Legislar el tsunami de la IA, el lento recorrido de una carrera vertiginosa

Tanto la UE como EE.UU. llevan ya años preparando una legislación que regule la Inteligencia Artificial (IA), pero les ha estallado en la cara de sus parlamentos y procesos legislativos el vertiginoso despliegue y aplicación de esta tecnología, en especial de los sistemas generativos, debido al éxito de ChatGPT y los peligros que conlleva. La alerta es tal, que ya el pasado 14 de junio el Parlamento Europeo aprobó por una amplísima mayoría el inicio de las negociaciones para establecer la Ley sobre IA (llamada IA Act), que será la primera en todo el mundo. Con 499 votos a favor, 28 en contra y 93 abstenciones, los parlamentarios europeos de todos los colores pollíticos le pasan el testigo a la siguiente fase legislativa; las conversaciones se traspasan a los 27 países para llegar al que sería el texto definitivo de la ley, que se quiere esté lista para entrar en vigor como muy tarde en 2026.

Ya no hay medias tintas. En la UE se han dado cuenta de todo lo que hay que garantizar a la hora de legislar y la normativa contemplará los valores y derechos europeos “respetando requisitos como la supervisión humana, la seguridad, la privacidad, la transparencia, la no discriminación o el bienestar social y medioambiental”, deberá prevenir riesgos y fijar obligaciones para los proveedores y quienes desplieguen herramientas basadas en la IA. Y, específicamente, las IA generativas como ChatGPT tendrán que cumplir requisitos adicionales de transparencia y estar diseñados de forma que no puedan generar contenido ilegal.

Los meses de mayo y junio han sido frenéticos en cuanto a plantemientos regulatorios de una tecnología cuyo uso y peligrosidad ha crecido exponencialmente. A primeros del mes de junio se reunieron de urgencia en Suecia, de manera bilateral, Anthony Blinken, secretario de Estado estadounidense, su secretaria de Comercio, Gina Raimondo, y la vicepresidenta de la Comisión Europea para el área digital y de competencia, Margrethe Vestager, para llegar a un acuerdo que ataja muy parcialmente el problema global. La UE y EE.UU. acordaron en la reunión aprobar la propuesta de un Código de conducta para la IA generativa que se comprometa a cumplir de forma voluntaria la industria implicada. El código, que se presentará próximamente, parece más bien una medida provisional y casi desesperada que podría incluir, por ejemplo, controles como marcas de agua o auditorías externas en las IA generativas.

José Manuel Muñoz Vela es abogado, especialista en derecho tecnológico, doctor en Derecho (Derecho de la IA), director jurídico de Adequa Corporación, y es contundente en su valoración: “Esto va a toda velocidad y se está incurriendo en cierta improvisación en su abordaje”. Sobre la obligación de legislar, también es claro. “El momento es ahora, se tiene la oportunidad y es muy clara la necesidad”. Este jurista experto afirma que se legisla, sí, pero con lentitud y sin el alcance o la visión holística que el vertiginoso desarrollo de esta tecnología requiere. 

Sólo un día antes de la reunión en Suecia, 350 ejecutivos, investigadores e ingenieros que trabajan con IA decían esto en una carta abierta: “La inteligencia artificial (IA) podría conducir a la extinción de la humanidad”. Lo firmaban grandes líderes como Sam Altman, el CEO de OpenAI, desarrolladora de ChatGPT, Demis Hassabis, de Google DeepMind, o Dario Amodei, de Anthropic, que comparaban la IA  a las pandemias o la guerra nuclear. Semanas antes, Altman, ante el Senado estadounidense, y ante líderes políticos de todo el mundo, incluido Pedro Sánchez, ya había pedido encarecidamente que se legislara sobre su invento y el resto de la tecnología IA cuanto antes, porque temía por las democracias mundiales.

La legislación, de nuevo, va por detrás de la tecnología. La Ley de Inteligencia Artificial europea ya lleva muchas vueltas dadas. No obstante, costará que esté afinada y que pueda entrar en vigor. “La tramitación de la AI Act sigue su proceso y trámites, en esta ocasión en las comisiones parlamentarias antes de la discusión tripartita. Sería deseable tener el reglamento hacia final de año, pero eso es complicado”, indica Muñoz Vela, y recuerda que una vez aprobado y en vigor, habrá un período transitorio hasta su plena aplicación, como ocurrió con el RGPD, previsiblemente de dos años. “La propuesta de código de conducta voluntario pretende ser un instrumento no imperativo, por su carácter voluntario, hasta que exista una regulación imperativa exigible”, explica.

