👆👆👆 Suscríbete a nuestro podcast. Y mejor aún, a nuestro boletín mensual: todo cosas útiles que no encontrarás en otro lado, una vez al mes.
La Unión Europea ha aprobado una regulación histórica: el Reglamento Europeo de Inteligencia Artificial ( Enlace al PDF del reglamento). Es la primera ley que regula la inteligencia artificial. Aunque su ámbito es nuestro continente, sus efectos se notarán mucho más allá, como ha ocurrido con la RGPD y otras regulaciones.
El objetivo de este nuevo reglamento es limitar los peligros de la IA intentando no perjudicar la innovación. La ley prioriza la seguridad, la transparencia y la responsabilidad. Regula la IA en base a sus riesgos: cuanto mayor sea el riesgo, más estrictas serán las normas. El Parlamento Europeo la aprobó con una abrumadora mayoría. Se acordó tras largas negociaciones entre instituciones europeas aunque, durante el proceso, no fueron nada transparentes en cuanto a su contenido.
Hoy vamos a analizar en qué consiste esta ley, qué lagunas y peligros podría tener, cómo nos afectará a los usuarios y empresas y si podría hacer que en Europa nos quedemos atrás en esta tecnología clave para las próximas décadas.
La UE pioneros en regulación, no en tecnología
La Unión Europea se adelanta en la carrera por regular la inteligencia artificial. Está bien tratar de regular con cabeza, pero es una pena que no nos adelantemos en la carrera tecnológica para crear Inteligencia Artificial, perdiendo el tren en lo más importante y dejándolo en manos de empresas estadounidenses y chinas. Nos falta entorno económico, político y cultural para eso, así que nos tendremos que conformar con ser buenos con la burocracia.
Vamos a echar un vistazo primero a cómo funcionará esta regulación para luego comentar muchas de las lagunas y "peros" que creo que tiene, y cómo nos podría afectar a los ciudadanos y a las empresas europeas.
El reglamento de IA clasifica los sistemas de inteligencia artificial en cuatro niveles de riesgo: inaceptable, alto, limitado y mínimo o nulo. Esta clasificación determinará qué usos están permitidos y cuáles quedan totalmente prohibidos. También hace distinción entre tecnologías, diferenciando por ejemplo entre los modelos grandes de lenguaje y las demás aplicaciones.
Riesgos inaceptables
En el nivel máximo de riesgo inaceptable se encuentran los sistemas terminantemente prohibidos por la ley. Entre ellos destacan los sistemas de puntuación social que clasifican a las personas en base a su comportamiento, emulando al polémico sistema chino del que seguro que habrás oído hablar hace años. También se prohíben los sistemas predictivos de vigilancia policial, o sea, al estilo "Minority Report", que pretenden anticipar delitos basándose en perfiles.
Asimismo, la norma veta la categorización biométrica para inferir características sensibles como la raza, la orientación sexual o las opiniones políticas de un individuo. Igualmente, queda prohibida la monitorización de emociones en entornos educativos o laborales.
Estos sistemas de inteligencia artificial entrañan un riesgo inaceptable para los derechos fundamentales y la privacidad de los ciudadanos europeos, según los legisladores. Por ello, su prohibición es absoluta y su incumplimiento acarreará las mayores sanciones contempladas, que pueden alcanzar los 35 millones de euros o el 7% del volumen de negocio global.
Eso sí, por supuesto, la regulación permite expresamente excepciones a la regulación para que las fuerzas de seguridad empleen algunas aplicaciones de reconocimiento biométrico remoto, previa autorización judicial y sólo en casos muy concretos como búsqueda de menores desaparecidos o prevención de atentados terroristas inminentes.
IA de alto riesgo
La ley establece una categoría específica para los sistemas de inteligencia artificial considerados de "alto riesgo". Estos son aquellos cuya utilización podría tener importantes implicaciones en derechos fundamentales de los ciudadanos o en sectores críticos y sensibles.
Se engloban aquí por ejemplo los sistemas de IA empleados en infraestructuras críticas como redes eléctricas, de agua o transporte. También entran los usados en ámbitos tan delicados como la educación, el empleo, los servicios esenciales, la aplicación de la ley o el control migratorio.
Para estos sistemas de alto riesgo, la normativa europea impone una serie de obligaciones y requisitos muy estrictos en aras de mitigar los peligros potenciales. En primer lugar, su desarrollo debe partir de conjuntos de datos de alta calidad que no incorporen sesgos discriminatorios.
