Las instituciones europeas alcanzan un acuerdo sobre regulación de inteligencia artificial (IA), incluida la IA generativa. Celebrado como un hito histórico y de gran relevancia para la sociedad y economía europea, supone un paso sin precedentes para fomentar el desarrollo de una Inteligencia Artificial segura y fiable por parte de todos los agentes, público y privado. «Este reglamento pretende garantizar que los derechos fundamentales, la democracia, el Estado de Derecho y la sostenibilidad medioambiental estén protegidos frente a la IA de alto riesgo, al tiempo que impulsa la innovación y convierte a Europa en líder en este campo», señala el Parlamento Europeo.
En paralelo, también se están llegando a acuerdos para avanzar en la gobernanza de la Inteligencia Artificial, ya sea a través de principios y códigos de conductas como el proceso de Hiroshima, el Executive Order de Biden, la actualización de la OCDE, la declaración de Bletchley, o la Convención de la IA del Consejo de Europa que verá la luz en el 2024. Todas estas iniciativas, buscan acotar los riesgos inherentes al diseño, desarrollo de la IA, incluida la IA generativa.
¿Qué incluye el reglamento?
La ley de IA se basa en un enfoque de riesgos. A mayor riesgo del sistema IA, mayores obligaciones. Incluso, hay casos de uso que están directamente prohibidos. Para los sistemas calificados de alto riesgo y predefinidos en la norma, se establecen unos requisitos mínimos para su comercialización, y obligaciones de monitoreo, una vez el sistema está siendo comercializado. Para el resto de sistemas de IA, que no son calificados de alto riesgo, se aplican medidas voluntarias. El acuerdo alcanzado parece no aplicarse a los sistemas de IA proporcionados bajo licencias libres y de código abierto, a menos que se trate de sistemas de IA de alto riego o en virtud de otras excepciones. Además, este reglamento no sé aplicará a los modelos de IA que se hagan accesibles al público en virtud de una licencia libre y de código abierto cuyos parámetros, salvo algunas obligaciones, se pongan a disposición del público.
En la cadena de valor, se distinguen distintos tipos de agentes: los proveedores de sistemas IA, los importadores/comercializadores y los usuarios de los sistemas, cada uno con unas responsabilidades. Las obligaciones más onerosas se establecen para los proveedores de servicios.
Uno de los sucesos más importantes desde que se aprobó la propuesta de la Comisión Europea, ha sido la irrupción de modelos fundacionales y sistemas de IA de propósito general, capaces de generar contenido nuevo (i.e GPT), lo que ha supuesto una gran alarma social. La Ley de IA finalmente incluye la regulación de la IA Generativa (GPAI, IA de propósito general) y ello ha supuesto un debate encendido sobre si se debía regular la tecnología, con independencia de su riesgo. Finalmente, el compromiso al que se ha llegado ha sido regular los modelos y sistemas de GPAI, pero imponiendo básicamente obligaciones de transparencia y colaboración a los proveedores de esos sistemas y modelos para que los usuarios tengan suficiente información para poder cumplir con los requisitos de la regulación.
Los modelos de IA de propósito general se clasificarán como aquellos con riesgo sistémico si tienen capacidades de alto impacto o si la Oficina de IA decide, por iniciativa propia o tras una alerta cualificada de un panel científico, que el modelo tiene capacidades o impacto equivalentes. Se presume que un modelo tiene capacidades de alto impacto, entre otras cuestiones, si la cantidad acumulativa de cómputo utilizado para su entrenamiento (medido en FLOPs) es mayor que 10^25 o lo usan un número determinado de clientes. Se otorga a la Comisión Europea el poder de ajustar los umbrales y complementar indicadores y puntos de referencia en función del desarrollo tecnológico.
Los proveedores de la IA generativa deben mantener la documentación técnica del modelo, proporcionar información a otros proveedores que integren el modelo, respetar la ley de derechos de autor de la Unión y publicar un resumen detallado del contenido utilizado para el entrenamiento y, deben cooperar con la Comisión y las autoridades nacionales.
Los proveedores de modelos con riesgo sistémico deben, además, realizar evaluaciones según protocolos estandarizados, evaluar y mitigar riesgos sistémicos a nivel de la Unión, mantener informes sobre incidentes graves, realizar pruebas adversarias y garantizar un nivel adecuado de protección cibernética. Se fomenta y facilita la elaboración de códigos de práctica a nivel de la Unión para contribuir a la aplicación adecuada de la regulación.
Usos prohibidos y excepciones de la IA
Otro debate trascendental ha sido la ampliación de los usos prohibidos, incluyendo el reconocimiento de emociones en entornos laborales y educativos, y la predicción de crímenes individuales. Sin embargo, se han establecido excepciones para situaciones específicas, como la búsqueda de víctimas de crímenes.
Por otra parte, las multas por incumplimiento se han flexibilizado: 7% de los ingresos totales o 35 millones de euros (lo que sea más alto) en caso de poner en el mercado usos prohibidos; 3% o 15M€ por infringir otras obligaciones y 1,5% o 7,5M€ por proveer información incorrecta. Las pymes tendrán un tratamiento especial.
Por otro lado, se excluyen de la regulación temas relacionados con la seguridad nacional, aplicaciones militares y de defensa, sistemas de IA con exclusiva aplicación a la investigación e innovación, y el uso no profesional de la IA, que se regulan por normas específicas.
Impacto en la innovación de la IA
Algunos creen que el nuevo reglamento de Inteligencia Artificial de la UE es un caso de exceso de regulación que puede frenar la innovación tecnológica, específicamente en lo relativo al tratamiento regulatorio de la IA generativa. Muchas de estas voces argumentan que ninguna “Big Tech” está en Europa, y todas en los EE. UU. donde se deja la (auto) regulación en manos de las propias empresas. Y este hecho puede provocar una desventaja competitiva para las empresas europeas.
Sin embargo, otros argumentan que es un mito que la regulación de IA vaya en contra de la innovación. Es cierto que hay elementos que apoyan esta hipótesis. En primer lugar, la inclusión de sandbox regulatorios, es decir, pruebas en el mundo real y fuentes abiertas lo que puede facilitar la innovación. Y, en segundo lugar, el reglamento proporciona una norma clara y con un modelo de gobernanza definido que garantiza la seguridad jurídica, lo cual es sumamente importante para las empresas.
En este contexto, sigue siendo crítico que se fomente la innovación con políticas públicas que promuevan e incentiven la inversión en proyectos y ecosistemas innovadores, fomenten una cultura de emprendimiento, atraigan talento y proyectos de investigación con vocación de aplicación en el mundo real.
No se trata de encontrar el equilibrio entra la innovación y regulación, sino de innovar de una manera responsable desde el diseño. Este reglamento obliga a los actores de los sistemas de IA con alto riesgo a evaluar de antemano los posibles impactos negativos y no una vez lanzado al mercado. Es mucho más fácil y económico prevenir o mitigar posibles impactos negativos al principio, antes de hacer inversiones importantes, que después de haberlo lanzado al mercado (“break and fix”).
