El Reglamento Europeo de Inteligencia Artificial se impondrá parcialmente en su arranque
Para quienes trabajan en el mundo de la inteligencia artificial, sobre todo en Europa, ha llegado el momento de sincronizar sus relojes. La Ley de IA, el reglamento europeo sobre inteligencia artificial, se ha publicado en el Diario Oficial de la Unión Europea. Y se convierte en ley a todos los efectos. Su entrada en vigor está prevista para dentro de 20 dÃas. A partir de ese momento comenzará la hoja de ruta para la aplicación de lo que la Comisión, el Consejo y el Parlamento Europeo han presentado como la primera ley del mundo que aborda de forma integral la inteligencia artificial.
La hoja de ruta
Enero de 2025
La Ley de IA, tiene una arquitectura con base en el riesgo, dividida en cuatro niveles: mÃnimo, limitado, alto e inaceptable. A mayor riesgo, mayores responsabilidades y lÃmites para quienes desarrollen o utilicen estos sistemas, hasta llegar a modelos demasiado peligrosos para ser autorizados. Entre los usos prohibidos figuran las tecnologÃas para manipular el comportamiento de las personas, la vigilancia biométrica, la recopilación masiva e ilimitada de fotos de rostros en internet, el reconocimiento de emociones en el lugar de trabajo o la escuela, los sistemas de puntuación social o la policÃa predictiva, es decir, el uso de datos sensibles para calcular la probabilidad de que una persona cometa un delito.
Seis meses después de su entrada en vigor, es decir, en enero de 2025, estos sistemas prohibidos quedarán bloqueados. Los únicos casos en los que se permite la identificación biométrica son aquellos “cuyo único propósito es confirmar que una persona fÃsica concreta es la persona que dice ser”. Una definición que, sin embargo, deja mucho espacio abierto al uso de la vigilancia digital por parte de los estados, que en el Consejo batallaron en las negociaciones con el Parlamento, que desembocaron en el acuerdo sobre la Ley de IA en la noche del 8 de diciembre del año pasado, para ganar espacio al control a través de algoritmos. El artÃculo 5 sobre prohibiciones lo contempla: “Un Estado miembro podrá decidir prever la posibilidad de autorizar total o parcialmente el uso de sistemas de identificación biométrica a distancia “en tiempo real” en espacios accesibles al público con fines policiales”.
Primavera de 2025
Tres meses después de este primer paso, entran en vigor los códigos de conducta. Es decir, los compromisos que desarrolladores, empresas y asociaciones del sector adquirirán con la Unión para garantizar la inclusión de los principios de la Ley de IA en el desarrollo de sus actividades. En concreto, los códigos de conducta pretenden ampliar los compromisos en materia de sostenibilidad medioambiental y social, formación y alfabetización, y adopción de principios éticos en la producción de tecnologÃa. La Ley de IA exige que se basen en “objetivos claros e indicadores clave de rendimiento que permitan medir la consecución de dichos objetivos”. De lo contrario, se corre el riesgo de que no sean más que un lavado de cara tecnológico.
Mientras tanto, el Pacto de IA, el acuerdo para cumplir antes con la Ley de IA, ya está en marcha: ya son 400 las empresas que han levantado la mano para mostrar su interés, adelantándose al proceso de cumplimiento de las normas de la UE para estar listas cuando se activen para todos, según explican a WIRED fuentes de la Comisión Europea.
Agosto de 2025
Agosto de 2025 suena para los modelos generales de IA. Son aquellos capaces de realizar diferentes tareas (como crear un texto o una imagen) y entrenados a través de enormes cantidades de datos sin categorizar, como GPT-4, detrás del potente chatbot ChatGPT, o LaMDA, detrás de Google Bard. Dado que son los que más afectan a la población y, por tanto, tienen que cumplir obligaciones más estrictas, los desarrolladores deben asegurarse de que el contenido esté etiquetado en un sistema legible por máquina y sea reconocible como generado por una IA. Los contenidos deepfake deben ser etiquetados como tales (mediante sistemas como la marca de agua digital que se aplica a fotos o videos). Y un usuario debe saber si está interactuando con un chatbot.
Para clasificarlos, la Ley de IA recurre a la potencia de cálculo, equivalente a 10^25 FLOPs (operaciones en coma flotante por segundo, una unidad de medida de la capacidad de cálculo). Pero como este umbral podrÃa superarse fácilmente, dejando obsoleta la norma (hasta el punto de que la Comisión ya ha anticipado que se le dará vÃa libre para actualizarla), el último anexo de la Ley de IA, el número 13, contiene siete parámetros que Bruselas puede utilizar para designar los modelos generales de IA de alto impacto. Son variados y están relacionados o bien con la técnica o bien con el mercado (soldando asà la Ley de IA a la batalla contra los gigantes tecnológicos librada a través de la Ley de Mercados Digitales, la normativa antimonopolio): la calidad o el tamaño del conjunto de datos; la potencia de cálculo expresada no solo por el número de operaciones, sino también por el costo, el tiempo y el consumo de energÃa para el entrenamiento; los tipos de entrada (por ejemplo, el uso de datos biológicos); el nivel de autonomÃa y escalabilidad; el número de usuarios registrados; el impacto en el mercado por su alcance, “que se presupone cuando el propio modelo se ha puesto a disposición de al menos 10,000 usuarios registrados establecidos en la Unión”.
Agosto de 2026
En agosto de 2026, es decir, dos años después de su entrada en vigor, la Ley de IA se convierte en ley para los sistemas considerados de alto riesgo. Están enumerados en el anexo 3 y se refieren a los sistemas de identificación y categorización biométrica o de reconocimiento de emociones; las aplicaciones de seguridad para infraestructuras crÃticas; los programas informáticos educativos o de formación, de evaluación de resultados de estudios, de asignación de cursos o de seguimiento de estudiantes durante los exámenes. Y luego están los algoritmos utilizados en el trabajo, para evaluar currÃculos o distribuir tareas y puestos de trabajo; los empleados por la administración pública o entidades privadas para distribuir subvenciones, clasificar peticiones de emergencia, desenmascarar fraudes financieros o establecer el grado de riesgo al contratar un seguro.
Los algoritmos utilizados por las fuerzas del orden, la justicia y las autoridades fronterizas para evaluar riesgos y detectar flujos de inmigración ilegal entran en esta categorÃa. Sin embargo, si el algoritmo solamente sirve para realizar un procedimiento limitado, mejorar los resultados ya obtenidos por un ser humano, identificar desviaciones de los procesos habituales de toma de decisiones o realizar un trabajo de control preparatorio, entonces no puede considerarse de alto riesgo.
En un plazo de 18 meses tras la entrada en vigor del Reglamento, la Comisión proporcionará directrices sobre los sistemas de alto riesgo. También podrá modificar la lista de algoritmos que entran en esta categorÃa. Para ello, deberán establecerse los fines de la tecnologÃa, el alcance del uso y la autonomÃa de decisión, la naturaleza y cantidad de datos tratados, los abusos sobre grupos de personas, asà como la posibilidad de corregir un error o los beneficios obtenidos. Una base de datos contendrá la lista actualizada de los sistemas de alto riesgo utilizados en Europa.