Será obligatorio realizar evaluaciones rigurosas de los riesgos asociados y adoptar medidas para gestionarlos y minimizarlos antes del despliegue del sistema. Una vez en funcionamiento, deberán contar con supervisión y control humanos adecuados en todo momento.
Además, estos productos deberán incorporar sólidos sistemas de trazabilidad que permitan auditar y monitorizar su actividad continuamente. Y tendrán que cumplir exhaustivos requisitos de ciberseguridad, documentación técnica y pruebas de calidad.
Aunque, lógicamente, no van a estar prohibidos, los estrictos requisitos a los que se ven sometidos buscan garantizar la máxima seguridad, transparencia y responsabilidad de estos sistemas de inteligencia artificial de alto riesgo antes de su puesta en el mercado.
IAs de riesgo limitado y riesgo nulo
Los sistemas de IA de riesgo limitado están sujetos principalmente a requisitos específicos de transparencia. Por ejemplo:
- Cuando se exploten sistemas de IA como chatbots o asistentes virtuales que interactúen con humanos, deberá informarse claramente a los usuarios de que están tratando con un sistema de inteligencia artificial y no con una persona.
- Si un sistema de IA de riesgo limitado toma decisiones o genera contenido que pueda incidir en una persona, esta deberá ser informada de que la decisión o contenido ha sido producido por inteligencia artificial.
- Sin embargo, no se exigen obligaciones adicionales más allá del deber de transparencia sobre el uso de IA para estos sistemas de menor riesgo.
Para los sistemas catalogados en el nivel de riesgo mínimo o prácticamente nulo, la ley no impone requisito regulatorio alguno. Se consideran de riesgo nulo aplicaciones muy extendidas como los filtros de spam, la recomendación personalizada de contenidos en plataformas, los procesadores de texto y traductores automáticos, motores de videojuegos, etc.
Estos sistemas de IA pueden seguir usándose y desarrollándose sin restricción en la Unión Europea, al entenderse que no implican amenazas sustanciales para los derechos y valores fundamentales.
IA generativa y modelos de propósito general
La irrupción de modelos de IA generativa como los GPTs, y sobre todo a raíz de chatGPT en diciembre de 2023, supuso un enorme cambio repentino que les obligó a adaptar la ley sobre la marcha. Estos sistemas de propósito general, capaces de generar contenido original en múltiples formatos, no encajaban fácilmente en la clasificación de riesgos inicialmente planteada, lo cual demuestra que las personas involucradas no estaban muy al tanto de los avances reales de esta tecnología.
Así, al final, la ley establece también obligaciones nuevas específicas para estos modelos que llaman, con muy mal criterio en mi opinión, de "inteligencia artificial general", y que representan lo más avanzado en capacidades similares al pensamiento humano. A los responsables de estos modelos se les exigirá revelar los conjuntos de datos en los que fueron entrenados, respetando los derechos de autor. También deberán acreditar el cumplimiento de la normativa europea sobre copyright.
Pero los requisitos se endurecen aún más para los modelos catalogados como de "riesgo sistémico" por su complejidad y mayor similitud con la inteligencia humana. Es el caso de GPT-4 de OpenAI o Gemini de Google. Sus desarrolladores tendrán que realizar pruebas de ciberseguridad avanzadas para detectar posibles vulnerabilidades.
También estarán obligados a notificar cualquier incidente grave causado por errores o usos indebidos de estos sistemas, como accidentes mortales o violaciones de derechos fundamentales. Deberán aportar información sobre el impacto energético y medioambiental de sus modelos.
En definitiva, cuanto más potente y versátil sea un sistema de IA general, mayores serán los requisitos a los que se verá sometido bajo el nuevo marco legal europeo. Una forma de garantizar que esta vanguardia de capacidades se desarrolle bajo plenas garantías de seguridad y control.
