La UE se inclina por la autorregulación en la nueva ley de inteligencia artificial

¿Quién controla los riesgos de la inteligencia artificial, especialmente los llamados “modelos fundacionales” como el ChatGPT? La nueva directiva europea sobre IA para esta tecnología —revolucionaria pero también enormemente disruptiva— que ahora negocian las instituciones comunitarias para alumbrar un texto definitivo se inclina cada vez más hacia la autorregulación. La última propuesta de España, que preside este semestre el con...

¿Quién controla los riesgos de la inteligencia artificial, especialmente los llamados “modelos fundacionales” como el ChatGPT? La nueva directiva europea sobre IA para esta tecnología —revolucionaria pero también enormemente disruptiva— que ahora negocian las instituciones comunitarias para alumbrar un texto definitivo se inclina cada vez más hacia la autorregulación. La última propuesta de España, que preside este semestre el consejo de la UE y coordina las negociaciones, plantea “unas obligaciones muy limitadas y la introducción de códigos de conducta” para las compañías, aunque con varias capas de supervisión intermedias, según los documentos a los que ha tenido acceso EL PAÍS. Pero el pulso sigue: el Parlamento Europeo reclama un marco algo más duro, mientras Francia, Italia y Alemania —tres de los socios más poderosos del club comunitario— presionan para que la escala cubierta por los propios códigos de conducta de las empresas superen a la de la normativa concreta; alegan que una regulación estricta perjudicará la innovación de la investigación y de las empresas europeas. Europa llega después de Estados Unidos, que ya ha aprobado su propia ley, que obliga a las tecnológicas a notificar al Gobierno de Estados Unidos cualquier avance que suponga un “riesgo grave para la seguridad nacional”.

España, que cederá el testigo de la presidencia a final de mes a Bélgica y que ha puesto entre sus principales prioridades sacar adelante la histórica directiva, navega en esos equilibrios y ha planteado una serie de códigos de conducta para los modelos fundacionales (o GPAI, por sus siglas en inglés, aquellos capaces de crear contenidos de audio, texto o imágenes a partir de la observación de otros datos) que implican un mayor riesgo, real o potencial, aquellos que el reglamento denomina como “modelos fundacionales de riesgo sistémico”: es decir, con capacidades de alto impacto cuyos resultados pueden “no ser conocidos o comprendidos en el momento de su desarrollo y publicación, por lo que pueden provocar riesgos sistémicos a nivel de la UE”. Códigos que incluyan tanto “medidas internas” como una interlocución activa con la Comisión Europea para “identificar riesgos sistémicos potenciales, desarrollar posibles medidas mitigadoras y garantizar un nivel adecuado de protección de ciberseguridad”, dice el plan.

Los códigos de conducta también incluirían obligaciones en materia de transparencia para “todos” los modelos fundacionales, de acuerdo con la última posición negociadora, que plantea otros elementos, como que las compañías informen de su consumo energético. Para todos los modelos fundacionales, se establecerían además algunas “obligaciones horizontales”. Pero, además, la nueva directiva podría incluir una cláusula que daría poder a la Comisión Europea para adoptar una “legislación secundaria” sobre los modelos fundacionales de “riesgo sistémico” para, si es necesario, especificar más los elementos técnicos de los modelos GPAI y mantener los puntos de referencia actualizados con el desarrollo tecnológico y del mercado”. Esto equivaldría a dejar una puerta abierta para nuevos capítulos normativos, según fuentes comunitarias.

La propuesta española plantea también la creación de una Agencia de Supervisión para la Inteligencia Artificial, un organismo que pintaría una capa más de seguridad, que proporcionaría un “sistema centralizado de vigilancia e implementación”. La agencia podría, además, satisfacer los reclamos de la Eurocámara, que había solicitado la construcción de algún tipo de organismo especializado.

Las propuestas para terminar de hilvanar la directiva se debatirán este miércoles entre representantes de los Estados miembros (España, como presidencia del Consejo de la UE), el Parlamento Europeo y la Comisión, en una cita decisiva. Es una de las últimas oportunidades de que salga adelante. Las negociaciones están ya muy “avanzadas” e incluso existiría ya acuerdo en lo que constituye la arquitectura general de la ley, basada en una pirámide de riesgo y en el principio, mantenido por la presidencia española en su última propuesta, de que el enfoque es “tecnológicamente neutro”, es decir, no regular tecnologías concretas, sino sus usos finales mediante la creación de diversas categorías de riesgo, como proponía la Eurocámara.

España es optimista. “La Unión Europea se convertiría en la primera región del mundo en legislar los usos de la IA, sus límites, la protección de los derechos fundamentales de los ciudadanos y la participación en su gobernanza, garantizando a la vez la competitividad de nuestras empresas”, señala la secretaria de Estado de Digitalización, Carme Artigas a EL PAÍS. Artigas cree en la responsabilidad de la UE de ir más allá, para los usos de alto riesgo, de la instauración de un código de conducta y de modelos de autorregulación y buenas prácticas para poder acotar los riesgos que ya muestra esta tecnología innovadora, desde la desinformación a la discriminación, manipulación, vigilancia o deep fakes. Todo teniendo en cuenta que hay que apoyar la innovación y el avance. “El reglamento europeo de IA es, por tanto, no solo un estándar legal, ni tan solo un estándar técnico. Es un estándar moral”, señala Artigas.

