El pasado viernes 8 de diciembre, cerca de llegar la medianoche, el Consejo de la Unión Europea, liderado por la presidencia española, y el Parlamento Europeo llegaron a un acuerdo provisional histórico para avanzar hacia la aprobación definitiva del futuro Reglamento por el que se establecen normas armonizadas en materia de inteligencia artificial (más conocido como “Reglamento de Inteligencia Artificial” o, por su denominación en inglés, “AI Act”) en el próximo año 2024.
Tras un encuentro récord de tres días de trabajo, las negociaciones permitieron salvar las diferencias políticas que pusieron en peligro que el Reglamento de Inteligencia Artificial (en adelante, “Reglamento de IA”) pudiera ver la luz en un futuro cercano, teniendo en cuenta, por un lado, la finalización de la presidencia española del Consejo el 31 de diciembre de este año y, por otro, las futuras elecciones al Parlamento Europeo del día 9 de junio de 2024, que dibujarán un nuevo escenario político en las instituciones europeas.
Como anticipamos en Periscopio Fiscal y Legal de PwC Tax & Legal (aquí), la propuesta europea de Reglamento de IA pretende establecer un marco jurídico uniforme para el desarrollo, la comercialización y la utilización de sistemas de IA en la UE con un enfoque basado en el riesgo, de forma que permita promover la innovación y, a su vez, garantizar la tutela de los derechos fundamentales frente a potenciales riesgos e injerencias que puede comportar el uso de sistemas de IA.
Con la ambición de convertirse en una referencia global para regular la IA, la propuesta de Reglamento de IA es la primera norma que establece un marco armonizado de este tipo en el mundo.
Por este motivo, y gracias a su ámbito de aplicación extraterritorial, se prevé que los efectos de esta norma trasciendan las fronteras europeas y pueda influenciar la regulación de otras jurisdicciones, ejemplificando una vez más el denominado “efecto Bruselas” observado con otras iniciativas legislativas europeas, como por ejemplo el Reglamento General de Protección de Datos (RGPD).
En este camino, las instituciones europeas han acordado seguir la última definición de “Sistema de IA” propuesta por la Organización para la Cooperación y el Desarrollo Económico (OCDE), lo que puede facilitar la interacción de la futura norma con otras herramientas regulatorias que sigan las recomendaciones realizadas por la OCDE y los principios de IA que promueve (como el Código de Conducta internacional del G7, en el marco del Proceso de Hiroshima).
Definición de “Sistema de IA”
An AI system is a machine-based system that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments.
No obstante, es necesario recalcar que pese al gran revuelo mediático que ha tenido el acuerdo entre Consejo y Parlamento Europeo, el Reglamento de IA todavía no se ha aprobado oficialmente.
Quedan por mantener varias sesiones técnicas que pueden condicionar la redacción de la versión consolidada del texto legislativo y, en consecuencia, la forma concreta en que las empresas deben prepararse para el advenimiento de las obligaciones y exigencias que impondrá esta nueva normativa europea de forma gradual en el tiempo –presumiblemente entre 2024 y 2026–, en función del nivel de riesgo asociado al sistema de IA.
Lo que el acuerdo preliminar sí ha permitido es solventar algunos de los principales puntos de desencuentro político que seguían existiendo sobre la propuesta de Reglamento de IA.
Por ello, en esta entrada nos limitaremos a detallar algunos de estos puntos clave del acuerdo alcanzado entre la Comisión de la UE y el Parlamento Europeo, quedando pendientes de valorar el detalle de la versión consolidada del Reglamento de IA cuando sea finalmente publicado:
Ámbito de aplicación
Sin perjuicio de que el futuro Reglamento de IA incluirá un ámbito de aplicación extraterritorial que repercutirá en un mayor impacto global de la normativa europea, el acuerdo preliminar alcanzado excluye la aplicación del Reglamento de IA a sistemas utilizados exclusivamente con finalidades militares o de defensa, de investigación, innovación o cuando se empleen sin un propósito profesional.
Precisamente, con el objetivo de ofrecer una respuesta a las llamadas de la comunidad open source que abogaban por evitar barreras y desventajas para los contribuyentes de este ecosistema en favor de la investigación y la innovación (como, por ejemplo, la carta abierta publicada por varios stakeholders que puede consultarse aquí), se prevé la existencia de una excepción limitada a algunos casos concetos para modelos gratuitos de IA basados en open source, que en todo caso deberán respetar algunas obligaciones de transparencia y asumir compromisos para garantizar el respeto de los derechos de propiedad intelectual.
Enfoque basado en el riesgo
Como otras normas que pretenden mantener un equilibrio entre innovación y el respeto por las libertades y derechos fundamentales de los ciudadanos, la propuesta de Reglamento de IA mantiene un enfoque basado en el riesgo.
En esta línea, se ha acordado establecer un marco jurídico uniforme y horizontal, aplicable a todos los sectores, con la imposición de mayor número de obligaciones y requisitos en la medida que el nivel de riesgo asociado al sistema de IA sea más elevado.
