Algunas consideraciones sobre la futura «Ley europea de inteligencia artificial».

Primera.- En la noche del pasado 8 de diciembre se llegó a un acuerdo provisional en el seno de la Unión Europea (UE) sobre la propuesta relativa a las normas armonizadas en materia de inteligencia artificial (IA), la denominada ley de inteligencia artificial, que, formalmente, será un Reglamento. Es, por el momento, la culminación de un proceso que podría remontarse a 2017, cuando el Consejo Europeo concluyó que, para construir con éxito una Europa digital, la UE necesitaba, en particular, “concienciarse de la urgencia de hacer frente a las nuevas tendencias, lo que comprende cuestiones como la inteligencia artificial y las tecnologías de cadena de bloques, garantizando al mismo tiempo un elevado nivel de protección de los datos, así como los derechos digitales y las normas éticas”. Obviando otros hitos, el 19 de febrero de 2020, la Comisión publicó el Libro Blanco sobre la inteligencia artificial: un enfoque europeo orientado a la excelencia y la confianza, donde se afirma que “la Comisión respalda un enfoque basado en la regulación y en la inversión, que tiene el doble objetivo de promover la adopción de la IA y de abordar los riesgos vinculados a determinados usos de esta nueva tecnología. La finalidad del presente Libro Blanco es formular alternativas políticas para alcanzar estos objetivos…” El 21 de abril de 2021 se conoció el documento con el que formalmente se abrió el procedimiento normativo que nos ocupa:  la Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecer normas armonizadas en materia de inteligencia artificial (Ley de inteligencia artificial) y se modifican determinados actos legislativos de la Unión, elaborada por la Comisión. En relación con esta propuesta, el 6 de diciembre de 2022, el Consejo de la UE hizo pública su Orientación general de 25 de noviembre y, finalmente, el Parlamento Europeo introdujo importantes enmiendas en el texto de la Comisión que fueron aprobadas el 14 de junio de 2023. 

Segunda.- No se conoce el texto definitivo que tendrá el Reglamento tras el acuerdo citado pero, como parecía evidente, en estas negociaciones finales no se ha ido más allá de las enmiendas introducidas por el Parlamento (nueva definición de la IA, regulación de los modelos fundacionales, prohibición de numerosas prácticas de IA…); más bien cabía pensar, por los diferentes intereses en presencia, que algunos de los cambios del Parlamento iban a ser, a su vez, modificados a la baja y se intuía que el uso de sistemas de reconocimiento facial en tiempo real -prohibidos por el Parlamento- y de instrumentos de policía predictiva iban a ser objeto de intenso debate en orden a permitir, con cautelas, su uso. 

Tercera.- Los fundamentos jurídicos de la regulación son cuatro: en primer lugar, el artículo 114 del Tratado de Funcionamiento de la Unión Europea (TFUE), cuyo apartado 1 dispone que “el Parlamento Europeo y el Consejo, con arreglo al procedimiento legislativo ordinario y previa consulta al Comité Económico y Social, adoptarán las medidas relativas a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros que tengan por objeto el establecimiento y el funcionamiento del mercado interior”. No debe olvidarse, pues, que se trataba de aprobar normas armonizadas que garanticen el mercado interior, lo que no implica, claro, ignorar la garantía de los derechos fundamentales en presencia ni postergar la innovación. En segundo lugar, la propuesta invoca el principio de subsidiariedad: “la naturaleza de la IA, que a menudo depende de conjuntos de datos amplios y variados y que puede integrarse en cualquier producto o servicio que circula libremente por el mercado interior, implica que los Estados miembros no pueden alcanzar de manera efectiva los objetivos de esta propuesta por sí solos. En tercer lugar, se apela al principio de proporcionalidad: “la propuesta se fundamenta en los marcos jurídicos existentes y es proporcionada y necesaria para alcanzar sus objetivos, ya que sigue un enfoque basado en los riesgos y únicamente impone cargas normativas cuando es probable que un sistema de IA entrañe altos riesgos para los derechos fundamentales y la seguridad…” Finalmente, se justifica el instrumento jurídico elegido -el Reglamento- por la necesidad de aplicar uniformemente en toda la UE las nuevas normas. 