El problema, no obstante, es que siguen abiertos —y probablemente lo seguirán hasta que los negociadores vuelvan a verse cara a cara en la tarde del miércoles— dos puntos clave: uno es la cuestión de los sistemas de vigilancia biométrica; el segundo es quién controla los modelos fundacionales más impredecibles, los denominados de “riesgo sistémico”. Un debate alimentado por los últimos sucesos en la saga de Open AI y de la salida y la vuelta de Sam Altman a la empresa puntera, ya que investigadores de Open AI avisaron al consejo de la compañía de un poderoso descubrimiento de inteligencia artificial que, según ellos, amenazaba a la humanidad antes del despido de Altman.

La tensión es máxima. Sobre todo desde que Alemania, Francia e Italia cambiaron tornas hace unas semanas y se declararon favorables a una amplia autorregulación de las compañías que desarrollan estos sistemas, mediante sendos códigos de conducta, que, eso sí, que serían obligatorios. Los tres países han enviado al resto de Estados miembros un documento de posición en el que defienden la autorregulación para la IA de propósito general, piden un “enfoque equilibrado favorable a la innovación” basado en el riesgo de la IA y que “reduzca las cargas administrativas innecesarias” para las empresas que, dicen, “obstaculizarían la capacidad de Europa para innovar”. Además, en el documento confidencial, al que ha tenido acceso este diario, apuestan por eliminar “inicialmente” las sanciones por incumplimiento de los códigos de conducta relativos a la transparencia y abogan por el diálogo.

Sin embargo, la vía que transita esa propuesta de tres de los grandes de la UE —alguno, como Francia, que acoge empresas tecnológicas con vínculos con la IA, como Mistral— es una línea roja para otros Estados miembros y para muchos expertos, como ha mostrado la carta abierta enviada la semana pasada a París, Berlín, Roma y Madrid, adelantada por EL PAÍS, en la que urgen a que la ley salga adelante y a que no sea diluida. Es decir, piden menos códigos de conducta y más normas.

“La autorregulación no es suficiente”, sostiene también Leonardo Cervera Navas, secretario general del Supervisor Europeo de Protección de Datos (SEPD), que no oculta que le gustaría que la hipotética y futura Oficina de IA recayera dentro de las responsabilidades del SEPD. Esta entidad supervisora, sugiere, podría servir de bisagra entre los que prefieren la autorregulación y los que exigen obligaciones puestas negro sobre blanco en una ley, dado que permitiría un grado alto de autorregulación, pero supervisada en último término por una instancia superior e independiente de los intereses de las empresas. Para el experto, lo ideal es un “enfoque regulador flexible, no excesivamente dogmático, ágil, pero combinado con una fuerte supervisión”, que es la que realizaría esta oficina.

Es la postura también de los negociadores de la Eurocámara, que insisten en que la directiva debe ser muy completa para garantizar la seguridad ciudadana y sus derechos fundamentales ante unas tecnologías con un potencial intrusivo a veces inimaginable aún. “El Consejo debe abandonar la idea de tener solo compromisos voluntarios acordados con los desarrolladores de los modelos más poderosos. Queremos unas obligaciones claras en el texto”, subraya por teléfono el eurodiputado italiano Brando Benifei, uno de los negociadores de la Eurocámara en las conversaciones interinstitucionales (los denominados trílogos, que alumbran el verdadero texto legal).

Entre las obligaciones que los legisladores europeos consideran “cruciales” y que deberían estar fijadas en la ley están la gobernanza de datos, medidas de ciberseguridad y estándares de eficiencia energética. “No vamos a cerrar un acuerdo a cualquier coste”, advierte Benifei.

Lo que parece ya más resuelto es la cuestión, muy importante para la Eurocámara, de prohibir o restringir al máximo lo que denomina los “usos intrusivos y discriminatorios de la IA”, especialmente los sistemas biométricos en tiempo real o en espacios públicos, salvo muy contadas excepciones por motivos de seguridad. La posición de los eurodiputados es mucho más estricta que la de los Estados y, aunque las negociaciones han sido “difíciles”, hay un optimismo, cauto, eso sí, acerca de la posibilidad de encontrar un punto medio. Siempre y cuando, se subraya desde el Parlamento Europeo, se siga manteniendo la prohibición de la policía predictiva, la vigilancia biométrica en lugares públicos y los sistemas de reconocimiento de emociones en lugares de trabajo y en los sistemas educativos. “Necesitamos un grado de protección suficiente de los derechos fundamentales con las prohibiciones necesarias a la hora de usar [estas tecnologías] para la seguridad y la vigilancia”, resume Benifei.

Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.