Acuerdo histórico: La UE se convierte en el primer continente en establecer una normativa para el uso de la IA

Este viernes, al filo de la medianoche, los negociadores del Parlamento y del Consejo llegaron a un acuerdo provisional sobre la Ley de Inteligencia Artificial “AI Act», que entraría en vigor en el 2026 plenamente.

Ha hecho falta una maratoniana reunión de 36 horas en tres días consecutivos para lograr esos objetivos. Este reglamento tiene como objetivo garantizar que los derechos fundamentales, la democracia, el Estado de derecho y la sostenibilidad ambiental estén protegidos contra la IA de alto riesgo, al tiempo que impulsa la innovación y convierte a Europa en líder en este campo.

Las reglas establecen obligaciones para la IA en función de sus riesgos potenciales y su nivel de impacto.

Aunque no participaba en las negociaciones, la presidenta de la Comisión, Ursula von der Leyen, se alegró en redes sociales de que se hubiera despejado el futuro de «una ley de inteligencia artificial de la UE, que es pionera en el mundo» y que crea «un marco legal único para el desarrollo de la inteligencia artificial el que se puede confiar».

“Europa ha liderado y ha cumplido”, subrayaba la presidenta del Parlamento Europeo, Roberta Metsola, según la cual, la AI Act, como se la conoce en inglés, es una legislación “vanguardista y responsable que imponte estándares globales”.

El redactado final se ha negociado bajo presidencia española, con la secretaria de Estado de Digitalización, Carme Artiga al frente, uno de los artífices del acuerdo.

Por su parte, los comisarios de mercado interior, Thierry Breton, y de Valores, Vera Jurova, estuvieron presentes en los debates en los que el Parlamento defendió una mayor protección para la intimidad de las personas y el Consejo defendía las necesidades de los cuerpos de seguridad en caso de graves delitos o amenazas a la seguridad nacional.

Los eurodiputados principales Brando Benifei (S&D, Italia) y Dragos Tudorache (Renew, Rumanía), la secretaria de Estado de Digitalización e Inteligencia Artificial, Carme Artigas, y el comisario Thierry Breton, comparecieron en una conferencia de prensa conjunta después de las negociaciones.

Para Artigas, en sus primeras declaraciones tras el acuerdo:  “es una ley muy buena que impulsará la innovación y de forma compatible con los derechos fundamentales». Sobre todo porque da una “certeza legal y técnica” a los ciudadanos y las empresas que ahorrará previsiblemente muchas acciones legales.

Así, indicó que para ello, la normativa prevé un sistema de sanciones, bien un porcentaje del volumen total de negocios de la compañía infractora el año fiscal previo o incluso una cantidad predeterminada “aún mayor”.

Además, subrayó que “se establece la creación de un ente supervisor independiente, una Oficina de IA ligada a la Comisión Europea y que estará asesorada por un panel científico y la sociedad civil”.

El texto acordado ahora tendrá que ser adoptado formalmente tanto por el Parlamento como por el Consejo para convertirse en ley de la UE. Las comisiones de Mercado Interior y Libertades Civiles del Parlamento votarán sobre el acuerdo en una próxima reunión.

Uno de los momentos finales del acuerdo. En medio, la secretaria de Estado de Digitalizacion Carme Artigas, de pie Thiery Bretton y Vera Jourovaa (Imagen: SEDIA)

Entrada en vigor en el 2026

Si no ocurren imprevistos, es decir, si ninguna de las partes se echa atrás y tanto los Estados como la Eurocámara ratifican la ley en los próximos meses (los negociadores no creen que el proceso pueda empezar antes de febrero, ya bajo presidencia europea belga), la Ley de IA debería poder entrar totalmente en vigor hacia finales de 2026, aunque algunas partes lo harán antes.

Está previsto que la Oficina de IA empiece a funcionar en cuanto se ratifique el reglamento, mientras que la prohibición de los sistemas prohibidos de inteligencia artificial llegará a los seis meses y los requisitos para los sistemas y modelos de IA generativa, a los 12.

Tras el acuerdo, el coponente Brando Benifei (S&D, Italia) comentó que “fue largo e intenso, pero el esfuerzo valió la pena. Gracias a la resiliencia del Parlamento Europeo, la primera legislación horizontal del mundo sobre inteligencia artificial cumplirá la promesa europea: garantizar que los derechos y libertades estén en el centro del desarrollo de esta tecnología innovadora.

La implementación correcta será clave: el Parlamento seguirá vigilando de cerca para garantizar el apoyo a nuevas ideas de negocios con sandboxes y reglas efectivas para los modelos más poderosos”.

Por su parte, el coponente Dragos Tudorache (Renew, Rumania) indicó que: “la UE es la primera en el mundo en establecer una regulación sólida sobre la IA, guiando su desarrollo y evolución en una dirección centrada en el ser humano”.

A su juicio, “la Ley de IA establece normas para modelos de IA grandes y potentes, garantizando que no presenten riesgos sistémicos para la Unión y ofrece sólidas salvaguardias para nuestros ciudadanos y nuestras democracias contra cualquier abuso de la tecnología por parte de las autoridades públicas”.