EE.UU, por su parte, ha preparado una Carta de Derechos sobre la IA que por sí misma no es una legislación, solo una guía. Mientras tanto, se proponen marcos y regulaciones parciales. En enero de este año, el Instituto Nacional de Estándares y Tecnología (NIST) lanzó el  Marco de Gestión de Inteligencia Artificial. En febrero, la Casa Blanca emitió una Orden Ejecutiva instruyendo a las agencias federales para garantizar que su uso de la IA promueva la equidad y los derechos civiles. El Congreso de EE.UU. está considerando la Ley de responsabilidad algorítmica federal para evitar sesgos en el empleo de las personas… “Allí se ha abierto una consulta pública sobre cómo regular la IA. Ha habido reuniones con la industria para que lleven a cabo análisis de riesgos y evaluaciones de impacto, se ha rechazado por el momento crear una Agencia de IA global y vendrán normas reguladoras orientadas al uso”, aclara Muñoz, evidenciando que el proceso es distinto al de la UE, pero igualmente precisa de un recorrido a un ritmo distinto al que evoluciona y se desarrolla la tecnología.

Indefinición y enfoques parciales

Muñoz Vela cree que no solo empezamos a llegar tarde a la hora de legislar la IA en general, y los sistemas generativos en particular, “es que ni siquiera existe un consenso en la definición de lo que es IA; se ha cambiado hasta en seis ocasiones, la última es la aportada por la OCDE, y probablemente no sea la definitiva. La IA es una realidad compleja, y cambiante y evolutiva a un ritmo cada vez mayor, y el legislador sigue focalizándose en una IA débil, cuando deberíamos estar planteándonos ya una IA más avanzada y con autonomía mayor, aunque siempre debería ser relativa por seguridad”.  

Como especialista e investigador en derecho de la IA, en sus clases y conferencias insiste en explicar las diferencias entre la realidad científica y estado de la tecnología, la percepción social y empresarial, y el enfoque del legislador, que ha variado sobre aquello que pretende regular, en ocasiones partiendo de un concepto de IA más avanzada y autónoma frente a otra más débil y automatizada. "Es necesario el entendimiento y maridaje entre la tecnología y el derecho. Seguimos aplicando los principios establecidos en el Código Civil de 1889 en materia de responsabilidad, que se inspiran en la ley aquiliana; del Derecho Romano. Hay cosas que sirven del derecho actual, pero tecnologías como esta requiere una revisión del derecho vigente y un enfoque transversal, porque incide en muchos derechos y libertades”.

La UE lleva algo más de dos años de carrera en la redacción normativa, pero parece que cada vez que han tenido un documento preparado, tiempo después debe añadir nuevos parches. Se realizó una Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas sobre la Inteligencia Artificial (Artificial Intelligence Act), de 21 de abril de 2021, “pero se trataba de un enfoque regulador  horizontal, en el que exclusivamente se se prohibían determinados sistemas inteligentes por considerarlos de riesgo inadmisible y se establecían requisitos y obligaciones minuciosas para las IA de alto riesgo, quedando fuera sistemas de riesgo medio o bajo, opción que se valoró en su concepción inicial, pero fue finalmente desechada. Es el caso de las generativas, como el Chat GPT, para las que solo se establecían determinadas normas éticas en su versión inicial y que ahora se han incluido en el texto en tramitación”, explica Muñoz Vela.

El reglamento propuesto se centraba en reforzar las normas sobre calidad de los datos, transparencia, supervisión humana y rendición de cuentas, y abordaba cuestiones éticas y retos de aplicación en diversos sectores, desde la sanidad y la educación, hasta las finanzas y la energía. También establecía un sistema de clasificación del nivel de riesgo que una tecnología de IA podría suponer para la salud y la seguridad o los derechos fundamentales de una persona, y proponía cuatro; inaceptable, alto, limitado y mínimo. “Consideraban de riesgo inaceptable los sistemas de identificación biométrica en tiempo real en espacios públicos, o los de puntuación social”, dice Muñoz Vela, pero después se ha visto que el mayor riesgo ha llegado con el boom de la IA generativa, que inicialmente quedaba fuera de los sitemas regulados. La propuesta inicial se remitía a su autoregulación sectorial o empresarial mediante códigos de conducta.

En septiembre de 2022 se introdujeron la Propuesta de Directiva del Parlamento Europeo y del Consejo sobre la responsabilidad por productos defectuosos, y después la Propuesta de Directiva relativa a la adaptación de las normas de responsabilidad civil extracontractual a la IA (Directiva sobre la responsabilidad de la IA). En noviembre, el Consejo Europeo autorizó la apertura de negociaciones para alcanzar un convenio sobre IA, derechos humanos, democracia y Estado de Derecho.

En diciembre de 2022, el mismo Consejo presentaba un nuevo borrador con su “orientación general” sobre el Reglamento ya propuesto, en el que se prohibía la puntuación ciudadana (social scoring) también a los agentes privados, se añadieron dos supuestos de la utilización de la IA de alto riesgo, para las infraestructuras digitales críticas y los seguros de vida y salud, y otros solo se matizaron. De nuevo, la regulación específica de IA generativa que es “un mundo paralelo” según Muñoz Vela, quedaba sin valorarse.

“El enfoque de riesgos no era el más adecuado. Deberían exigirse jurídicamente un conjunto de normas y principios éticos esenciales a todo sistema inteligente que se ponga en el mercado, contemplando la IA de uso general y la generativa, como no puede ser de otra forma, y convertir lo dispositivo o voluntario en imperativo”, reitera el director jurídico de Adecua, que señala que las múltiples modificaciones y enmiendas realizadas por la UE en estos ya 2 años, y especialmente las de los últimos meses, “evidencian el giro en el borrador del reglamento, que cada vez se aproxima más a una regulación plenamente horizontal de la IA, conforme a la opción que inicialmente se rechazó”.