Cuarta.- No ha trascendido que en estas últimas negociaciones se haya cambiado la definición de lo que se entenderá por IA a efectos del Reglamento: en el texto que presentó la Comisión el 21 de abril de 2021 se entendía como “el software que se desarrolla empleando una o varias de técnicas y estrategias que figuran en el Anexo I y que puede, para un conjunto determinado de objetivos definidos por seres humanos, generar información de salida como contenidos, predicciones, recomendaciones o decisiones que influyan en los entornos con los que interactúa” (artículo 3) pero, tras las enmiendas aprobadas por el Parlamento Europeo el 14 de junio de 2023, se define como “un sistema basado en máquinas diseñado para funcionar con diversos niveles de autonomía y capaz, para objetivos explícitos o implícitos, de generar información de salida —como predicciones, recomendaciones o decisiones— que influya en entornos reales o virtuales”.

Me parece importante señalar que la IA se identifica con algún nivel de autonomía del sistema de que se trate y esta característica también está presente en la propuesta de la OCDE, que concibe la IA como un sistema operado por una máquina capaz de influir en su entorno produciendo resultados (como predicciones, recomendaciones o decisiones) para cumplir un conjunto determinado de objetivos. Utiliza datos y entradas generados por la máquina y/o introducidos por el ser humano para (i) percibir entornos reales y/o virtuales; (ii) producir una representación abstracta de estas percepciones en forma de modelos derivados de análisis automatizados (por ejemplo, aprendizaje automático) o manuales y (iii) utilizar las inferencias del modelo para formular diferentes opciones de resultados. 

Quinta.- Tampoco ha trascendido si se han cambiado los principios generales aplicables a los sistemas de IA que en su momento aprobó el Parlamento Europeo, que, por otra parte, son bastante obvios, pero no por ello superfluos: a) «Intervención y vigilancia humanas»: los sistemas de IA se desarrollarán y utilizarán como una herramienta al servicio de las personas, que respete la dignidad humana y la autonomía personal, y que funcione de manera que pueda ser controlada y vigilada adecuadamente por seres humanos. b) «Solidez y seguridad técnicas»: los sistemas de IA se desarrollarán y utilizarán de manera que se minimicen los daños imprevistos e inesperados, así como para que sean sólidos en caso de problemas imprevistos y resistentes a los intentos de modificar el uso o el rendimiento del sistema de IA para permitir una utilización ilícita por parte de terceros malintencionados. c) «Privacidad y gobernanza de datos»: los sistemas de IA se desarrollarán y utilizarán de conformidad con las normas vigentes en materia de privacidad y protección de datos, y tratarán datos que cumplan normas estrictas en términos de calidad e integridad. d) «Transparencia»: los sistemas de IA se desarrollarán y utilizarán facilitando una trazabilidad y explicabilidad adecuadas, haciendo que las personas sean conscientes de que se comunican o interactúan con un sistema de IA, informando debidamente a los usuarios sobre las capacidades y limitaciones de dicho sistema de IA e informando a las personas afectadas de sus derechos. e) «Diversidad, no discriminación y equidad»: los sistemas de IA se desarrollarán y utilizarán incluyendo a diversos agentes y promoviendo la igualdad de acceso, la igualdad de género y la diversidad cultural, evitando al mismo tiempo los efectos discriminatorios y los sesgos injustos prohibidos por el Derecho nacional o de la Unión. f) «Bienestar social y medioambiental»: los sistemas de IA se desarrollarán y utilizarán de manera sostenible y respetuosa con el medio ambiente, así como en beneficio de todos los seres humanos, al tiempo que se supervisan y evalúan los efectos a largo plazo en las personas, la sociedad y la democracia. 

Sexta.- La futura “Ley europea· asume un enfoque basado en los riesgos que pueden generar los sistemas de IA, como una suerte de una concreción del bien conocido “principio de precaución”, que ya está presente en el artículo 18.4 de la Constitución española, pues, como se recordará, se mandata a la ley para que limite el uso de la informática a fin de “garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”, y es igualmente un principio que, como también es sabido, guía la actuación de la Unión Europea; así, y por citar únicamente dos ejemplos en el ámbito que nos ocupa, en la Resolución del Parlamento Europeo, de 16 de febrero de 2017, con recomendaciones destinadas a la Comisión sobre normas de Derecho civil sobre robótica, se dice que “las actividades de investigación en el ámbito de la robótica deben llevarse a cabo de conformidad con el principio de precaución, anticipándose a los posibles impactos de sus resultados sobre la seguridad y adoptando las precauciones debidas, en función del nivel de protección, al tiempo que se fomenta el progreso en beneficio de la sociedad y del medio ambiente”, y en la Resolución del Parlamento Europeo, de 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre un marco de los aspectos éticos de la inteligencia artificial, la robótica y las tecnologías conexas se recuerda que “tal enfoque debe estar en consonancia con el principio de precaución que guía la legislación de la Unión y debe ocupar un lugar central en cualquier marco regulador para la inteligencia artificial”. Y en función del tipo de riesgo los sistemas estarán sometidos a unas u otras condiciones y si es un riesgo excesivo estarán prohibidos. 

