El Reglamento Europeo de Inteligencia Artificial se impondrá parcialmente en su arranque

La hoja de ruta

Enero de 2025

La Ley de IA, tiene una arquitectura con base en el riesgo, dividida en cuatro niveles: mínimo, limitado, alto e inaceptable. A mayor riesgo, mayores responsabilidades y límites para quienes desarrollen o utilicen estos sistemas, hasta llegar a modelos demasiado peligrosos para ser autorizados. Entre los usos prohibidos figuran las tecnologías para manipular el comportamiento de las personas, la vigilancia biométrica, la recopilación masiva e ilimitada de fotos de rostros en internet, el reconocimiento de emociones en el lugar de trabajo o la escuela, los sistemas de puntuación social o la policía predictiva, es decir, el uso de datos sensibles para calcular la probabilidad de que una persona cometa un delito.

Seis meses después de su entrada en vigor, es decir, en enero de 2025, estos sistemas prohibidos quedarán bloqueados. Los únicos casos en los que se permite la identificación biométrica son aquellos “cuyo único propósito es confirmar que una persona física concreta es la persona que dice ser”. Una definición que, sin embargo, deja mucho espacio abierto al uso de la vigilancia digital por parte de los estados, que en el Consejo batallaron en las negociaciones con el Parlamento, que desembocaron en el acuerdo sobre la Ley de IA en la noche del 8 de diciembre del año pasado, para ganar espacio al control a través de algoritmos. El artículo 5 sobre prohibiciones lo contempla: “Un Estado miembro podrá decidir prever la posibilidad de autorizar total o parcialmente el uso de sistemas de identificación biométrica a distancia “en tiempo real” en espacios accesibles al público con fines policiales”.

Primavera de 2025

Tres meses después de este primer paso, entran en vigor los códigos de conducta. Es decir, los compromisos que desarrolladores, empresas y asociaciones del sector adquirirán con la Unión para garantizar la inclusión de los principios de la Ley de IA en el desarrollo de sus actividades. En concreto, los códigos de conducta pretenden ampliar los compromisos en materia de sostenibilidad medioambiental y social, formación y alfabetización, y adopción de principios éticos en la producción de tecnología. La Ley de IA exige que se basen en “objetivos claros e indicadores clave de rendimiento que permitan medir la consecución de dichos objetivos”. De lo contrario, se corre el riesgo de que no sean más que un lavado de cara tecnológico.

Mientras tanto, el Pacto de IA, el acuerdo para cumplir antes con la Ley de IA, ya está en marcha: ya son 400 las empresas que han levantado la mano para mostrar su interés, adelantándose al proceso de cumplimiento de las normas de la UE para estar listas cuando se activen para todos, según explican a WIRED fuentes de la Comisión Europea.

Agosto de 2025

Agosto de 2025 suena para los modelos generales de IA. Son aquellos capaces de realizar diferentes tareas (como crear un texto o una imagen) y entrenados a través de enormes cantidades de datos sin categorizar, como GPT-4, detrás del potente chatbot ChatGPT, o LaMDA, detrás de Google Bard. Dado que son los que más afectan a la población y, por tanto, tienen que cumplir obligaciones más estrictas, los desarrolladores deben asegurarse de que el contenido esté etiquetado en un sistema legible por máquina y sea reconocible como generado por una IA. Los contenidos deepfake deben ser etiquetados como tales (mediante sistemas como la marca de agua digital que se aplica a fotos o videos). Y un usuario debe saber si está interactuando con un chatbot.

Para clasificarlos, la Ley de IA recurre a la potencia de cálculo, equivalente a 10^25 FLOPs (operaciones en coma flotante por segundo, una unidad de medida de la capacidad de cálculo). Pero como este umbral podría superarse fácilmente, dejando obsoleta la norma (hasta el punto de que la Comisión ya ha anticipado que se le dará vía libre para actualizarla), el último anexo de la Ley de IA, el número 13, contiene siete parámetros que Bruselas puede utilizar para designar los modelos generales de IA de alto impacto. Son variados y están relacionados o bien con la técnica o bien con el mercado (soldando así la Ley de IA a la batalla contra los gigantes tecnológicos librada a través de la Ley de Mercados Digitales, la normativa antimonopolio): la calidad o el tamaño del conjunto de datos; la potencia de cálculo expresada no solo por el número de operaciones, sino también por el costo, el tiempo y el consumo de energía para el entrenamiento; los tipos de entrada (por ejemplo, el uso de datos biológicos); el nivel de autonomía y escalabilidad; el número de usuarios registrados; el impacto en el mercado por su alcance, “que se presupone cuando el propio modelo se ha puesto a disposición de al menos 10,000 usuarios registrados establecidos en la Unión”.

Agosto de 2026

En agosto de 2026, es decir, dos años después de su entrada en vigor, la Ley de IA se convierte en ley para los sistemas considerados de alto riesgo. Están enumerados en el anexo 3 y se refieren a los sistemas de identificación y categorización biométrica o de reconocimiento de emociones; las aplicaciones de seguridad para infraestructuras críticas; los programas informáticos educativos o de formación, de evaluación de resultados de estudios, de asignación de cursos o de seguimiento de estudiantes durante los exámenes. Y luego están los algoritmos utilizados en el trabajo, para evaluar currículos o distribuir tareas y puestos de trabajo; los empleados por la administración pública o entidades privadas para distribuir subvenciones, clasificar peticiones de emergencia, desenmascarar fraudes financieros o establecer el grado de riesgo al contratar un seguro.

Los algoritmos utilizados por las fuerzas del orden, la justicia y las autoridades fronterizas para evaluar riesgos y detectar flujos de inmigración ilegal entran en esta categoría. Sin embargo, si el algoritmo solamente sirve para realizar un procedimiento limitado, mejorar los resultados ya obtenidos por un ser humano, identificar desviaciones de los procesos habituales de toma de decisiones o realizar un trabajo de control preparatorio, entonces no puede considerarse de alto riesgo.

En un plazo de 18 meses tras la entrada en vigor del Reglamento, la Comisión proporcionará directrices sobre los sistemas de alto riesgo. También podrá modificar la lista de algoritmos que entran en esta categoría. Para ello, deberán establecerse los fines de la tecnología, el alcance del uso y la autonomía de decisión, la naturaleza y cantidad de datos tratados, los abusos sobre grupos de personas, así como la posibilidad de corregir un error o los beneficios obtenidos. Una base de datos contendrá la lista actualizada de los sistemas de alto riesgo utilizados en Europa.