Mayo de 2023: la última versión de IA Act

El giro se vislumbraba ya desde el pasado 11 de mayo en el Parlamento Europeo, cuando en el marco de las comisiones de Mercado Interior (IMCO) y de Libertades Civiles (LIBE), se aprobó con abrumadora mayoría por fin tirar para adelante con el proyecto de reglamento para garantizar el "desarrollo ético" de la IA (el propuesto en abril del 21 y sus enmiendas, modificaciones y parches). Esta es la noma que ha aprobado el pasado 14 de junio  el Pleno del Parlamento con una mayoría más que cualificada.

En el texto aprobado se empieza a entender que la IA generativa desborda la propuesta legislativa planteada hasta la pasada primavera. Las principales novedades introducidas, según ha hecho público el Parlamento Europeo, son estas:

1. Se amplían los sistemas prohibidos.

2. Se amplía la clasificación de los sistemas de alto riesgo, incluyendo los sistemas de riesgo significativo de daños para la salud, la seguridad, los derechos fundamentales o el medio ambiente. También se incluyen los sistemas inteligentes que influyan en los votantes en las campañas electorales y en los sistemas de recomendación utilizados por las plataformas de medios sociales.

3. Se incluyen nuevas obligaciones para mejorar la gobernanza de datos, con inclusión de medidas adecuadas para detectar, prevenir y mitigas posibles sesgos.

4. Se redactan nuevas obligaciones para sistemas de IA de propósito general y generativos: hay que evaluar y mitigar los riesgos, cumplir los requisitos de diseño, información y medio ambiente, y registrase en la base de datos de la UE.

5. Se establecen obligaciones adicionales para modelos de base generativa (Generative Foundation Model): incluyen requisitos específicos de transparencia, la obligación de revelar que los contenidos han sido generados por IA, el diseño del modelo para evitar que genere contenidos ilegales y la publicación de resúmenes de los datos protegidos por derechos de autor, que hayan sido utilizados para el entrenamiento del modelo en cuestión.

6. Se impulsa el derecho de los ciudadanos a presentar quejas sobre los sistemas de IA, y a recibir explicaciones sobre las decisiones basadas en sistemas de IA de alto riesgo que afecten significativamente a sus derechos.

7. Se incluyen nuevas normas de transparencia, análisis y gestión de riesgos durante todo el ciclo de vida para los sistemas de IA, con especial atención a los riesgos asociados a personas o colectivos especialmente vulnerables como los menores.

8. Se refuerzan los derechos a la intimidad y a la privacidad. Se establece se realice la anonimización, el cifrado y las medidas algorítmicas sobre datos para extraer información sin comprometer la privacidad.

9. También se establecen obligaciones de información por los proveedores en materia de sostenibilidad, como el consumo de energía empleado durante el desarrollo y el uso de un sistema.

10. La UE establece las lógicas exenciones para apoyar la innovación, a través de la introducción del nuevo artículo 28 b, sobre requisitos de la IA generativa que incluyen claramente: la transparencia, las garantías adecuadas contra la generación de contenidos ilícitos, y la obligación de documentar y publicar un resumen detallado del uso para entrenamiento de datos (entendido que se refiere a “obras”) protegidos por derechos de autor. Algo que supondrá todo un esfuerzo ante el volumen de datos utilizados.

El acuerdo para establecer el Código de conducta voluntario y responsable para la industria de este primero de junio no frena el desarrollo de esta legislación, como se está viendo en la UE, ni en Estados Unidos, qu econtinúa con sus consultas para desarrollar la suya propia. El acuerdo indica que los responsables políticos no se quedaban de brazos cruzados ante la evidente necesidad de disponer de marcos éticos y legales, mientras avanzan a su ritmo los procesos legislativos. Han cogido un atajo para frenar los efectos nocivos del crecimiento de aplicaciones como el ChatGPT y su uso masivo, que más que tranquilizar, inquieta.

Ante la duda de si la sociedad puede fiarse de la industria, Muñoz Vela es categórico: “No es sólo una cuestión de confianza. La ética comporta cuestiones esenciales como seguridad, supervisión y control humano, respeto de los derechos fundamentales, transparencia, explicabilidad, etc…, y esto es innegociable, debe estar presente en cualquier sistema que se ponga en uso, en su diseño y por defecto, con lo que la industria no puede mirar hacia otro lado”. En su opinión, el legislador debe exigir legalmente estas cuestiones, pero las Administraciones Públicas y las empresas pueden y deberían estar ya exigiendolas contractualmente a sus proveedores, y convertir lo dispositivo e imperativo”. Aunque no olvida que no se debe perder de vista el apoyo a la innovación, al desarrollo tecnológico y a la competitividad, “en un difícil equilibrio a gestionar en constante tensión”, concluye.