La propuesta de Reglamento de IA distinguirá entre:
- Sistemas de IA de riesgo mínimo, que no serán regulados (por ejemplo, aplicados a videojuegos o filtros de spam);
- Sistemas de IA de riesgo limitado, que serán permitidos pero que deberán cumplir con ciertas obligaciones de transparencia para que los usuarios sean conscientes de que están interactuando con IA (por ejemplo, chatbots).
- Sistemas de IA de alto riesgo, que deberán cumplir con exigencias más estrictas que condicionarán su introducción en el mercado europeo (por ejemplo, la realización de una evaluación de impacto sobre derechos fundamentales);
- Sistemas de IA de riesgo inaceptable y que, en consecuencia, estarán prohibidos (por ejemplo, casos de puntuación social o social scoring, el reconocimiento de emociones en el entorno laboral o en entornos educativos, o la identificación biométrica remota en tiempo real en espacios de acceso público, con excepciones limitadas para finalidades policiales).
Sistemas de IA de propósito general y modelos fundacionales
El acuerdo provisional alcanzado entre el Consejo y el Parlamento Europeo aborda la regulación específica de sistemas de IA de propósito general (General Purpose AI o GPAI), que puede emplearse para multitud de fines, así como de los modelos fundacionales (foundation models), capaces de realizar una amplia gama de tareas, como las que se han ejemplificado con el uso de herramientas de IA Generativa capaces de generar texto, imágenes o vídeos, entre otros.
En estos casos, se deberá proporcionar documentación técnica, incluyendo un resumen del contenido (corpus de información y datos) utilizado para entrenar el sistema de IA, así como garantizar el cumplimiento de la normativa de propiedad intelectual.
En aquellos casos donde estos sistemas de IA reúnan los criterios necesarios para considerar que llevan aparejado un riesgo sistémico, se prevé la imposición de obligaciones más estrictas como la evaluación de los modelos, la emulación de adversarios (adversarial testing), la valoración y mitigación de los riesgos identificados, informar a la Comisión sobre incidentes graves, garantizar la ciberseguridad e informar sobre niveles de eficiencia energética.
Para garantizar el cumplimiento de estas nuevas obligaciones, se prevé la utilización de códigos de conducta elaborados con la colaboración de la industria, la comunidad científica, la sociedad civil y otras partes interesadas, junto con la Comisión.
Obligaciones de transparencia
Entre las obligaciones de transparencia aplicables, destacan las que pueden tener una afectación directa con el reconocimiento de deepfakes o contenido generado mediante herramientas de IA Generativa.
Por ejemplo, se prevé la obligación de proporcionar información al usuario sobre el hecho de que un contenido ha sido generado por IA y, en esta línea, se establece la necesidad de diseñar estos sistemas de forma que puedan generar resultados cuyo origen –de carácter artificial– pueda ser identificado por sistemas que permitan reconocer la generación o la manipulación de contenidos sintéticos mediante IA.
En aquellos casos donde se empleen sistemas de reconocimiento de emociones –al margen de los supuestos prohibidos– se deberá informar al usuario de que están siendo expuestos a esta tipología de sistemas. Además, los ciudadanos tendrán derecho a presentar una reclamación sobre sistemas de IA y recibir información sobre las decisiones basadas en sistemas de IA de alto riesgo con impacto en sus derechos.
Asimismo, con el fin de controlar el uso de sistemas de alto riesgo llevado a cabo por entidades públicas, éstas tendrán la obligación de mantener un registro, alimentando una base de datos de la UE.
IA Generativa y propiedad intelectual
En relación con los resultados u outputs ofrecidos por las herramientas de IA Generativa, no se espera que el Reglamento de IA entre a clarificar si las creaciones realizadas con el uso de estas herramientas son susceptibles de atribución de derechos de propiedad intelectual, tal y como se está discutiendo en otras jurisdicciones como el Reino Unido, Estados Unidos o China.
Sin perjuicio de que algunos Estados Miembros puedan plantear proposiciones de ley para modificar su marco normativo actual en materia de derechos de autor (por ejemplo, véase la propuesta francesa mediante la Proposition de loi n°1630 visant à encadrer l’intelligence artificielle par le droit d’auteur), todo parece indicar que serán los tribunales locales los primeros en tener que afrontar las controversias generadas por el uso de esta tecnología en los Estados Miembros.
Asignación de responsabilidades
El acuerdo preliminar tiene presente que la complejidad generada por las cadenas de valor relacionadas con los sistemas de IA podría conllevar dificultades para una correcta asignación de responsabilidades.
Por este motivo, se aclara la responsabilidad de los diversos actores involucrados en esas cadenas de valor en función de sus roles, poniendo el foco en los proveedores y los usuarios de sistemas de IA, a la vez que se establece cómo interacciona la responsabilidad generada por esta normativa con otras legislaciones que ya están en vigor, como el RGPD u otras normas sectoriales.
En esta línea, deberá analizarse la relación que tendrá, también, con la propuesta de Directiva sobre responsabilidad civil extracontractual en materia de IA.
