
La Unión Europea, una vez más, ha querido liderar el marco normativo relativo a la Inteligencia Artificial (IA). Ya lo hizo en su momento, en el año 2018, al tomar iniciativa regulatoria en el ámbito de la protección de datos con el Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), que se ha convertido en un estándar para regular la privacidad a nivel internacional.
La Unión Europea ha sido, además, precursora en el estableciendo de políticas aplicables a las plataformas digitales con la Ley de Mercados Digitales (DMA) y la Ley de Servicios Digitales (DSA), cuyo objetivo es imponer normas para equilibrar el poder entre de las plataformas digitales y los usuarios para garantizar un entorno digital más justo y seguro.
Asimismo, recientemente, se ha aprobado Reglamento (UE) 2022/2554 sobre la resiliencia operativa digital del sector financiero (Reglamento DORA), cuyo objetivo es establecer una regulación uniforme para que dichas empresas puedan responder antes perturbaciones o amenazas que implique tecnologías de la información y la comunicación (TIC).
Parece existir por parte de la Unión Europea una cierta voracidad a la hora de regular determinados ámbitos, justificado en base a la defensa de valores de la Unión Europea, de la democracia, seguridad, protección de los derechos fundamentales (DD. FF) y del Estado de Derecho.
No obstante, dicha actitud intervencionista provoca un efecto en el mercado tendente a frenar la innovación y el desarrollo de tecnologías emergentes en Europa que, si no es paliado a tiempo, producirá efectos irreversibles a niveles de competitividad tecnológica en esta región.
Resulta evidente que, a nivel de desarrollo e innovación en el ámbito de la IA, Europa se encuentra en desventaja con respecto a países como China y Estados Unidos. En particular, las organizaciones de la Unión Europea, en cuanto a su adopción, se encuentran rezagadas entre un 45 y un 70% en comparación con empresas análogas de Estados Unidos, lo que se atribuye a diversos factores, como barreras regulatorias y una menor inversión privada[1].
Aunque la Unión Europea cuente en comparación con Estados Unidos con un mayor número de profesionales especializados en el ámbito de la IA, parece que existe una dificultad estrepitosa en mantenerlos trabajando en nuestro territorio, lo cual se traduce en una pérdida de talento y, consiguientemente, en un freno en el desarrollo tecnológico.
El pasado 1 de agosto de 2024, entró en vigor el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de IA) y, que será aplicable a partir del 2 de agosto de 2026.
No obstante, la exigibilidad en el cumplimiento de las obligaciones establecidas en el Reglamento de IA se hará de forma gradual y escalonada, existiendo algunos capítulos y/o articulado cuya aplicación será efectiva con anterioridad.
A partir del próximo 2 de febrero de 2025, comenzará a ser aplicable la prohibición sobre sistemas de riesgo inaceptable (capítulos I y II), del 2 agosto de 2025 será aplicable lo establecido en el capítulo III (sección 4), V, VII y XII y el artículo 78 y, finalmente, a partir del 2 agosto de 2027 será de aplicación el artículo 6.1 y el resto de las obligaciones establecidas en el Reglamento.
En consecuencia, no será de aplicación la totalidad de las obligaciones establecidas en el Reglamento de IA hasta transcurridos tres años desde su entrada en vigor.
Sin embargo, es crucial que las empresas y organizaciones inicien de inmediato el proceso de adaptación e implementación de las obligaciones de establecidas en dicha normativa, para asegurar el cumplimiento legal y evitar adaptarse de forma precipitada y con urgencia por la inminencia de la obligatoriedad, como ocurrió en su momento con el RGPD.
En cuanto a los objetivos del Reglamento de IA, la Comisión Europea establece que su propósito es mejorar la aplicación efectiva de la legislación vigente en materia de DD. FF y de seguridad, así como de promover la inversión y la innovación en IA dentro de la Unión Europea y el desarrollo de un mercado único para las aplicaciones de IA.
Aunque puede resultar un tanto precipitado afirmar que, la aprobación del Reglamento de IA, está dando lugar al efecto opuesto al que busca la Comisión Europea, que es el de incentivar la inversión y desarrollar sistemas de IA fiables e innovadores que ayuden a incrementar la productividad, lo que sí, que es evidente, es que la avalancha de regulaciones que deben cumplir las empresas cuando operan en el espacio europeo impacta de manera negativa en el desarrollo tecnológico de nuestra región.
