«La norma quiere evitar frenar las iniciativas empresariales innovadoras, garantizando al mismo tiempo los derechos fundamentales de las personas.»
La regulación digital europea ha inaugurado una nueva etapa con la reciente aprobación del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (RIA o AI Act por su abreviatura inglesa). Esta legislación, a la vanguardia de los debates mundiales sobre la regulación de la IA, se sitúa en la intersección de la protección de los ciudadanos y el desarrollo de la innovación tecnológica.
El RIA encarna el deseo de la Unión Europea (UE) de forjar un marco legislativo europeo que preserve los valores esenciales sin restringir la competitividad europea. Este texto normativo es el resultado de un laborioso consenso, que busca conciliar las aspiraciones de libertad empresarial y promoción del progreso tecnológico con los imperativos del respeto a los derechos fundamentales y la garantía de la seguridad en los sistemas de IA.
El propósito del Reglamento es proporcionar seguridad jurídica mediante un marco unificado ex ante aplicable a todos los sistemas de IA puestos en el mercado de la Unión, y lo hace con distintos niveles de obligaciones en atención al grado de riesgo que presenta cada sistema para la salud, la seguridad y los derechos fundamentales de los ciudadanos. Para la norma, el riesgo es “la combinación de la probabilidad de que se produzca un perjuicio y la gravedad de dicho perjuicio” (art. 3.2) RIA). Este enfoque basado en el riesgo lleva al RIA a prohibir determinados usos considerados de riesgo inaceptable en la UE, imponer obligaciones estrictas para usos de riesgo alto, establecer obligaciones de transparencia para ciertos sistemas de riesgo limitado, y dejar sin regulación imperativa al resto de sistemas de riesgo mínimo.
Por eso, la intensidad regulatoria que incorpora está adaptada al nivel de riesgo del concreto sistema de IA sobre la salud, la seguridad y los derechos fundamentales del usuario. Es muy diferente la regulación que tienen un coche autónomo o el corrector ortográfico de Word, por ejemplo. La norma quiere evitar frenar las iniciativas empresariales innovadoras, garantizando al mismo tiempo los derechos fundamentales de las personas.
La adopción del RIA viene acompañada de impactos económicos positivos, que influyen directamente en las empresas europeas. Al sentar una base sólida para la regulación de la IA en función del concreto nivel de riesgo, la UE aspira a crear un entorno de confianza para los usuarios y proveedores de soluciones de IA. Esta confianza es esencial para estimular la inversión y la investigación en un sector tan competitivo. A ello se suma la incorporación de entornos controlados de pruebas, los sandbox, para que el cumplimiento normativo no lastre la innovación.
Desde el punto de vista social, sus consecuencias son igualmente significativas. Con un enfoque en la supervisión regulatoria, el RIA busca prevenir riesgos de discriminación y vulneraciones de la privacidad. La inteligencia artificial, establece el considerando 2 del RIA, debe estar al servicio de los ciudadanos y facilitar “la protección de las personas físicas, las empresas, la democracia, el Estado de Derecho y el medio ambiente”.
La regulación de la inteligencia artificial no es una preocupación exclusiva de la UE. Otras jurisdicciones de todo el mundo ya han implementado o están considerando regulaciones con aspiraciones asimismo globales. Sin embargo, el RIA destaca por su enfoque integral y preventivo, que bien puede instaurar nuevos estándares mundiales, el conocido como “efecto Bruselas” ya logrado por ejemplo en protección de datos. Al analizar la regulación internacional, podemos ver que algunas naciones apuestan por una regulación sectorial o de laissez-faire. En cambio, la UE, con sus especificidades europeas, pretende tomar la delantera en términos de derechos fundamentales. El RIA ambiciona alinear las prácticas de la industria con los valores jurídicos y democráticos comunes a toda Europa.
El RIA es una norma altamente compleja y con evidentes problemas de calidad normativa. A mi juicio, muchas de las críticas están justificadas. Sin embargo, no deben olvidarse los numerosos beneficios que la legislación recién aprobada pretende aportar para la integración europea. La seguridad de cara al futuro consiste en una legislación que sea eficaz y se adapte a pesar de los cambios jurídicos, sociales y técnicos que se produzcan con el tiempo. Sólo el tiempo dirá si el RIA ha logrado anticiparse a estos retos y ha proporcionado los mecanismos adecuados para abordarlos.
Al menos, el Reglamento constituye un buen punto de partida en la creciente necesidad política de regular la IA en una amplia gama de ámbitos. Y corresponderá al CISO participar en el proceso de implementación de sistemas de IA en la entidad para asegurar que los mismos no sólo cumplen con los requisitos de ciberseguridad, sino que coadyuvan verdaderamente a la satisfacción de las necesidades reales de la organización en cuestión.
Este artículo ha sido escrito por Moisés Barrio Andrés, letrado del Consejo de Estado, asesor de diversos estados y de la Unión Europea (UE) en materia de regulación digital y profesor de derecho digital.