artificial de la Unión Europea establece un enfoque basado en la categorización del riesgo. Esto había provocado una polémica bastante importante en su momento, puesto que la legislación consideraba que aplicaciones o plataformas como ChatGPT eran de alto riesgo.
Con la Ley de Inteligencia Artificial, se establecen, entonces, cuatro categorías:
- Riesgo mínimo: De acuerdo con la Comisión Europea, la "vasta mayoría" de los sistemas de inteligencia artificial serán categorizados de esta forma. No deben cumplir con obligaciones específicas porque no representan un riesgo para la seguridad y los derechos de los ciudadanos. Pese a ello, sus desarrolladores sí podrán comprometerse a códigos de conducta adicionales. En este apartado se mencionan casos como los filtros antispam o los algoritmos de recomendación basados en IA.
- Riesgo alto: La nueva ley obligará a los desarrolladores de estos sistemas de inteligencia artificial a cumplir con una serie de requisitos muy estrictos. Los mismos abarcarán desde asegurar que los datos utilizados para entrenar a los modelos de lenguaje sean de "alta calidad", hasta incluir sistemas de mitigación de riesgos. También deberán presentar documentación detallada, tendrán que ser precisos, ofrecer claridad en el uso de la información de los usuarios y contar con supervisión humana.
- Riesgo específico contra la transparencia: En este caso, la Ley de Inteligencia Artificial se posa sobre los chatbots y los sistemas de IA generativa. La legislación establece que todo el contenido generado de forma sintética deberá ser identificado como tal —algo que plataformas como YouTube o Amazon ya comenzaron a implementar con marcas de agua imposibles de alterar—, y que los usuarios tendrán que ser informados cuando estén interactuando de forma directa con una máquina. Así mismo, se deberá notificar al público cuando sistemas de reconocimiento de emociones o de categorización biométrica estén en uso.
- Riesgo inaceptable: Los sistemas de inteligencia artificial —o ciertas implementaciones de los mismos— que caigan en esta categoría quedarán terminantemente prohibidos. La Ley de Inteligencia Artificial incluye en este apartado al uso de la tecnología para manipular a las personas y coartar su libre albedrío. Tampoco se permitirá el uso de la IA para el reconocimiento de emociones en el lugar de trabajo. Ni para que las empresas o gobiernos implementen un sistema de control sobre el comportamiento de los ciudadanos. Mientras que también se vetará la recolección de datos biométricos en lugares públicos con fines policiales, aunque no siempre.
Reglas para los modelos de IA de propósito general
La Ley de Inteligencia Artificial considera como "de propósito general" a los modelos que hoy dan vida a algunas de las plataformas más populares. Por ejemplo, GPT-3.5 o GPT-4 (ChatGPT), PaLM 2 o Gemini (Bard), o LLaMA 2 (Code Llama, Audiocraft), por solo mencionar algunos de los más conocidos.
La normativa exigirá a las empresas que los desarrollan a brindar transparencia, como también a cumplir con "obligaciones vinculantes". Las mismas quedarán establecidas a través de códigos de prácticas que la Comisión Europea desarrollará junto a expertos de la comunidad científica, la industria tecnológica y la sociedad civil.
"Para modelos muy potentes que podrían plantear riesgos sistémicos, habrá obligaciones vinculantes adicionales relacionadas con la gestión de riesgos y el seguimiento de incidentes graves, la realización de evaluaciones de modelos y pruebas adversas", indicó el brazo ejecutivo de la Unión Europea. Un mensaje que le apunta directamente a firmas como OpenAI, Google y Meta.
El uso de los datos biométricos: prohibiciones y excepciones
La recolección y el uso de los datos biométricos de los ciudadanos ha sido uno de los puntos de mayor discusión en el trílogo. Finalmente, la Comisión Europea, el Parlamento y el Consejo acordaron límites y excepciones que son importantes de mencionar.
En primer lugar, la Ley de Inteligencia Artificial de la Unión Europea prohíbe la creación de bases de datos destinadas al reconocimiento facial utilizando registros de cámaras de videovigilancia o imágenes disponibles en la web. La categorización biométrica, en tanto, no se podrá realizar con base en parámetros como la raza, la religión, la orientación sexual o las creencias filosóficas y políticas de las personas.
A esto se le suma lo que ya mencionamos en el apartado de "riesgo inaceptable". Por ejemplo, el reconocimiento de emociones en el lugar de trabajo, la manipulación de las personas, o la implementación de sistemas de puntuación basados en el comportamiento social de los individuos.
Y si bien la recolección de datos biométricos en lugares públicos con fines policiales o de aplicación de la ley también está prohibida a nivel general, aquí aparecen algunas excepciones importantes. La Ley de Inteligencia Artificial de la Unión Europea sí lo permitirá cuando se esté lidiando con delitos específicos. Para ello se establecerán salvaguardas y se requerirá de autorización judicial previa. Pero también se habilitará el uso en otros dos casos concretos:
- Identificación biométrica posterior a los hechos o ex post: se permitirá la búsqueda de personas que estén sospechadas de haber cometido un crimen grave, o que ya estén condenadas por el mismo.
- Identificación biométrica en tiempo real: al igual que en el punto previo, se habilitará su uso para identificar o hallar a personas sospechadas o condenadas por la comisión de delitos graves. Entre ellos, actos de terrorismo, homicidios, secuestros, trata de personas, violación, etc. Aunque no se limita a ello, también se utilizará para hallar a víctimas de este tipo de delitos. Vale aclarar, de todos modos, que la Ley de Inteligencia Artificial no habilitará el uso de la identificación biométrica en tiempo real de forma ilimitada. La normativa establece restricciones para su implementación en un tiempo y lugar determinado.
Cómo se aplicará la Ley de Inteligencia Artificial
Si bien cada país de la Unión Europea aplicará la Ley de Inteligencia Artificial a través de sus propios organismos regulatorios, se creará la Oficina Europea de IA. De acuerdo con la Comisión Europea, su misión será la de "asegurar la coordinación" a nivel continental. Para los modelos de inteligencia artificial de propósito general, se crearán paneles con expertos independientes para mantener la supervisión y establecer alertas en caso de ser necesario.
"Junto con las autoridades nacionales de vigilancia del mercado, la Oficina de IA será el primer organismo a nivel mundial que hará cumplir normas vinculantes sobre inteligencia artificial y, por lo tanto, se espera que se convierta en un punto de referencia internacional".
Comisión Europea.
La Ley de Inteligencia Artificial establece un esquema de multas para las empresas que no cumplan con sus lineamientos.
- 35 millones de euros o 7 % de la facturación anual mundial (lo que sea más alto) en el caso de violar las prohibiciones en el uso de la inteligencia artificial.
- 15 millones de euros o 3 % de la facturación anual mundial (lo que sea más alto) en el caso de otro tipo de violaciones.
- 7,5 millones de euros o 1,5 % de la facturación anual mundial (lo que sea más alto) en el caso de que se provea información incorrecta.
Como dijimos al comienzo, se espera que la Ley de Inteligencia Artificial logre aplicación completa recién desde 2026. Eso sí, las autoridades europeas quieren que las empresas comiencen a adoptar algunos de los lineamientos claves de la normativa antes de que entre en vigencia. Es por ello que existe un Pacto de IA, que aspira a que las compañías que desarrollan modelos de IA se comprometan de forma voluntaria a cumplir con ciertas obligaciones antes de que la normativa se apruebe y se publique.