La UE concede a las tecnológicas 16 meses más para que su IA de “alto riesgo” cumpla la normativa

La Comisión Europea ha decidido obsequiar a las grandes tecnológicas con un importante balón de oxígeno. Eso es lo que se desprende del proyecto de simplificación de las normativas digitales presentado este miércoles en Bruselas, cuyo objetivo declarado es hacer que las empresas dediquen menos tiempo al papeleo y más a la innovación. Una de las novedades principales que incluye el proyecto, que todavía tienen que validar tanto los Estados miembros en el Consejo como el Parlamento Europeo, es retrasar la aplicación de la prohibición de los sistemas de inteligencia artificial (IA) de alto riesgo “un máximo de 16 meses”. El periodo de gracia es todavía superior al año que, tal y como adelantó EL PAÍS, se barajaba en versiones preliminares del proyecto.

El reglamento europeo de IA, en vigor desde agosto de 2024, aunque su implementación total estaba fijada para dos años más tarde, clasifica los sistemas de IA en función de los riesgos que implica su aplicación para la ciudadanía y, en función de ello, les asigna distintas obligaciones y requisitos a cumplir. Así, las herramientas de riesgo inocuo, como los detectores de spam, no tienen restricción alguna, mientras que las de riesgo inaceptable directamente están prohibidas. Entran en esa categoría las “que trasciendan la conciencia de una persona o técnicas deliberadamente manipuladoras”, las que exploten sus vulnerabilidades o las que infieran emociones, raza u opiniones políticas de las personas.

Por debajo de las prohibidas están las aplicaciones de alto riesgo, que requieren de una supervisión permanente. Quedan encuadrados aquí los sistemas de identificación biométrica remota, los sistemas de categorización biométrica, los que afecten a la seguridad de las infraestructuras críticas y los relacionados con la educación, el empleo y la prestación de servicios públicos esenciales, la aplicación de la ley o la gestión de la migración.

La supervisión a la que se debería someter a estos sistemas de IA de alto riesgo es la que ahora se propone retrasar hasta 16 meses: en vez de empezar a aplicarse en agosto de 2026, como se preveía inicialmente, se alarga el plazo hasta diciembre de 2027. El argumento de Bruselas para justificar esta concesión es que, antes de imponer el cumplimiento de la norma, deberán haberse publicado los estándares de lo que es y no es aceptable que hagan estas herramientas. Pero dichos estándares, que debían estar listos para el pasado agosto, aún no están finalizados, ha reconocido la vicepresidenta de la Comisión para Soberanía Tecnológica, Henna Virkkunen, según la cual eso ha motivado el aplazamiento de, “como mucho”, hasta finales de 2027.

“Esto no es un retraso del reglamento de IA, que ya está en vigor”, subrayan fuentes comunitarias, que rechazan también que la conocida como ley ómnibus digital sea una concesión a las tecnológicas. El objetivo es y sigue siendo “aplicarla plenamente, cumplir con la ley de IA”, insisten. Pero para ello es necesario que haya “certeza legal” completa sobre cómo se aplica la normativa, y eso es lo que pretende aportar la refundación de las normativas digitales de la UE, alegan.

Virkkunen, que habla de un “calendario flexible”, tampoco ha querido responder directamente durante la presentación de la propuesta a si esta supone una concesión ante las fuertes presiones externas y se ha limitado a desglosar un argumento en favor de la competitividad de las startups y pymes europeas, que son las que más desarrollan estos modelos de alto riesgo. “Tenemos que asegurarnos de que tenemos todas las herramientas de apoyo a nuestra industria antes de que esto entre en vigor (...) y necesitan tiempo para probar los estándares que se les piden antes de entrar en el mercado”, ha insistido.

“Si se lleva a cabo el plan, la Comisión acabará por ceder ante la presión de las Big Tech en casi todo lo que pedían”, advierte, por contra, el exeurodiputado Ibán García del Blanco, en referencia a las constantes presiones los últimos meses ejercidas por las grandes plataformas digitales estadounidenses —aunque también europeas— y, sobre todo, directamente desde el Gobierno de Donald Trump, que ha llegado a calificar la normativa europea de IA de “excesiva”. “Más parece una rebaja de estándares de seguridad, que una simplificación de procesos. El reglamento de la IA comportaba ya un equilibrio delicado entre tecnología y protección de derechos. No es una buena noticia para el modelo europeo humano-céntrico de gobernanza de la IA”, agrega García del Blanco, que fue uno de los negociadores en el Parlamento Europeo de la ley que ahora se está retocando.

“Debemos preguntarnos quién se beneficia realmente de esta amplia desregulación”, opina Ella Jakubowska, responsable de políticas del think tank EDRi. “Si quieres respirar aire limpio, proteger a los trabajadores de abusos y navegar internet sin ser rastreado por centenares de actores malvados, este no es el camino”, añade.

Normativa de datos y ‘cookies’

El proyecto de refundación de normativas digitales presentado hoy incluye también novedades en el flanco de la protección de datos. La intención de la Comisión es “impulsar medidas adicionales para [el entrenamiento de modelos de] IA”. Esas medidas aumentarán el acceso a esos datos, por ejemplo a través de “laboratorios de datos”, una figura que falta concretar. La concesión de datos adicionales para entrenar modelos de IA se justifica para tratar de hacer avanzar a las empresas europeas de IA.

También se anunció una modernización de las normativas relacionadas con las cookies que busca mejorar la experiencia de navegación de los internautas limitando el número de veces que aparecen los banners sobre cookies y haciendo que sea posible indicar el consentimiento (o negarlo) con un solo clic, y que esas preferencias se puedan guardar.