La Eurocámara ya ha dicho todo lo que tenía que decir sobre el Reglamento de la IA: su entrada en vigor ya es inminente

El Parlamento Europeo ya ha dicho todo lo que tenía que decir sobre el nuevo Reglamento de la Inteligencia Artificial. 

Es ahora el Consejo quien tiene que dar su aprobación definitiva a un texto, después de que este ya ha sido traducido a las lenguas de los Veintisiete. La Eurocámara aprobó este martes el corrigendum —el texto con sus correcciones jurídicas y lingüísticas—, que ya había sido revisado hace días por las comisiones parlamentarias de Libertades Civiles (LIBE) y Mercado Interior (IMCO).

Con la pelota ya en el tejado del Consejo, será el colegislador el que dictamine que el texto pasa su corte definitivo y en consecuencia la norma dé el anhelado salto al Diario Oficial de la Unión Europea, el DOUE. Una vez esto suceda y transcurra un plazo de 20 días se entenderá que la nueva regulación estará formalmente en vigor, lo que sucederá entre los meses de mayo y junio.

Sin embargo, como es habitual en grandes regulaciones comunitarias, muchas de las provisiones de la nueva norma no empezarán a ser aplicadas realmente hasta que hayan pasado dos años. Sucedió con el Reglamento General de Protección de Datos (RGPD), que fue formalmente aprobado en 2016 pero no entró en vigor hasta mayo de 2018.

En realidad, algunas de las provisiones irán entrando en aplicación al cabo de diversos plazos. Por ejemplo, la prohibición de los sistemas IA con casos de uso de alto riesgo se producirá a partir de los seis meses desde que la norma haya sido publicada en el DOUE. Aquellos aspectos relativos a la IA generativa, al cabo de un año.

No ha sido una norma fácil de negociar y se da la circunstancia de que su aprobación definitiva va a llegar en los últimos estertores de la legislatura comunitaria —hay elecciones europeas entre los días 6 y 9 de junio—. La Comisión puso su borrador sobre la mesa en abril de 2021, cuando el mundo no conocía fenómenos como ChatGPT y OpenAI.

Ha sido vocación de las instituciones comunitarias el que esta norma resista al futuro, lo cual es mucho decir teniendo en cuenta cómo evoluciona esta tecnología. Que tenga éxito o no es algo que estará por ver: de eso dependerá que la Unión Europea consiga replicar el famoso efecto Bruselas en este ámbito regulatorio.

Lo explicaba así Joaquín Almunia, excomisario europeo de Competencia, en una reciente entrevista con Business Insider España: "Curiosamente no tenemos liderazgo tecnológico en IA". "Pero eso nos da más margen y autonomía estratégica para regular con más intensidad y serenidad y poder aplicar esas regulaciones desde la autoridad europea".

Pero que los colegisladores y Bruselas llegasen a un acuerdo en diciembre para tener este reglamento o que el Parlamento Europeo diese luz verde al texto definitivo en marzo no ha hecho que las últimas semanas en la tramitación de la norma hayan sido más serenas.

Lo que necesitas saber para estar informado

¿Te gusta lo que lees? Comienza tu día sabiendo qué piensan y qué les preocupa a los ejecutivos de las principales empresas del mundo con una selección de historias enviada por Business Insider España a primera hora cada mañana.

Recibe la newsletter

Los flecos que deja abiertos el Reglamento de la IA, según entidades de la sociedad civil

El corrigendum que se aprobó hace unas horas, sin ir más lejos, subsanaba errores tipográficos especialmente sensibles. La resolución de marzo de la Eurocámara advertía que la norma se aplicaría a sistemas IA liberados bajo licencias open source. El texto corregido aclara que la regulación no será aplicada a esos sistemas, salvo cuando sean casos de alto riesgo, entre otros.

Igualmente, el texto final recibe cambios sustanciales con respecto a los que se conocieron al inicio de las negociaciones, los que se fueron filtrando durante ellas e incluso el resultado del trílogo que se filtró en enero.

Por ejemplo, uno de los grandes debates alrededor del texto ha tenido que ver con los sistemas de reconocimiento biométrico —facial, en este caso— en tiempo real en espacios públicos. Cámaras con tecnología IA capaz de identificar a los viandantes de una plaza o de una estación de trenes, por ejemplo.

Aunque el texto final veta sistemas de detección de emociones o que alimenten bases de datos para utilizar modelos de reconocimiento facial en tiempo real, sí abre la puerta para su uso policial, aun cuando la Eurocámara había propuesto que el reconocimiento biométrico masivo con fines policiales se utilizara no en tiempo real y previa autorización judicial.

El español que desató la 'pesadilla' de las grandes tecnológicas en Europa

A principios de mes, una red de organizaciones de la sociedad civil —entre ellas, Amnistía Internacional, Lafede.cat, Algorights o EDRi— lanzaron un comunicado atendiendo al documento legal último conocido entonces. 

Lamentaban que haya una doble vara de medir —la ley no impide que empresas europeas exporten sistemas prohibidos al extranjero— o que se ignorase el peligro de un sistema de reconocimiento facial retrospectivo —que en lugar de ponerse en marcha en tiempo real se ponga en marcha a posteriori con grabaciones previas—.

Las entidades también denunciaban que muchos flecos de la regulación se hayan dejado en manos de los operadores del mercado de la inteligencia artificial, en un ejercicio de autorregulación: "Los proveedores de sistemas de alto riesgo serán quienes decidirán si sus sistemas son de alto riesgo o no".

El Reglamento de la IA sí incluye la introducción de las evaluaciones de impacto a los derechos fundamentales que tendrán que cumplimentar los operadores del mercado antes de desplegar sus sistemas en la Unión Europea. De momento no existe ningún modelo de formulario, y las autoridades policiales no estarán obligadas a su redacción.

