Últimamente, el mes de diciembre se está convirtiendo en un momento legislativamente relevante. En efecto, el 22 de diciembre de 2022, el DOUE publicaba la Directiva NIS2, el Reglamento DORA y la Directiva sobre resiliencia de entidades críticas, que son pilares fundamentales para la ciberseguridad de ciudadanos, empresas y sector público.
En esta misma línea, el pasado viernes 8 de diciembre se lograba un acuerdo para la aprobación de la IA Act, un Reglamento que está llamado a servir de marco regulador del uso que vaya a darse de esta tecnología disruptiva en un mercado (por lo menos en el español) que en la actualidad está copado por herramientas de origen, principalmente, norteamericano.
El IA Act es un Reglamento que está llamado a servir de marco regulador del uso que vaya a darse de esta tecnología disruptiva en un mercado copado por herramientas de origen, principalmente, norteamericano.
El texto acordado ahora tendrá que ser adoptado formalmente tanto por el Parlamento como por el Consejo para convertirse en ley de la UE. Los comités de Mercado Interior (IMCO) y Libertades Civiles (LIBE) del Parlamento votarán sobre el acuerdo en una próxima reunión, ya en 2024.
Los negociadores del Parlamento y del Consejo llegaron a un acuerdo provisional sobre la Ley de Inteligencia Artificial. Este reglamento tiene como objetivo garantizar que los derechos fundamentales, la democracia, el estado de derecho y la sostenibilidad ambiental estén protegidos de la IA de alto riesgo, al tiempo que impulsa la innovación y hace de Europa un líder en el campo. Las reglas establecen obligaciones para la IA en función de sus riesgos potenciales y nivel de impacto.
Luces y sombras
Como en toda regulación que afecta a los desarrollos tecnológicos, encontraremos partidarios y detractores de una regulación que ha sido controvertida a la vista de la oposición -primero- de los lobbies tecnológicos y -después- por países como Francia, Italia y Alemania que se opusieron a la propuesta de texto que iba a ser objeto de negociación.
Todos aquellos consideraban que una regulación tan trascendental requería un análisis más profundo de una tecnología que, desde hace ya varios años, viene transformando las actividades de numerosas empresas y sectores.
En efecto, la lógica satisfacción por este meritorio logro, precedido de unas extensas y complejas negociaciones, contrastan con el temor a que las prisas por lograr un acuerdo (especialmente derivado del interés manifiesto de la Unión Europea por ser el primer continente en regular esta tecnología y por el de la Presidencia española por hacerlo durante su mandato) hayan hecho olvidar aspectos importantes en una regulación que va a resultar clave en los próximos años.
La lógica satisfacción por este meritorio logro contrasta con el temor a que las prisas por lograr un acuerdo hayan hecho olvidar aspectos importantes en una regulación que va a resultar clave en los próximos años
Este extremo, el de la actualización, parece quedar cubierto con el recurso de los actos delegados que publicará la Comisión Europea, con los que se irán regulando aquellos aspectos que, en aplicación del propio Reglamento, requieran de una regulación más concreta. Sin perjuicio de ello, se mantiene la posibilidad, a disposición de la industria y resto de empresas, de desarrollar códigos de conducta que establezcan límites voluntarios a determinadas actuaciones que puedan ir en detrimento de los consumidores o del propio mercado, tal y como se explica detalladamente al hablar sobre autorregulación en la IA.
Objetivo: una tecnologia confIAble y responsable
En lo que se refiere al objeto de esta concreta regulación, es evidente que el enfoque adoptado es el que se centra en el impacto y la afección del uso de esta tecnología en los derechos y libertades de las personas, dado su potencial para contravenir los principios y valores sobre los que se asienta la Unión Europea.
Y es que, en efecto, esta tecnología permite el control y la vigilancia masiva de los ciudadanos, su manipulación, y muchas otras funcionalidades que hacen imprescindible su regulación.
Por eso, finalmente, se ha mantenido el criterio regulatorio de la aproximación al riesgo derivado de un uso inapropiado o inaceptable de tal tecnología, de lo que ha derivado la identificación de usos no aceptados bajo ninguna circunstancia (salvo determinadas excepciones, como las amparadas en la justificación de la defensa de la seguridad nacional y similares, al igual que ocurre con otra normativa europea en tramitación, y sometidas a control jurisdiccional) y otras IA de alto riesgo, que podrán implantarse tras el cumplimiento de una serie de requisitos y garantías.