De hecho, un conglomerado de empresas europeas de sectores relevantes firmó una carta abierta al Parlamento y Comisión Europea, manifestando su descontento en relación con el Reglamento de IA, puesto que, consideraban que la introducción de reglas tan estrictas “ponía en peligro la competitividad y la soberanía tecnológica de Europa”[2].
Algunos gigantes tecnológicos como Apple, Inc. (Apple), y Meta Platforms, Inc. (Meta), recientemente, han decido no poner a disposición de sus usuarios determinados servicios o funcionalidades en la Unión Europea. En el caso de Apple decidió no lanzar este año las principales funciones de Apple Intelligence “debido a las incertidumbres regulatorias provocadas por la DMA”[3].
Lo mismo ha ocurrido con Meta que ha decidido no ofrecer su nuevo modelo multimodal de IA generativa denominado “Llama” en la Unión Europea, debido a "la naturaleza impredecible del entorno normativo europeo”[4].
De hecho, el año paso, el Director Ejecutivo de OpenAI, Sam Altman, advirtió que en lo referente al marco regulatorio de la IA: "Intentaremos cumplirla, pero si no podemos, dejaremos de operar"[5].
Lo anterior pone de manifiesto que, diversos de los operadores del sector, con independencia de su tamaño, consideran como un obstáculo la aprobación del Regulación de IA, así como el resto de normativa a la que quedan obligados si operan en Europa. De ahí, la fuga de empresas y profesionales del sector hacía países con regulaciones más flexibles o menos restrictivas.
Conviene tener en cuenta que, este no es el único factor que provoca un desequilibrio competitivo a nivel tecnológico entre países de la Unión Europea y otros países como Estados Unidos, China o Reino Unido. Existen otros factores como, por ejemplo, la inversión pública o privada, financiación, materias primas, entre otros, que también influyen.
En este sentido, existe una brecha insoslayable en relación con la inversión privada que se está llevando a cabo en Estados Unidos frente a la de la Unión Europea, lo cual, sin lugar a duda, se traducirá, sino se establecen medidas adecuadas, en una desventaja a nivel competitivo y una ralentización del crecimiento económico de Europa.
Lo mismo ocurre cuando hablamos de financiación de capital de riesgos, que es prácticamente nula en nuestro territorio. En lo referente a materias primas, como, por ejemplo, fabricación de chips y semiconductores para la IA, la Unión Europea depende en gran parte de las importaciones de países como China.
En consecuencia, para evitar el desequilibrio puesto de manifestó con anterioridad, la Unión Europea debe adoptar un enfoque holístico e integrador que ayude a encontrar soluciones eficientes, que garanticen la protección de los ciudadanos, sin sofocar el avance tecnológico necesario para mantener la competitividad en el mercado global.
Es innegable que la aprobación del Reglamento de IA ha supuesto un gran paso en marco regulatorio de la Unión Europea que, sin lugar a duda, al igual que lo hizo el RGPD, servirá de modelo para regular la IA en otros países.
A pesar de encontrarse lejos de liderar la carrera tecnológica, la Unión Europea ha realizado un enorme esfuerzo por situarse como pionera a la hora de regular la IA. No obstante, esto puede tener como contrapartida errar en la implementación de una normativa que, si bien busca proteger a los ciudadanos, pero, al mismo tiempo, restringe la innovación y la competitividad de las empresas en un sector de tan rápida evolución.
Si hacemos una comparativa respecto al grado de madurez de la normativa RGPD y el Reglamento de IA, debemos tener en consideración que el RGPD venía precedido de leyes de protección de datos anteriores que se fueron desarrollando a medida que se iban desarrollando las tecnologías. Esto, resulta diferenciador, ya que la Reglamento de IA es la primera normativa en este ámbito que se aprueba.
Sin perjuicio a lo anterior, en rasgos generales, la valoración del Reglamento de IA es bastante positiva y el enfoque resulta acercado en la mayoría de sus previsiones. No obstante, presenta algunas insuficiencias o aspectos susceptibles de plantear problemáticas a nivel práctico que conviene traer a colación.
Deficiencias en la técnica legislativa
Son numerosas las críticas que la recibido el Reglamento de IA en cuanto la multitud de conceptos jurídicos indeterminados que dificultan el entendimiento de la normativa.
De manera que, para poder resolver la interpretación de algunos de los términos introducidos en la normativa, tendremos que acudir a los principios generales de derecho fundamentados en el ordenamiento jurídico o esperar a pronunciamientos posteriores por parte de las Agencias de supervisión de la IA de los Estados Miembros o de los profesionales expertos.
