Por Juan Carlos Machorro, Líder de la práctica transaccional de Santamarina y Steta.
El 9 de diciembre pasado el Parlamento Europeo y la Presidencia del Consejo acordaron la versión final de la Ley de la Inteligencia Artificial de la Unión Europea.
No es en forma alguna cosa menor al ser la primera ley en la materia que servirá como modelo para esfuerzos regulatorios alrededor del mundo. Los retos, también se ha comentado, no son pequeños, siendo necesario considerar temas éticos, de responsabilidad objetiva, respeto a la persona y derechos en materia de propiedad intelectual, entre otros.
Esta nueva ley establece normas armonizadas para la comercialización, puesta en servicio y uso de la inteligencia artificial (IA), con un enfoque orientado a, y cimentado en el concepto de riesgo; es decir, cuanto mayor sea el riesgo asociado a la utilización de IA más estrictas las restricciones previstas en el ordenamiento.
La nueva ley tiene como objetivo funcionar como prototipo de normativa sobre la IA que influya en la elaboración de leyes en otras jurisdicciones, en lo que se conoce como el Efecto Bruselas (al considerarse a la Unión Europea la mayor potencia del planeta en materia regulatoria dictando leyes de mercado con impacto más allá de las fronteras de Europa).
Quedan pendientes todavía algunos pasos en el proceso legislativo para la entrada en vigor de esta ley, lo que se espera ocurra en 2026.
La ley divide los sistemas de IA en cuatro categorías de riesgo, basándose en el uso y la finalidad que se pretenden. Los sistemas deben cumplir con requisitos y obligaciones aplicables a cada categoría de riesgo.
El primer grupo lo constituye lo que se denomina el Riesgo Inaceptable en el que se insertan elementos de patrones oscuros, manipulación conductual, puntuación social e identificación biométrica para la aplicación de la ley (en este último caso con ciertas excepciones). Las tecnologías de Riesgo Inaceptable quedan prohibidas, salvo por sistemas de identificación biométrica y en este caso siempre y cuando cumplan con condiciones específicas para su utilización.
El segundo grupo lo constituye la IA de Riesgo Alto en el que se incluyen elementos biométricos, infraestructuras críticas de información, tráfico vial, suministro de agua, gas y electricidad, educación, empleo, servicios privados y públicos esenciales, aplicación de la ley, migración, asilo y administración de control de fronteras y administración de justicia y procesos democráticos. Las herramientas de Riesgo Alto deben obtener una verificación independiente de cumplimiento con requisitos establecidos para sistemas de alto riesgo.
El tercer grupo llamado de Riego Limitado incluye los denominados chatbots (software basados en IA capaces de mantener conversaciones en tiempo real por texto o por voz), sistemas de categorización biométrica y de identificación de emociones y los llamados deep fakes (archivos de vídeo, imagen o voz manipulados mediante IA de manera que parezcan reales). Los sistemas de Riesgo Limitado deben cumplir con normas de transparencia (procurando que los usuarios entiendan y utilicen adecuadamente el sistema).
Finalmente, el cuarto grupo lo incluyen sistemas de Riesgo Mínimo que constituyen los demás sistemas de IA, distintos a los incluidos en las 3 categorías anteriores. A las tecnologías de Riesgo Mínimo se les invita a cumplir voluntariamente con algunos requisitos a establecerse en códigos de conducta a redactarse y publicarse por la Comisión Europea.
La ley será aplicable a sistemas utilizados o que produzcan efectos en territorio de la Unión Europea.
El incumplimiento de las disposiciones de la ley puede dar lugar a multas administrativas de hasta 35 millones de euros o el 7% del negocio total anual global del ejercicio fiscal anterior a la fecha de la infracción.
La ley es un hito en la carrera por proteger los derechos de las personas frente a la nueva tecnología que muchas veces las personas no entienden a cabalidad. Diferenciar entre tipos de IA y los riesgos inherentes a su utilización es un enfoque acertado, debido a la variedad de vertientes que pueden tener los sistemas de IA.
La industria es en sí misma altamente compleja y de una evolución vertiginosa, con lo cual la aplicación de cualquier regulación puede presentar retos considerables; por otra parte, pueden anticiparse errores de origen derivados de la falta de especialización y la falta precedentes judiciales al momento de aplicar regulaciones nuevas en la materia.
Tratándose de tecnologías nuevas y particularmente en temas de IA es necesario encontrar un justo medio que no desincentive la creatividad ni la innovación, pero proteja adecuadamente los derechos de las personas.