Esta tecnología permite el control y la vigilancia masiva de los ciudadanos, su manipulación, y muchas otras funcionalidades que hacen imprescindible su regulación
Hay que tener en cuenta, además, que estas aplicaciones con mayor impacto e influencia en los derechos de los ciudadanos encajarán con otras normativas adicionales, como son la Directiva sobre responsabilidad por productos defectuosos y la Directiva sobre responsabilidad extracontractual por usos derivados de la inteligencia artificial.
Además de otro tipo de regulaciones, tales como la normativa de ciber resiliencia, que se encargará de regular la responsabilidad derivada de la incorporación de IA como elemento accesorio de otros productos que se difundan en el mercado europeo, y que a efectos prácticos puedan tener un elevado impacto entre las empresas y consumidores. Este sería el caso, por ejemplo, de la incorporación de IA a objetos conectados.
Nace el complIAnce
A la vista de los plazos para la exigencia de las obligaciones previstas en la norma, comienza a contar el tiempo para que las empresas inicien su adecuación a este nuevo marco normativo, en particular a la vista de la proliferación de órganos supervisores y con capacidad coercitiva, que en aplicación de la nueva ley podrán aplicar sanciones millonarias.
Entre las obligaciones que derivan de la nueva regulación, las empresas van a tener que diseñar un marco de gobernanza específico, responsable de aplicar y supervisar el cumplimiento de unas obligaciones.
Entre las obligaciones que derivan de la nueva regulación, las empresas van a tener que diseñar un marco de gobernanza específico, responsable de aplicar y supervisar el cumplimiento de obligaciones
Estas obligaciones se refieren tanto a los aspectos técnicos como organizativos, donde el desarrollo e implementación de políticas, diseño de marcos formativos, implementación de controles y marco de diseño de buena gestión de proveedores y terceros, entre otros, se convierten en preceptivos para cualquier organización, a la par que complejos de implementar.
Geoestrateg-IA
La decisión de regular la inteligencia artificial es, sin duda, una herramienta idónea para un mejor posicionamiento europeo en el tablero político internacional, donde la IA es un elemento que va a permitir a determinados países a ocupar posiciones de liderazgo mundial, tanto tecnológico, como proveedores de materias prima, de profesionales cualificados, bien de otros aspectos.
Dicho con otras palabras, a la par que la IA permitirá un rápido desarrollo tecnológico y de progreso en las sociedades civilizadas, probablemente amplíe la brecha con el resto de los países que no puedan tener acceso a este tipo de tecnologías, incrementando la dependencia de otros que sí disponen de ella, lo que se podría calificarse de tecno-colonización.
La decisión de regular la inteligencia artificial es una herramienta idónea para un mejor posicionamiento europeo en el tablero político internacional
En este caso, el éxito de esta regulación deberá medirse con un doble criterio: de un lado, la eficacia en la protección de los derechos y libertades de los ciudadanos europeos (tanto con carácter preventivo, referido a las obligaciones exigibles a los agentes del mercado y el sandbox, como reactivo, referido a la correcta implementación y a las eficaces capacidades de resolución de controversias derivadas del uso de esta tecnología).
De otro lado, con respecto a la opinión que tengan el resto de países con relación a las barreras de entrada (tanto jurídicas como éticas) que aplicará a partir de ahora el mercado europeo, y si van a ser respetadas en cuanto mercado rentable para sus industrias o, por el contrario, va a suponer un elemento de aislamiento al exterior que arrincone a Europa en el panorama de desarrollo tecnológico.
En este sentido, la experiencia del Reglamento General de Protección de Datos parece que nos permite ser optimistas y creer que el papel de regulador puede salvar el futuro tecnológico de Europa, aún a pesar de la opinión que han manifestado algunos de que puedan haberse sacrificado otras cuestiones, más relacionadas con la competitividad y la innovación.
SOBRE LA FIRMA Francisco Pérez Bes es socio en el área de Derecho Digital de Ecix Group y ex Secretario General del Instituto Nacional de Ciberseguridad (INCIBE).