Extensión y complejidad
La normativa resulta larga y compleja en lo que respecta a su sistemática y contenido. La mayoría empresas y organizaciones considera confusa las obligaciones a las que se enfrentan y denuncian que, constituye un desembolso económico enorme tener que adaptarse e implementar las medidas que establece el Reglamento de IA para mitigar los riesgos.
Lo anterior, afecta principalmente a las startups o PYMES que encuentran muchas dificultades para poder cumplir.
Además de lo anterior, el Reglamento de IA no es o será el único instrumento para regular la IA en la Unión Europa, lo cual introduce cierta complejidad. A este respecto, será de aplicación la Directiva 85/374/CEE del Consejo, de 25 de julio de 1985, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados Miembros en materia de responsabilidad por los daños causados por productos defectuosos (Directiva de productos defectuosos), recientemente, modificada.
Además, la Comisión Europea, recientemente, ha propuesto la Directiva relativa a la adaptación de las normas de responsabilidad civil extracontractual a la inteligencia artificial (Directiva sobre responsabilidad en materia de IA), que aún se encuentran el proceso legislativo.
Posible solapamiento entre normativas
Otra crítica recibida por el Reglamento de IA es relativa a la necesariedad real de crear un nuevo marco normativo relativo a la IA. Muchas de las aplicaciones realmente perjudiciales de la IA, en la mayoría de los casos, podrían ser perseguibles bajo los marcos legales nacionales de los Estados Miembros como, por ejemplo, por medio de la normativa relativas a la protección de datos y privacidad, propiedad intelectual e industrial, derecho de los trabajadores, derecho a la intimidad, honor y propia imagen, entre otras.
Definición de «sistemas de IA»
Aunque el concepto de IA constituye el punto neurálgico o de partida de esta normativa, ha sido objeto de intensos debates en el momento de elaboración del Reglamento de IA.
El artículo 3.1. del Reglamento viene a definirlo como “un sistema basado en una máquina que está diseñado para funcionar con distintos niveles de autonomía y que puede mostrar capacidad de adaptación tras el despliegue, y que, para objetivos explícitos o implícitos, infiere de la información de entrada que recibe la manera de generar resultados de salida, como predicciones, contenidos, recomendaciones o decisiones, que pueden influir en entornos físicos o virtuales”.
No obstante, es necesario tener en consideración lo que establece el Considerando 12 de la normativa, ya que éste viene ampliar o matizar esta definición. Ya nos adelanta, dicho considerando que, el concepto habrá que armonizarlo con los trabajos que vayan realizando las organizaciones internaciones. Lo anterior, para aportar de cierta flexibilidad al concepto de «sistemas de IA», previendo de esta manera posibles cambios con el paso de tiempo.
Como se puede observar, ni siquiera la definición en si misma de IA ha tenido por parte de las partes implicadas en la elaboración la normativa un consenso pacífico.
Ámbito de aplicación
La Unión Europea ha optado por darle un alcance extraterritorial con el fin, de que se aplicable con independencia de que el proveedor y/o responsable del despliegue se encuentre fuera o dentro de la Unión Europea o de un tercer país, así como, con independencia de su ubicación, cuando los resultados de salida de un sistema de IA se utilicen en el territorio europeo.
Lo anterior, se he efectuado con el objetivo de proteger a los ciudadanos europeos de inferencias a sus derechos por parte de países terceros “más flexibles” o menos protectores de derechos. Esta cuestión no parece acertada, no obstante, es evidente que acarreará problemas o desafíos trasnacionales que deberán ser abordados desde el derecho internacional.
Alcance y enfoque basado en el riesgo
El alcance material del Reglamento de IA es muy amplio. De hecho, muchos expertos han mostrado su preocupación con respecto a la multitud de cuestiones que abarca.
En cuanto al enfoque del Reglamento de lA, los primeros trabajos de la Comisión Europea estaban centrados en establecer límites en el ámbito empresarial referentes al impacto de la IA en los DD. FF. Posteriormente, el legislador a la hora de elaborar el Reglamento de IA se enfocó principalmente en la evaluación del riesgo/conformidad, lo cual revela una inclinación tecno-solucionista del legislador a la hora de abordar su elaboración del marco regulatorio aplicable.
Se trata de una normativa está orientada al mercado y centrada, principalmente, en mitigar riesgos que puede estar asociados al uso, desarrollo y comercialización de la IA. En términos genéricos, el enfoque basado en el riesgo nos parece el acertado y, de hecho, no resulta novedoso, dado que el RGPD realiza un enfoque parecido (art.35 RGPD).