Séptima.- En lo que se refiere a las prácticas prohibidas, en la propuesta de la Comisión eran cuatro y englobaban, en primer lugar, las prácticas con un gran potencial para manipular a las personas mediante técnicas subliminales que trasciendan su consciencia o que aprovechan las vulnerabilidades de grupos de personas concretos, como los menores o las personas con discapacidad, para alterar de manera sustancial su comportamiento de un modo que es probable que les provoque perjuicios físicos o psicológicos a ellos o a otras personas. La propuesta prohibía igualmente que las autoridades públicas realizasen calificación social basada en IA con fines generales. Por último, también se prohibía, salvo excepciones limitadas, el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de aplicación de la ley. 

Pues bien, tras las enmiendas introducidas por el Parlamento Europeo, se amplió el abanico de prácticas prohibidas por entender que suponían un riesgo inaceptable y se elevó el número a nueve y, en el caso de la prohibición del uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público, se eliminaron todas las excepciones que proponía la Comisión, algo que parece se recuperará en la versión final permitiendo, se ha dicho, su uso “estrictamente necesario a efectos policiales… en los casos de víctimas de determinados delitos, la prevención de amenazas reales, presentes o previsibles, como los ataques terroristas, y la búsqueda de personas sospechosas de los delitos más graves”. 

Queda por ver qué ocurrirá con la prohibición parlamentaria de sistemas de IA para llevar a cabo evaluaciones de riesgo de personas físicas o grupos de personas con el objetivo de determinar el riesgo de que cometan delitos o infracciones o reincidan en su comisión, o para predecir la comisión o reiteración de un delito o infracción administrativa reales o potenciales. No me parece probable que los Estados acepten renunciar a todas estas herramientas de “inteligencia artificial policial” o de “policía predictiva”. 

Octava.- El acuerdo transaccional prevé una clasificación de alto riesgo para garantizar que los sistemas de IA que no puedan causar violaciones graves de los derechos fundamentales u otros riesgos significativos. Los sistemas de IA que presenten un riesgo limitado estarían sujetos a obligaciones de transparencia muy ligeras, por ejemplo, revelando que el contenido ha sido generado por IA para que los usuarios puedan tomar decisiones informadas sobre su uso posterior. 

Novena.- Si hubiera que destacar una novedad incorporada en las fases finales de elaboración del Reglamento y que no estaba prevista ni en la propuesta de la Comisión ni en la orientación general del Consejo es, sin duda, la de los llamados modelos fundacionales, que en las enmiendas parlamentarias se han definido como un avance reciente en el que se desarrollan modelos de IA a partir de algoritmos diseñados para optimizar la generalidad y versatilidad de la información de salida. A menudo, estos modelos se entrenan con un amplio abanico de fuentes de datos y grandes volúmenes de datos a fin de llevar a cabo una extensa gama de tareas posteriores, incluidas algunas para las que no han sido desarrollados y entrenados específicamente. 

Se trata de modelos que han alcanzado una gran popularidad en los últimos tiempos, como el ChatGPT o BARD, en especial por su extraordinaria capacidad para generar textos, códigos e imágenes, algo que ha generado, en palabras introducidas por el Parlamento Europeo en la propuesta de Reglamento, “una incertidumbre significativa sobre el modo en que evolucionarán los modelos fundacionales, tanto en lo que se refiere a la tipología de los modelos como a su autogobernanza”. No se sabe cómo quedará su regulación aunque el acuerdo provisional establece deben cumplir obligaciones específicas de transparencia antes de su comercialización y que habrá un régimen más estricto para los modelos fundacionales de «alto impacto».