Lo que no está muy claro es cómo entras en esa categoría. ¿Será por el número de parámetros que tiene el modelo? ¿Según pasen un test estandarizado? (quiero recordar aquí el famoso caso Dieselgate y el peligro de estos test estandarizados). Modelos como los mencionados tienen más de 100.000 millones de parámetros (incluso se estima que algunos superan el billón, con "b", sí), uno o varios órdenes de magnitud más que los modelos Open Source. Pero con los avances actuales que permiten cada vez más potencia en modelos mucho menores, ¿cómo se definirá lo que entra en esta categoría? ¿qué va a suponer esto para las empresas europeas que puedan tener a su alcance la creación de modelos grandes de tamaño considerado hoy en día pequeño pero que pueden tener la potencia de los grandes actuales a medida que mejoran las técnicas de optimización y el propio hardware, con avances como los LSUs de Grok?
Etiquetado de deepfakes y contenido generado por IA
Una de las principales preocupaciones en torno a los modelos de IA generativa es su capacidad para crear contenidos falsos pero hiperrealistas, como deepfakes de vídeo, imágenes o audios sintéticos. La nueva ley europea aborda esta amenaza imponiendo obligaciones de etiquetado y advertencia.
Cualquier contenido generado de forma artificial mediante sistemas de inteligencia artificial, ya sean textos, imágenes, vídeos o audios, deberá ser claramente identificado como tal. Es decir, tendrá que incluir un distintivo, marca de agua o aviso que indique que no es un contenido real producido por humanos.
Esta obligación se aplica tanto a empresas y organizaciones como a particulares que empleen IA generativa. La normativa busca combatir la desinformación y los engaños, permitiendo a los usuarios discernir el origen del contenido.
La excepción son aquellas obras creativas, artísticas o satíricas en las que resulte obvio que se ha usado tecnología de generación artificial. En estos casos, no será necesario incluir el etiquetado obligatorio.
Por otro lado, los deepfakes que manipulen imágenes, vídeos o audios de personas reales concretas tendrán que ser siempre identificados, independientemente de su propósito. Esto afecta a servicios de edición de voz sintética, trucaje de vídeo y generación de imágenes hiperrealistas.
El objetivo final es aumentar la transparencia y confianza en todos los contenidos generados mediante IA que puedan consumir los ciudadanos europeos en internet, redes sociales o plataformas multimedia.
Todo esto está muy bien así sobre el papel, pero la realidad es que, las personas, organizaciones y estados, que crean desinformación no se van a avenir a la normativa. Es decir, si un estado hostil quiere influir sobre las elecciones saturando las redes de contenidos falsos y deepfakes para manipular a las mentes poco críticas, van a seguir haciéndolo. Mientras tanto, los demás nos vemos obligados a etiquetar e identificar todo lo que hagamos y regirnos por las normas. Por otro lado, ¿cómo le pones cercas al campo? Es decir, ¿cómo controlas todo lo generado fuera de la UE para que no entre en la Internet local? ¿Vas a poner controles en el tráfico de la información o bloquear el acceso? ¿Vamos a tener que seguir usando VPNs desde Europa para acceder a los modelos más avanzados que ya están disponibles en el resto del mundo, como de hecho está pasando?
La Oficina Europea de IA y su papel
Para garantizar el cumplimiento y correcta aplicación del nuevo Reglamento de Inteligencia Artificial, la Unión Europea creará un organismo específico: la Oficina Europea de IA.
Esta entidad independiente, que formará parte de la estructura de la Comisión Europea, asumirá un rol clave como autoridad supervisora y reguladora de los sistemas de IA más avanzados y de mayor riesgo.
En concreto, la Oficina Europea de IA será la encargada de establecer estándares técnicos vinculantes y directrices de obligado cumplimiento para el desarrollo y uso de lo que llaman "modelos de propósito general" como ChatGPT. Tendrá potestad para solicitar información detallada sobre estos sistemas de IA general a sus proveedores, así como para realizar inspecciones y auditorías periódicas que verifiquen el respeto a la normativa.
Además, se encargará de evaluar la conformidad de los sistemas de alto riesgo con los requisitos exigidos antes de su comercialización en el mercado europeo.
La Oficina, en teoría, también deberá promover la investigación, el desarrollo de estándares y buenas prácticas para impulsar una implantación segura y ética de la inteligencia artificial.
Preocupaciones y críticas a la ley
Aparte de las cuestiones que ya he comentado antes, toda esta regulación genera otras preocupaciones.
Uno de los principales focos de críticas que ha tenido la regulación es la definición legal de lo que constituye un "sistema de IA". Algunos consideran que es demasiado amplia y podría terminar regulando software convencional que no emplea realmente técnicas de inteligencia artificial. Temen que esto pueda frenar la innovación innecesariamente.