Gobernanza de la Inteligencia Artificial
Como se había anticipado, se ha acordado la creación de una nueva Oficina Europea de Inteligencia Artificial dentro de la Comisión Europea que se encargará de la coordinación, a nivel europeo, de la supervisión de la aplicación y el cumplimiento de las normas en materia de IA, junto con la aparición, a nivel local, de autoridades nacionales competentes para la vigilancia del mercado nacional, como la Agencia Española de Supervisión de Inteligencia Artificial, tal y como analizamos en Periscopio Fiscal y Legal de PwC Tax & Legal (aquí).
De forma particular, se prevé que la Oficina Europea de IA supervise las obligaciones impuestas a los sistemas de IA de propósito general, cuyas capacidades serán evaluadas de forma recurrente por la Oficina Europea con el soporte de un panel de expertos independientes para valorar, entre otros aspectos, el riesgo sistémico que comportan y monitorizar posibles riesgos de seguridad.
Complementariamente, se prevé la aparición de una Junta de IA compuesta por representantes de los Estados Miembros que seguirá velando por la coordinación de la implementación del futuro Reglamento de IA y actuará como órgano asesor de la Comisión, desempeñando un papel relevante en el diseño de códigos de conducta.
Esta Junta de IA contará con el soporte de un foro consultivo formado por otras partes interesadas, tales como representantes de la industria, pymes, empresas emergentes, sociedad civil y academia, para dotarla de los conocimientos técnicos necesarios para cumplir con sus objetivos.
Excepciones para las fuerzas del orden
Uno de los puntos más controvertidos de la propuesta de Reglamento de IA era determinar de qué forma las autoridades y fuerzas del orden podían utilizar sistemas de IA con fines policiales.
En esta línea, se ha llegado a un acuerdo para introducir un procedimiento de emergencia que permita emplear sistemas de IA de alto riesgo sin haber pasado el procedimiento de evaluación de conformidad, y se permite el uso con excepciones de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público –considerada prohibida de forma general– cuando su uso sea estrictamente necesario para fines policiales en determinados casos.
Régimen sancionador
El incumplimiento del Reglamento de IA puede dar lugar a sanciones económicas que han sido revisadas en el marco del acuerdo alcanzado entre Consejo y Parlamento Europeo, sin perjuicio de que se prevé la existencia de límites proporcionados para las multas administrativas impuestas a pymes o empresas de nueva creación:
- 35 millones de euros (o el 7% del volumen de facturación anual global de la empresa en el año financiero anterior, lo que sea mayor) por violaciones relacionadas con IA listada como prohibida;
- 15 millones de euros (o el 3% del volumen de facturación anual global de la empresa en el año financiero anterior, lo que sea mayor) por otras violaciones de las obligaciones del Reglamento de IA;
- 7,5 millones de euros (o el 1,5% del volumen de facturación anual global de la empresa en el año financiero anterior, lo que sea mayor), por el suministro de información incorrecta
Siguientes pasos, entrada en vigor y aplicación
Tras el acuerdo preliminar alcanzado entre Consejo y Parlamento Europeo, el trabajo para definir una versión consolidada del texto legislativo se retomará con sesiones técnicas que tienen la finalidad de acabar de pulir los detalles finales del futuro Reglamento de IA, siendo necesaria su posterior aprobación por el Comité de Representantes Permanentes de la UE (COREPER) y confirmación por parte la instituciones europeas.
Se espera que el Reglamento de IA puede ser aprobado entre el primer y segundo trimestre de 2024, presumiblemente en primavera, sin perjuicio de que su plena aplicación no se producirá hasta dentro de dos años (2026), con algunas salvedades para ciertas obligaciones que podrían resultar aplicables a partir de los seis meses.
En cualquier caso, las entidades que estén desarrollando, distribuyendo o empleando sistemas de IA con finalidades profesionales deben empezar a poner en marcha mecanismos de autoevaluación para identificar y aplicar controles destinados a asegurar el cumplimiento del nuevo Reglamento de IA que está cada vez más cerca.
Desde PwC Tax & Legal, estaremos atentos a los últimos desarrollos del futuro Reglamento de IA para acompañar a las empresas en la evaluación de sus implicaciones y prepararlas para el advenimiento de nuevas normas que impactarán a todos los sectores.
En resumen
El Reglamento de IA todavía no se ha aprobado, pero el acuerdo preliminar alcanzado entre Consejo y Parlamento Europeo sitúa la aprobación final en un horizonte muy cercano: el primer semestre de 2024.
Este acuerdo ha permitido solventar desencuentros políticos clave para que el futuro Reglamento de IA pueda ver la luz, convirtiéndose en la primera norma de este tipo a escala global que regulará de forma armonizada los sistemas de IA.
Sin perjuicio de que su plena aplicación se prevé para dentro de 2 años desde su entrada en vigor con salvedades, las empresas deben ser conscientes de que esta norma conllevará la imposición de nuevas obligaciones cuyo incumplimiento puede acarrear sanciones que oscilan entre los 7,5 millones (o 1,5% del volumen de facturación anual global) hasta los 35 millones de euros (o el 7% del volumen de facturación anual global).