A la vista de los hechos, el Reglamento de la IA deja muchos flecos en manos de los Estados miembros de la Unión Europea. De ahí que gran parte de las provisiones que contempla esta nueva ley comunitaria entren en vigor dentro de dos años, en 2026: los países necesitan tiempo para adaptar su legislación y responder a estos nuevos desafíos.

Mucho se deja en manos de los Veintisiete: ¿estarán a la altura?

España es uno de los países mejor posicionados para adaptarse ágilmente al nuevo Reglamento de la Inteligencia Artificial. La ex secretaria de Estado de Inteligencia Artificial, Carme Artigas, impulsó la iniciativa de desplegar un campo de pruebas regulatorio, un sandbox, para que el país fuese el primero de toda la Unión Europea en probar los efectos de la norma.

La nueva regulación, que se espera que el Consejo de la Unión Europea adopte de forma definitiva en las próximas semanas, contempla que serán también las autoridades nacionales las competentes de hacer velar que la norma se cumple en sus respectivos países.

No hay peligro de que surja un cuello de botella como sucede con el RGPD, que tiene un sistema de ventanilla única por el que la autoridad competente de investigar y sancionar a las empresas es la del país en las que las compañías tengan su principal sede fiscal en la Unión. Con el RGPD, la mayoría de investigaciones se cursan en Irlanda, provocando un atasco allí.

Con el Reglamento de la IA, las autoridades competentes intervendrán "donde la infracción haya tenido lugar", como explicaba en este artículo Laura Caroli, asesora del eurodiputado Brando Benifei, uno de los ponentes del texto en el Parlamento Europeo.

Caroli, eso sí, sí avisaba de que quizá el mayor desafío sería la capacidad que pudieran tener las nuevas autoridades nacionales de vigilancia al abordar casos e investigaciones invocando el Reglamento de la IA. "Lo ideal sería que hubiera al menos una autoridad de supervisión/coordinación, preferentemente independiente como defiende el Parlamento Europeo".

"Una autoridad que fusionara los conocimientos de la autoridad nacional de protección de datos con los de una autoridad técnica clásica de vigilancia del mercado, ya que los conocimientos de ninguna de las dos pueden funcionar sin la otra en el caso de la IA", razonaba.

España cuenta con la Agencia Española de Protección de Datos (AEPD) que vela por el cumplimiento del RGPD y con la Comisión Nacional del Mercado de la Competencia (CNMC) que desde hace unos meses vela por el cumplimiento del también nuevo Reglamento de los Mercados Digitales.

Sin embargo, el Gobierno puso en marcha la legislatura pasada la nueva Agencia Española de Supervisión de la Inteligencia Artificial, con sede en A Coruña para tratar de descentralizar el país.

Esta nueva AESIA todavía tiene que echar a andar, ya cuenta con estatutos y está buscando su director mediante un procedimiento abierto, según avanzó el Ministerio de Transformación Digital que dirige José Luis Escrivá este mismo mes.

Dudas de que la propia Agencia Española de Supervisión de la IA pueda cumplir el reglamento que tendrá que hacer cumplir

La AESIA busca su nuevo director o directora general y se pide "experiencia académica y técnica" en el ámbito de la IA, "habilidades de gestión y liderazgo", "conocimiento legal y perspectiva ética" y "red de contactos" con "los líderes y actores fundamentales de la industria, tanto en el ámbito empresarial como en el académico o en el institucional".

El mecanismo que Transformación Digital ha puesto en marcha es el de una expresión de interés: mediante ese procedimiento aquellas personas que puedan estar interesadas en el cargo podrán presentar su candidatura "acreditando experiencia y cualidades" hasta el próximo 9 de mayo.

Laura Caroli, asesora en el Parlamento Europeo, incidía en su artículo que las agencias de supervisión deberán ser preferentemente independientes. Pero hay dudas de que los estatutos de la AESIA den cumplimiento al propio reglamento, como advertía en esta información el medio especializado Confilegal.

El artículo 70 del Reglamento de la IA incide en que cada país designará una autoridad nacional competente que "ejercerán sus poderes de manera independiente, imparcial y sin sesgos, a fin de preservar la objetividad de sus actividades y funciones y de garantizar la aplicación y ejecución" de la norma.

Pero según recoge Confilegal, los estatutos de la AESIA determinan que su presidenta es la secretaria de Estado de Digitalización e Inteligencia Artificial, en estos momentos Mayte Ledo, quien será quien proponga el nuevo director o directora general al consejo rector de la autoridad. 

De ahí que se dude de que la AESIA, tal y como nace, pueda cumplir con el Reglamento de la IA. Igual que la AEPD, la AESIA es una entidad de derecho público. Pero la AEPD elige a su Presidencia mediante la reunión de un comité de selección compuesto por la secretaria de Estado de Justicia, un subsecretario de Presidencia, un magistrado del Supremo, entre otros.

Mientras, la Presidencia de la AESIA recae directamente en la secretaria de Estado Mayte Ledo, que a su vez colaborará en la designación del director o directora general de esta nueva agencia.

Cuando se anunció la constitución de la AESIA, Mar España, directora general interina de la AEPD, deslizó en una entrevista con este medio que se podían haber reforzado los medios de Protección de Datos. 

Aunque los estatutos vigentes de la AEPD son de 2021, todavía no se ha elegido ningún presidente o presidenta para la Agencia de Protección de Datos por el bloqueo político que también afecta a la renovación del Consejo General del Poder Judicial (CGPJ). Mientras el problema allí continúa, crecen las dudas sobre si la AESIA podrá cumplir la ley que tiene que hacer cumplir.