La legislación europea es pionera a nivel mundial en regular una tecnología tan compleja como la inteligencia artificial, presente desde hace años en servicios digitales de uso diario, como las redes sociales, los sistemas de contenidos de 'streaming' y los buscadores como Google o Bing. También se utiliza en sectores como las finanzas, la salud, la atención al cliente, la agricultura y la logística, por citar algunos.
Esta norma busca regular su uso bajo un marco jurídico uniforme, facilitando con ello la comercialización y circulación de los productos y sistemas basados en IA, sin olvidar la ciberseguridad y el desarrollo tecnológico bajo un enfoque ético.
Pretende que la adopción de esta tecnología se haga con el ser humano en el centro, con el objetivo de que sea fiable y "garantice un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la Carta de los Derechos Fundamentales de la Unión Europea, incluidos la democracia, el Estado de Derecho y la protección del medio ambiente", para protegerlos de los "efectos perjudiciales" que puedan derivar de los sistemas de IA.
Tras publicarse el pasado 12 de julio en el Diario Oficial de la UE, el reglamento de la IA entra en vigor oficialmente este jueves, aunque su aplicación obligatoria comenzará en dos años.
Enfoque basado en el nivel de riesgo
Para comprender los principales puntos que agrupa esta norma, se ha de tener en cuenta que se ha desarrollado bajo un enfoque basado en los niveles de riesgo que presenta la IA, que se recogen en tres categorías: los sistemas que suponen un riesgo inaceptable, los sistemas de alto riesgo y los sistemas de riesgo limitado.
Las aplicaciones y sistemas de IA que "suponen un riesgo inaceptable" directamente están prohibidos. Aunque el listado es amplio, esta categoría engloba los casos en los que se utilizan sistemas de categorización biométrica que infieren atributos sensibles como la raza, las opiniones políticas y la orientación sexual.
También los sistemas de puntuación social como el utilizado en países como China -que clasifica a los usuarios para otorgar ciertos derechos o sancionar el mal comportamiento- y a técnicas subliminales, manipuladoras o engañosas que buscan distorsionar el comportamiento y perjudicar la toma de decisiones.
No obstante, hay algunas excepciones. Por ejemplo, aunque el uso de sistemas de identificación biométrica por parte de las fuerzas de seguridad está prohibido, sí se podrá utilizar en situaciones concretas y definidas de forma estricta, por lo que deberá haber un permiso previamente autorizado por un juez.
El reglamento se centra principalmente en los llamados sistemas de IA de alto riesgo, es decir, aquellos que "tengan un efecto perjudicial considerable en la salud, la seguridad y los derechos fundamentales de las personas".
Bajo esta descripción se engloban sistemas tan variados como los de identificación biométrica remota, los utilizados para el seguimiento y la detección de comportamientos prohibidos en estudiantes durante exámenes, los que evalúan la solvencia de personas físicas, los polígrafos y herramientas similares y los diseñados para influir en el resultado de una elección o en el comportamiento electoral de personas.
Modelos de IA de uso general
El Reglamento también recoge los modelos, atendiendo en este caso a los de uso general, que entiende como aquellos que se entrenan con grandes volúmenes de datos y a través de métodos como el aprendizaje autosupervisado, no supervisado o por refuerzo. Matiza que, aunque los modelos son componentes esenciales de los sistemas y forman parte de ellos, no constituyen por sí mismos sistemas de IA.
Esos modelos de IA de uso general están disponibles en el mercado a través de bibliotecas, de interfaces de programación de aplicaciones (API), como descarga directa o como copia física, y pueden modificarse o perfeccionarse y transformarse en nuevos modelos.
Un ejemplo de de estos modelos es la inteligencia artificial generativa, que permite la generación de nuevos contenidos en formatos variados como texto, imagen, vídeo y audio, y se adaptan a una amplia gama de tareas, como ocurre con Gemini de Google o GPT de OpenAI.
La ley reconoce que pueden tener componentes de IA libres y de código abierto o incluso divulgarse bajo una licencia libre y de código abierto, y destaca en este caso su alto grado de transparencia, pero incide en la necesidad que proteger los derechos de autor en las partes que corresponden a la información sustancial y a los contenidos de las bases de datos con los que se entrenan.
Y señala que estos modelos de IA de uso general pueden plantear riesgos sistémicos, que aumentan con las capacidades y su alcance, y pueden surgir durante todo el ciclo de vida del modelo. Insta a seguir la legislación internacional y prestar atención a usos indebidos como el descubrimiento y exploración de vulnerabilidades en sistemas informáticos, la interferencia en el funcionamiento de infraestructuras críticas, o incluso el hecho de que algunos modelos puedan autorreplicarse y entrenar otros modelos.
Responsabilidad y revisión
Esta ley se fija en el proveedor de los sistemas y los modelos de IA, que puede ser el distribuidor, el importador, el responsable del despliegue u otro tercero, y en quien recae la responsabilidad sobre esta tecnología a lo largo de su cadena de valor.
A grandes rasgos, exige que realice evaluaciones del nivel de riesgo de sus productos y de los riesgos que puedan plantear tanto antes de llevarlos al mercado como una vez en él, así como que ponga las medidas necesarias para evitarlos o mitigarlos. También el seguimiento de un código de buenas prácticas, que supervisará Oficina de IA, y que estará en la base del cumplimiento de las obligaciones pertinentes.
El Reglamento, asimismo, tiene en cuenta la rapidez con la que avanza el desarrollo de esta tecnología, y tiene previstas evaluaciones y revisiones periódicas del reglamento y de los sistemas de IA, especialmente de la IA de alto riesgo, los ámbitos de alto riesgo y las prácticas prohibidas, para su actualización.
Aspectos clave para la ciberseguridad
El nuevo reglamento recoge algunos puntos clave que tienen implicaciones directas a nivel de ciberseguridad para los usuarios y aseguran un buen uso, tal y como destacaron en marzo desde la firma Check Point, con motivo de su aprobación por parte del Parlamento Europeo.
La ley obliga a disponer de directrices de desarrollo e implementación más estrictas, que tengan en cuenta la seguridad desde el inicio, por ejemplo, con la incorporación de prácticas de codificación seguras y garantizando que los sistemas de IA sean resistentes a los ciberataques.
También reclama que las empresas responsables adopten medidas pertinentes para evitar y afrontar brechas de seguridad, y que sean más transparentes, especialmente en los sistemas de alto riesgo, para ayudar a identificar vulnerabilidades y mitigar posibles amenazas.
La norma también busca evitar el uso de la IA con fines malintencionados, como la creación de 'deepfakes' o la automatización de ciberataques, mediante la regulación de ciertos usos de esta tecnología. Esto ayuda a reducir el riesgo de que se utilice como una herramienta de ciberguerra.
Igualmente, el reglamento aboga por mitigar los sesgos y la discriminación, para lo que insta a garantizar que los sistemas de IA se entrenan con conjuntos de datos diversos y representativos para reducir los procesos de toma de decisiones sesgados.