El Reglamento de IA viene a imponer diferentes requisitos en función del nivel de riesgos o de la categorización del sistema de IA.
Categorización de los sistemas de IA
Como ya hemos avanzado, la normativa divide los riesgos en cuatro categorías: mínimo, limitado, alto y riesgos inaceptable (o prohibidos).
Sin lugar a duda los que presentan mayor interés son los sistemas de IA de riesgo alto (art.6 y siguientes del Reglamento de IA). A modo sucinto, para que un sistema sea considerado de alto riesgo deberá cumplir de las condiciones establecidas en el art. 6.1. o encontrarse entre algunos de los establecidos en el Anexo III del Reglamento.
No obstante, no en todos los casos los sistemas de IA estipulados en dicho anexo se entenderán de forma automática como de alto riesgo. Por tanto, se deberá de estar a las excepciones establecidas en la normativa.
La normativa prevé la posibilidad de ampliar el listado establecido en el Anexo III, previendo ya a priori la posibilidad que sea ampliada en el futuro.
Determinar la categorización del sistema de la IA, será fundamental para que las empresas conozcan el tipo de responsabilidades a las que se deben adherir. Sin embargo, dado que, no siempre es fácil determinarlo, requerirán de profesionales expertos, tanto en el ámbito técnico y como legal.
Amplia horquilla de las sanciones aplicables
La normativa prevé multas bastante cuantiosas y, el importe de la cuantía dependerá del tipo de incumplimiento. En términos generales, la más cuantiosas son las que corresponden al incumplimiento de las prácticas prohibidas o inaceptables, cuyas sanciones pueden llegar a los 35 millones de euros o hasta el 7% del volumen anual de negocio mundial de la empresa, si esa cantidad es superior a los 35 millones.
En cuanto a las sanciones por incumplimiento de las obligaciones de los sistemas de alto riesgo, las sanciones pueden ser de hasta 15 millones de euros o el 3% del volumen de negocios total anual a escala mundial de la empresa si esa cantidad es superior a los 15 millones.
A cada Estado miembro le corresponderá desarrollar en las normativas nacionales su régimen sancionador, pero llama la atención la horquilla tan amplia que dotará de alto grado de discrecionalidad a los Estados miembros a este respecto.
En definitiva, como ya avanzamos, la valoración del Reglamento de IA es positiva y consideramos que, en cualquier caso, dada la magnitud de inferencias a las libertades y derechos de los ciudadanos, era necesaria.
La postura proteccionista con respecto a los ciudadanos adoptada por la Unión Europea refleja un compromiso con la protección de DD. FF, la privacidad y la seguridad de los individuos. Esto, como ya hemos indicado, sino se implementan medidas favorables y eficientes, va a producir una desaceleración en el avance tecnológico de la Unión Europea y, consiguientemente, en su competitividad.
El diálogo continuo entre autoridades, profesionales expertos, empresas y ciudadanos será fundamental, así como la implementación de medidas para paliar el desequilibrio actual existente entre Europa y otros países como Estados Unidos, en este ámbito.
***
“Time to place our bets: Europe’s AI opportunity” (https://www.mckinsey.com/capabilities/quantumblack/our-insights/time-to-place-our-bets-europes-ai-opportunity)
[2] WIRED “Gremio empresarial, sobre Ley IA: “pone en peligro la soberanía tecnológica de Europa”
(https://es.wired.com/articulos/gremio-empresarial-sobre-ley-ia-pone-en-peligro-la-soberania-tecnologica-de-europa)
[3] El Español Apple no lanzará este año en Europa las principales funciones de Apple Intelligence por la DMA” (https://www.elespanol.com/omicrono/software/20240622/apple-no-lanzara-ano-europa-principales-funciones-intelligence-dma/864913515_0.html)
[4] El País “Meta no ofrecerá sus nuevos modelos de IA generativa en Europa por su “impredecible entorno regulatorio” (https://elpais.com/tecnologia/2024-07-18/meta-no-ofrecera-sus-modelos-de-ia-generativa-en-europa-por-su-impredecible-entorno-regulatorio.html)
[5] DW “UE: marea de leyes ahuyenta a las empresas de IA” (https://www.dw.com/es/ue-marea-de-leyes-ahuyenta-a-las-empresas-de-ia/a-70325282)
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación