Aunque la preocupación por regular la Inteligencia Artificial (IA) viene de años atrás, fue en agosto de 2023 cuando empezaron a saltar las alarmas cuando “Ameca” (un androide robótico creado por la empresa Engineered Arts en Falmouth, Cornwall, UK) se declaró autoconsciente, lo que le permitiría entender su realidad, reconocerse a sí mismo y tener una personalidad específica.
Sea como sea, lo cierto es que los desarrollos de la IA avanzan a pasos vertiginosos. Así, en octubre de 2023 se publicó en la revista científica Nature un estudio realizado por la Universidad de Nueva York y la Universidad Pompeu Fabra de Barcelona, sobre una técnica (“MLC”) que permitirá implantar en sistemas de IA generativa (“GenAI”) de lenguaje como ChatGPT la “generalización compositiva”, cualidad hasta ahora reservada a la inteligencia humana, consistente en no solo conocer el significado literal de una palabra, sino poder usarla en diferentes contextos y con diversas acepciones.
La competencia de las Big Tech en esté ámbito promete ser feroz y Google no quiere quedarse atrás, por lo que en diciembre de 2023 ha anunciado el lanzamiento de “Gemini”, una plataforma de IA multimodal, que pretende superar la capacidad humana de comprensión del lenguaje multitarea, que puede generar textos, código, imágenes, audio y vídeo desde distintas fuentes de datos. Tendrá tres versiones (Nano, Pro y Ultra) con múltiples aplicaciones, como “Bard”, el chat que competirá con ChatGPT, buscador, gestor de servicios o móviles con Android y centros de datos a gran escala.
Respecto a la regulación de la IA, en USA, el Estado de California, foco mundial de la tecnología donde las Big Tech tienen sus centros neurálgicos en Silicon Valley, anunció en julio de 2023 un proyecto de normativa que regule el uso de la IA generativa por las Administraciones Públicas, sobre un plan de trabajo de 2 años, que se centrará en los riesgos de la GenAI; las oportunidades de uso para mejorar la eficiencia, eficacia, accesibilidad y equidad de las operaciones gubernamentales; el establecimiento de «sandboxes» para desarrollar proyectos piloto; y la formación de los empleados públicos.
Pero esto se antoja insuficiente desde la perspectiva de la Unión Europea, donde existe una creciente preocupación sobre un desmedido impulso de la IA sin control ni límites, al tiempo que no quiere quedarse atrás en su competencia con China y USA, que se muestran mucho más permisivos con esta tecnología. Inicialmente, la cuestión pareció haber sido arbitrada por la posición salomónica defendida por Japón en la reunión del G7 de octubre de 2023 (la del foro intergubernamental “Proceso de Hirosima”), partidario de fijar un Código de Conducta para la IA que no impida su progreso, al tiempo que ponga límites en materia de propiedad intelectual y datos personales.
Casi a continuación, se produjo la “Declaración de Bletchley” (Reino Unido) en noviembre de 2023, ratificada por 28 países entre los que se encuentran España, Estados Unidos, China, India, Australia, Canadá, Arabia Saudí, Japón, Brasil, Reino Unido, Francia, Italia y Alemania; con el objetivo de que se haga un uso de la IA centrado en el ser humano y que sea confiable y responsable, evitando la generación de contenido manipulado o engañoso que podría condicionar resultados electorales.
Respecto a la normativa de europea sobre IA, debido al retraso en la aprobación del Reglamento de IA, se han promulgado algunas normas que pivotan sobre dos conceptos fundamentales: nivel de riesgo y evitar sesgos discriminatorios. Así, el pasado mes de noviembre de 2023 se publicaron las cláusulas estándar (de dos tipos en función del nivel de riesgo de la IA) que deberán usarse para la adquisición por las Administraciones Públicas de sistemas que integren elementos de IA y otros sistemas algorítmicos que no se consideren necesariamente IA; de aplicación potestativa en lo que se aprueba el Reglamento, sin perjuicio de que se recomienda su inmediata utilización.
España también ha promulgado legislación, como la Ley 15/2022, de 12 de julio, integral para la igualdad de trato y la no discriminación, cuyo artículo 23 fue la primera norma española sobre el uso de la IA por las Administraciones Públicas y las empresas, en el marco de la Estrategia Nacional de IA de noviembre de 2020 y en la Carta de Derechos Digitales de julio de 2021; el Real Decreto 817/2023, de 8 de noviembre, que establece un entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de IA; así como el Real Decreto 729/2023, de 22 de agosto, que creó la Agencia Española de Supervisión de IA, con sede en A Coruña.
Y, finalmente, el pasado 8 de diciembre de 2023 se anunció que en la quinta sesión de los trílogos entre el Consejo, el Parlamento y la Comisión europeos, y tras casi 40 horas de arduas negociaciones, se logró alcanzar un principio de acuerdo sobre la redacción del Reglamento de IA, que deberá ser aprobado por el Consejo y el Parlamento, y posteriormente publicado en el Diario Oficial de la Unión Europea (DOUE); tras lo cual entrará en vigor transcurridos 2 años de desde su publicación, salvo determinadas disposiciones sobre sistemas prohibidos, que se aplicarán en 6 meses, y las previsiones sobre los modelos de IA generativa, que estarán vigentes en 1 año desde la publicación.
Los aspectos más conflictivos de la normativa europea sobre IA han sido el propio concepto de IA –que finalmente se ha aproximado a los principios de flexibilidad marcados en 2019 por la Organización para la Cooperación y Desarrollo Económico (OCDE), basados en la privacidad, gestión de riesgos de seguridad digital y conducta empresarial responsable, para facilitar futuras negociaciones con USA y UK)–, definir los sistemas de IA prohibidos, los requisitos para los modelos fundacionales que sirven de base a los sistemas de IA generativa y el respeto a los derechos de propiedad intelectual, los sistemas de reconocimiento facial en tiempo real en espacios públicos, el control de los sistemas de alto riesgo y el procedimiento sancionador.
La normativa europea sobre IA no se aplicará a aquella que se emplee para fines de defensa, con fines exclusivos de investigación e innovación, ni a las personas que la usen por motivos no profesionales
Las aplicaciones prohibidas de la IA son las siguientes: (i) categorización biométrica que use características sensibles de personas (ideología política, creencias religiosas o filosóficas, orientación sexual, raza, etc.); (ii) vigilancia predictiva; (iii) extracción no dirigida de imágenes faciales de Internet o imágenes de Circuito Cerrado de Televisión (CCTV) para crear bases de datos de reconocimiento facial; (iv) reconocimiento de emociones en el lugar de trabajo o en instituciones educativas; (v) puntuación basada en el comportamiento social o en características personales; (vi) manipulación del comportamiento humano para eludir su libre albedrío; y (vii) explotación de vulnerabilidades de las personas (por su edad, discapacidad, situación social o económica, etc.).
La normativa europea sobre IA no se aplicará a aquella que se emplee para fines de defensa, con fines exclusivos de investigación e innovación, ni a las personas que la usen por motivos no profesionales. Sin embargo, en el ámbito policial, se ha restringido el uso de los sistemas de identificación biométrica (RBI) en espacios públicos a una reducida lista de delitos de especial gravedad (tales como asesinato, secuestro, violación, robo con armas, participación en organización criminal, delitos medioambientales, trata o explotación sexual, o amenaza terrorista específica y presente), en tiempo y ubicación limitado, y contando con autorización judicial previa.
Siguiendo la línea marcada, la normativa es más estricta en función del riesgo, prestando especial atención a los sistemas de alto riesgo, capaces de generar daños a la salud, la seguridad, los derechos fundamentales, el medio ambiente, la democracia y el Estado de derecho, como los usados para influir en procesos electorales y en la voluntad de los votantes; así como a los sistemas de riesgo sistémico, que son los que utilizan una potencia de cálculo igual o superior a 10 elevado a 26 FLOPS (operaciones de coma flotante) por segundo, como sería el caso de ChatGPT-4.
Sobre los derechos de propiedad intelectual, se regula una de las cuestiones más polémicas, como es la convivencia del desarrollo de la IA y los derechos de propiedad intelectual de los autores de las obras que usa para su aprendizaje. En este sentido, se establece que los sistemas GPAI y modelos en los que se basan tendrán que cumplir requisitos de transparencia como la elaboración de documentación técnica, el cumplimiento de la normativa de la Unión Europea sobre derechos de autor y la difusión de resúmenes detallados sobre el contenido usado en la formación.
Respecto a los órganos de gobernanza, se crean la “AI Office”, que será asesorada por un científicos y expertos independientes, y se ocupará de supervisar los modelos de IA más avanzados, contribuir a fomentar normas y prácticas de ensayo y hacer cumplir las normas comunes en todos los Estados de la Unión Europea; el “AI Board”, compuesto por representantes de los Estados miembros, como plataforma de coordinación y órgano consultivo de la Comisión; y un foro consultivo para las partes interesadas (“Advisory forum for stakeholders”), integrado por representantes de empresas, de asociaciones civiles y de académicos.
En cuanto al régimen sancionador por el incumplimiento de las normas recogidas en el Reglamento, se establecen unas multas que pretenden ser disuasorias, y que oscilan entre los 7.500.000 de euros o el 1,5% del volumen de negocios global, hasta los 35.000.000 de euros o el 7% del volumen de negocios global, en función de la infracción cometida y el tamaño de la empresa responsable.
Además de la normativa de control, y con la vista puesta en el objetivo de no perder competitividad con chinos y norteamericanos, se adoptarán medidas de apoyo a la innovación para que las empresas (en particular las PYMES y startups que quieran hacerlo al margen de las grandes tecnológicas), puedan desarrollar soluciones en entornos de pruebas controlados, establecidos por las autoridades nacionales para desarrollar y entrenar la IA antes de su comercialización.
Por Javier López, socio de Écija