Décima.- Por lo que respecta a las instituciones de gobierno y control de la IA, se creará una Oficina de IA dentro de la Comisión encargada de supervisar los modelos de IA más avanzados, contribuir a fomentar las normas y las prácticas de ensayo, y hacer cumplir las normas comunes en todos los Estados miembros. Habrá, además, un Consejo de Inteligencia Artificial, compuesto por representantes de los Estados miembros como plataforma de coordinación y órgano consultivo de la Comisión Por último, se creará un foro consultivo para las partes interesadas, como los representantes de la industria, las pymes, las empresas emergentes, la sociedad civil y el mundo académico, con el fin de proporcionar conocimientos técnicos al Consejo de IA. Por su parte, cada Estado tendrá una Agencia Nacional de supervisión, algo que en España ya existe: la Ley 22/2021, de 28 de diciembre, de Presupuestos Generales del Estado para el año 2022, recogió, en su Disposición adicional centésimo trigésima, la «creación de la Agencia Española de Supervisión de Inteligencia Artificial», autorizando al Gobierno a impulsar una Ley para la creación de la Agencia Española de Supervisión de Inteligencia Artificial, configurada como una Agencia Estatal dotada de personalidad jurídica pública, patrimonio propio y autonomía en su gestión, con potestad administrativa. Por su parte, la Ley 28/2022, de 21 de diciembre, de fomento del ecosistema de las empresas emergentes, prevé la «creación de la Agencia Española de Supervisión de Inteligencia Artificial», cumpliendo con ello la exigencia prevista en el artículo 91 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y eso es lo que se ha hecho a través del Real Decreto 729/2023, de 22 de agosto, por el que se aprueba el Estatuto de la Agencia Española de Supervisión de Inteligencia Artificial.

Undécima.- La propuesta de Reglamento incluye un sistema sancionador como forma de asegurar que se apliquen sus disposiciones y corresponderá a los Estados miembros determinar el régimen aplicable a las infracciones cometidas por cualquier operador. Las sanciones deberán ser efectivas, proporcionadas y disuasorias. Tras el reciente acuerdo se ha rebajado el importe de las multas hasta ahora previsto aunque se mantiene la doble fórmula de imponer un porcentaje de la facturación anual global de la empresa infractora en el ejercicio anterior o una cantidad predeterminada, la que sea mayor. Esto supondría 35 (antes eran 40) millones de euros o el 7 % para las violaciones de las aplicaciones de IA prohibidas; 15 (antes 20) millones de euros o el 3 % (antes el 4%) para otras violaciones de las obligaciones de la ley de IA … 

Duodécima. Probablemente hasta principios de 2024 no se conozca el texto definitivo del Reglamento, que además tendrá varios períodos de vacatio legis hasta su entrada en vigor total. 

Decimotercera.- Una de las grandes cuestiones que suscita esta iniciativa es si generará el llamado “efecto Bruselas”: en un conocido artículo publicado en 2012, que adoptó formato de libro en 2020, Anu Bradford explicó cómo y por qué las normas y reglamentos “de Bruselas” han penetrado en muchos aspectos de la vida económica dentro y fuera de Europa a través del proceso de “globalización normativa unilateral”, algo que se produce cuando un Estado o una organización supranacional es capaz de externalizar sus leyes y reglamentos fuera de sus fronteras a través de mecanismos de mercado, dando lugar a la globalización de las normas. La globalización normativa unilateral es un fenómeno en el que una ley de una jurisdicción migra a otra sin que la primera la imponga activamente o la segunda la adopte voluntariamente.  

Pues bien, cabría pensar que la regulación europea de la IA podría generar, en la línea de lo que ha ocurrido en ámbitos como la vida privada y la protección de datos, una exportación del contenido de esa nueva normativa a otros Estados, un “efecto Bruselas” sobre la regulación de la IA . Sin embargo, la propia Anu Bradford se ha mostrado escéptica al respecto en su último trabajo –Digital Empires: The Global Battle to Global Battle to Regulate Technology-, de 2023, recordando que Estados Unidos sigue siendo un modelo basado en el mercado abierto, China un modelo de centralismo estatal y la Unión Europea sigue apostando por la regulación. 

