La Comisión Europea ha publicado unas Directrices sobre las prohibiciones establecidas en la Ley de Inteligencia Artificial (AI Act), con el objetivo de aclarar cómo deben estas aplicar las empresas estas prohibiciones y qué sistemas se consideran prácticas de IA prohibidas.

Sin hacer caso de las advertencias del Presidente Trump, quien cree que la legislación europea busca imponer trabas a las compañías tech americanas, Bruselas sigue adelante con su plan regulatorio, publicando las Guidelines on prohibited artificial intelligence (AI) practices, as defined by the AI Act. Como es sabido, el pasado día 2 de febrero entró en vigor una parte del Reglamento, justamente la que hace referencia a las prácticas de IA prohibidas por ser contrarias a los principios y valores europeos.

Principales aspectos de las Directrices sobre prácticas prohibidas

Las Directrices buscan dar claridad a las empresas sobre cómo cumplir con la normativa relativa a las prohibiciones. Estas normas incluyen la prohibición del uso de IA para ciertas prácticas, como la introducción en el mercado de sistemas de IA que se sirvan de técnicas subliminales o de técnicas deliberadamente manipuladoras; de sistemas que exploten alguna de las vulnerabilidades de una persona o un grupo específico de personas derivadas de su edad o discapacidad, o de una situación social o económica específica; sistemas para el reconocimiento de emociones en los lugares de trabajo y en los centros educativos.

Otras de estas prácticas prohibidas serían los sistemas de categorización biométrica que clasifiquen individualmente a las personas físicas sobre la base de sus datos biométricos para deducir o inferir su raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, vida sexual u orientación sexual; sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de aplicación de la ley o los sistemas llamados de social scoring, diseñados para evaluar o clasificar a personas físicas o a grupos de personas por su comportamiento social asignándoles una puntuación ciudadana.

Próximos hitos de la AI Act

A lo largo de los próximos años, hasta 2027, se entrarán en vigor las normas que incluyen las obligaciones y requisitos para modelos de IA avanzados, en particular, para sistemas de alto riesgo. Las empresas que desarrollen IA de alto riesgo deberán ser más transparentes en la construcción de sus modelos y realizar evaluaciones de riesgos, llevar sistemas de gestión de la calidad y sistemas de seguridad y ciberseguridad, redactar instrucciones y manuales de uso, modelos de gobernanza de los datos, retención de registros de uso y, muy especialmente, llevar a cabo evaluaciones de impacto en protección de datos y evaluaciones de conformidad con terceros de confianza de manera que puedan obtener el certificado y el marcado CE.

Las empresas que no cumplan con la normativa podrán enfrentarse a fuertes multas de hasta 35 millones de euros o incluso ser expulsadas del mercado de la UE.

Entrando en conflicto con el nuevo gobierno EE. UU. y las grandes tecnológicas

El Reglamento IA había generado ya tensiones con las grandes empresas tecnológicas durante la elaboración de la norma, pero ahora, con la administración de Donald Trump, se han exacerbado. Trump, quien acaba de sacar varios paquetes derogando normativa que establecía ciertas garantías en el desarrollo de la IA en su país, ha expresado su descontento con la regulación europea, calificándola como una forma de “impuesto” sobre las empresas estadounidenses.

Las grandes tecnológicas también han criticado la normativa, argumentando que podría frenar la innovación en IA en Europa. Se oponen, en particular, a la obligación de proporcionar mayor transparencia sobre sus modelos de IA y permitir el acceso de terceros a su código para evaluar riesgos. Pero lo cierto es que esta ola de desregulación que se está desarrollando en EE.UU. les viene muy bien.

Próximos pasos y posible giro hacia la flexibilización

En Bruselas hay preocupación en relación con la presión de EE. UU. para “suavizar” la aplicación de la AI Act. Si bien la Comisión Europea ha reiterado que la normativa no cambiará, sí que ha expresado que se orienta a aplicar las reglas de manera flexible para fomentar la innovación. Actualmente, además, se está redactando ahora mismo en la AI Office, junto con expertos y stakeholders, un código de buenas prácticas para la IA de propósito general.

Este código, si bien de voluntario cumplimiento como toda herramienta de soft law o autorregulación, afectará a modelos como Google Gemini y OpenAI GPT-4 y otros. El código de buenas prácticas tiene por objeto orientar en cómo aplicar las reglas en la práctica y se finalizará en abril. Dadas las presiones de la industria y de EE. UU. existe el riesgo real de un desarrollo más laxo o descafeinado, debilitando las obligaciones inicialmente previstas. Estaremos muy atentos a estos desarrollos.