Otro punto polémico es la clasificación de riesgos en niveles. Ciertos sectores, como las aseguradoras, critican haber sido englobados por completo en la categoría de "alto riesgo" sin matices. Argumentan que cada uso de IA debería evaluarse individualmente en función de su riesgo real.
Desde el ámbito tecnológico, algunos también estamos seguros de que esta ley podría perjudicar la competitividad europea en IA frente a regiones menos reguladas (básicamente el resto del mundo). Además es posible que genere una posible "fuga de talento" si las exigencias se vuelven excesivamente gravosas.
También, este endurecimiento de los requisitos podría traducirse en mayores costes operativos y de cumplimiento para las empresas. Tendrán que revisar y adaptar sus procesos y protocolos para garantizar el respeto a la nueva normativa antes de la fecha límite de 2026.
Todos los requisitos para los modelos más avanzados seguramente ralentizarán el ciclo de innovación y el lanzamiento de nuevas capacidades por parte de las empresas de IA generativa ubicadas en Europa, que van a tener que priorizar el cumplimiento regulatorio.
De hecho, si el resto del mundo no tiende a seguir la misma regulación (cosa muy probable), una de las mayores preocupaciones es el posible impacto en la competitividad del sector de la inteligencia artificial en Europa. La carga regulatoria y de cumplimiento normativo que impone podría llevar a empresas punteras y talento especializado a buscar ubicaciones más flexibles fuera del continente.
Y luego está el temor a que esta regulación lastre nuestra competitividad al utilizar herramientas de IA punteras que, con toda seguridad se van a desarrollar antes fuera de la UE (al menos hoy por hoy). De hecho ya está pasando. No puedes utilizar algunos modelos como Claude si no es a través de una VPN. Windows 11 no tiene Copilot integrado en Europa pero sí en el resto del mundo (y eso que la regulación no estaba aprobada aún cuando salió hace unos meses). Puedes comprar Google Gemini Plus en cualquier lado excepto en los países europeos... Y si la IA va a ser la nueva "electricidad", en el sentido de la revolución tecnológica y social que va a provocar, sería muy injusto que los europeos nos quedásemos atrás. Y no solo me refiero a las empresas, sino a los trabajadores y a los ciudadanos.
Y hay más preguntas, como:
- Tantos requisitos burocráticos, ¿se convertirán probablemente en lo que ya pasó en su día con la gestión de proyectos informáticos siguiendo ciertas metodologías y estándares, con cientos de folios de diagramas e información absurda, que no valen para garantizar nada en realidad?
- ¿Qué pasa con el Open Source? ¿Nos van a limitar el acceso a modelos como Llama 2 y similares y sus sucesores si están en GitHub y no cumplen con el reglamento?
- ¿Les interesa a las grandes empresas establecidas como Open IA, que abogan en todas partes por este tipo de reglamentos, como un modo de poner barreras de entrada y así tener menos competencia?
- ¿Cómo confluye esta ley con otros movimientos de regulación Europea en ciernes como la identidad digital, el euro digital y cómo se encajan con el respeto a la libertad y a la privacidad de las personas?
Finalmente, y esto es una opinión personal, pienso que ya existen leyes que protegen para la mayoría de las cosas que se quieren regular con esta ley de la IA. Por ejemplo, ya es ilegal utilizar sesgos de cualquier tipo a la hora de contratar a alguien o por parte de las fuerzas de seguridad. Ya es ilegal distribuir bulos con intención de manipular elecciones o influir en la opinión pública. Ya es ilegal crear una imagen o un vídeo que pretendan faltar a los derechos fundamentales de intimidad y dignidad humanos. Da igual que cualquiera de estas cosas se haga con IA, con Photoshop o que el propio pintor hiperrealista Antonio López lo pinte a mano. Es el hecho lo que es punible, no la tecnología, por lo que ¿realmente necesitamos una regulación tan amplia de la IA? Obviamente no soy abogado ni entendido en leyes y habrá cosas que se me escapen, pero es lo que me dicta la lógica.
En fin, en cualquier caso, la Comisión Europea confía en que los beneficios a largo plazo en términos de seguridad e innovación responsable compensen los esfuerzos iniciales. Ojalá sea cierto. Solo esperemos que no nos lleven una década hacia atrás respecto al resto del mundo.