Ahora bien, Estados Unidos también ha optado por aprobar normas que regulen la IA, aunque no sea con la misma intensidad que en la Unión Europeas; así, el 30 de octubre de 2023 el presidente Biden emitió la Executive Order on Safe, Secure, and Trustworthy Artificial Intelligence, donde se proclama que el Gobierno Federal tratará de promover principios y acciones responsables de seguridad y protección de la IA con otras naciones, “incluidos nuestros competidores·, al tiempo que lidera conversaciones y colaboraciones globales clave para garantizar que la IA beneficie a todo el mundo, en lugar de exacerbar las desigualdades, amenazar los derechos humanos y causar otros daños. Además, y en la línea de la UE, en esa Orden se define la IA como un sistema basado en máquinas que puede, para un conjunto dado de objetivos definidos por el ser humano, hacer predicciones, recomendaciones o tomar decisiones que influyan en entornos reales o virtuales. Y se enuncian los ocho principios que deben guiar el desarrollo de la IA: la seguridad de los sistemas, la innovación responsable, el compromiso con los trabajadores, avance en igualdad y derechos, protección de los consumidores, protección de la intimidad, gestión de los riesgos y uso responsable de la IA, búsqueda del liderazgo social, económico y tecnológico. China, por su parte, y aun apostando por la IA como herramienta de férreo control de la disidencia y por sistemas como el “crédito social” , que estarán prohibidos en Europa, aprobó en agosto de 2023 una Ley general reguladora de la Inteligencia Artificial y, en paralelo, otra regulación específica de la IA generativa. En la primera de ellas se vincula la IA a los sistemas automatizados que funcionan con cierto grado de autonomía, sirven a determinados objetivos y son capaces de influir en el entorno físico o virtual mediante la predicción, la recomendación o la toma de decisiones, es decir, en manera similar a lo que ocurre en Europa y Estados Unidos. También incluye una serie de principios aplicables al desarrollo de la IA: seguridad y robustez; apertura, transparencia y explicabilidad; responsabilidad proactiva y equidad e igualdad. Igualmente se fomentará el uso de energías eficientes, para la protección del medio ambiente, en el desarrollo de estas tecnologías.  

Y, por poner otro ejemplo, Brasil también ha iniciado el procedimiento para regular la IA: el 1 de marzo de 2023 se presentó el breve proyecto de ley 759/2023  en la Cámara de Diputados  y el 3 de mayo el más exhaustivo proyecto de ley 2338/2023; este último tiene como objetivos establecer normas nacionales generales para el desarrollo, la implementación y el uso responsable de sistemas de inteligencia artificial  en Brasil para proteger los derechos fundamentales y garantizar la implementación de sistemas seguros y fiables en beneficio de la persona, el régimen democrático y el desarrollo científico y tecnológico. Se trata de una propuesta basada en los riesgos de la IA, prohibiendo los que implican “riesgos excesivos”, delimitando los de “alto riesgo” y con un enfoque basado en los derechos. Incluye, además, una definición de la IA similar a las que ya hemos visto en otros ámbitos jurídicos: es un sistema informático, con diversos diferentes grados de autonomía, diseñado para inferir cómo lograr un conjunto dado de objetivos, utilizando enfoques basados en el aprendizaje automático y/o y la representación del conocimiento, utilizando datos de entrada procedentes de máquinas o de seres humanos, con el fin de producir datos de entrada procedentes de máquinas o seres humanos, con el fin de producir predicciones, recomendaciones o decisiones que puedan influir en el entorno. No parece, por tanto, casual que en su informe sobre este proyecto elaborado por la Autoridad Nacional de Protección de Datos, hecho público el 6 de julio de 2023, se hagan varias referencias a la propuesta que se está tramitando en la Unión Europea y se diga de manera expresa que el proyecto presentado en el Senado es “semejante” a esta última. 

Por lo que respecta a España y a la influencia hacia dentro del “efecto Bruselas”, hemos visto que, incluso con bastante anterioridad a la aprobación y, en su caso, entrada en vigor del Reglamento, se ha creado una autoridad nacional -la Agencia Española de Supervisión de Inteligencia Artificial-, se ha asumido una definición de IA en la línea de la propuesta europea y, además, se ha regulado el entorno controlado de pruebas “para el ensayo del cumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial”.

En definitiva, y aunque en el caso de la regulación de la IA el impacto del “efecto Bruselas” pueda ser menor que en otros ámbitos, no parece en absoluto, por lo que está ocurriendo en otros Estados y espacios jurídicos, que esta propuesta vaya a tener repercusiones únicamente hacia dentro de la Unión.

Y todo ello por más que sea algo excesivo decir que es la primera ley del mundo en la materia (por ejemplo, Canadá ya reguló usos de la IA en 2019 y China en 2023); no lo es es calificarla como la normativa que ha ido más lejos y a ello no ha sido ajeno, más bien al contrario, el impulso español. Iremos viendo si lo suficientemente lejos en un contexto en el que estamos viendo cosas que jamás creeríamos.