Tambien cree que “protege a nuestras pymes, fortalece nuestra capacidad para innovar y liderar en el campo de la IA y protege a los sectores vulnerables de nuestra economía. La Unión Europea ha hecho contribuciones impresionantes al mundo; la Ley de IA es otra que tendrá un impacto significativo en nuestro futuro digital”.

Aparición de Nadia Calviño, nueva presidenta del Banco Europeo de Inversiones, que conversa con Artiga y Bretton (Imagen: SEDIA)

Aplicaciones prohibidas

En este acuerdo, que ha costado tres días de negociaciones intensas, se reconoce la amenaza potencial para los derechos de los ciudadanos y la democracia que plantean determinadas aplicaciones de la IA.

Desde esta perspectiva,  los colegisladores acuerdan prohibir estas aplicaciones especificas:

• Sistemas de categorización biométrica que utilizan características sensibles (por ejemplo, creencias políticas, religiosas, filosóficas, orientación sexual, raza)
• Extracción no dirigida de imágenes faciales de Internet o imágenes de CCTV para crear bases de datos de reconocimiento facial; así como el reconocimiento de emociones en el lugar de trabajo y en instituciones educativas; puntuación social basada en comportamiento social o características personales.
• Sistemas de IA que manipulan el comportamiento humano para eludir su libre albedrío. La IA solía explotar las vulnerabilidades de las personas (por su edad, discapacidad, situación social o económica).

Los negociadores acordaron una serie de salvaguardias y excepciones estrechas para el uso de sistemas de identificación biométrica (RBI) en espacios de acceso público con fines policiales, sujetos a autorización judicial previa y para listas de delitos estrictamente definidas. La RBI “post-remota” se utilizaría estrictamente en la búsqueda selectiva de una persona condenada o sospechosa de haber cometido un delito grave.

La RBI “en tiempo real” cumpliría con condiciones estrictas y su uso estaría limitado en tiempo y ubicación, para los fines de: búsquedas selectivas de víctimas (secuestro, trata, explotación sexual),prevención de una amenaza terrorista específica y presente, o la localización o identificación de una persona sospechosa de haber cometido uno de los delitos específicos mencionados en el reglamento (por ejemplo, terrorismo, trata, explotación sexual, asesinato, secuestro, violación, robo a mano armada, participación en una organización criminal, delitos medioambientales).

Durante tres días, esta sala del Parlamento Europeo ha sido lugar de las duras negociaciones (Imagen: SEDIA)

Obligaciones para sistemas de alto riesgo

Para los sistemas de IA clasificados como de alto riesgo (debido a su importante daño potencial a la salud, la seguridad, los derechos fundamentales, el medio ambiente, la democracia y el Estado de derecho), se acordaron obligaciones claras.

Los eurodiputados lograron incluir una evaluación obligatoria del impacto sobre los derechos fundamentales, entre otros requisitos, aplicable también a los sectores bancario y de seguros.

Los sistemas de inteligencia artificial utilizados para influir en el resultado de las elecciones y el comportamiento de los votantes también se clasifican como de alto riesgo. Los ciudadanos tendrán derecho a presentar quejas sobre los sistemas de IA y recibir explicaciones sobre las decisiones basadas en sistemas de IA de alto riesgo que afecten a sus derechos.

Para tener en cuenta la amplia gama de tareas que los sistemas de IA pueden realizar y la rápida expansión de sus capacidades, se acordó que los sistemas de IA de propósito general (GPAI), y los modelos GPAI en los que se basan, tendrán que cumplir con requisitos de transparencia, como propuesto inicialmente por el Parlamento. Estos incluyen la elaboración de documentación técnica, el cumplimiento de la ley de derechos de autor de la UE y la difusión de resúmenes detallados sobre el contenido utilizado para la formación.

Para los modelos GPAI de alto impacto con riesgo sistémico, los negociadores del Parlamento lograron asegurar obligaciones más estrictas. Si estos modelos cumplen ciertos criterios, tendrán que realizar evaluaciones de modelos, evaluar y mitigar riesgos sistémicos, realizar pruebas contradictorias, informar a la Comisión sobre incidentes graves, garantizar la ciberseguridad e informar sobre su eficiencia energética.

Los eurodiputados también insistieron en que, hasta que se publiquen normas armonizadas de la UE, las GPAI con riesgo sistémico pueden depender de códigos de práctica para cumplir con la regulación.

Medidas de apoyo a la innovación y a las pymes

Los eurodiputados querían garantizar que las empresas, especialmente las pymes, puedan desarrollar soluciones de inteligencia artificial sin presiones indebidas por parte de los gigantes de la industria que controlan la cadena de valor.

Con este fin, el acuerdo promueve los llamados entornos de pruebas regulatorios y pruebas en el mundo real, establecidos por las autoridades nacionales para desarrollar y entrenar IA innovadora antes de su comercialización.

Hay que recordar que España ha sido el primer país del mundo en crear ese entorno regulatorio o sandbox, como explicaba Economist & Juriste recientemente. También nuestro país ha creado el primer regulador de IA, AESIA que se pondrá en marcha en breve.

Como comentaron los eurodiputados en la rueda de prensa posterior al acuerdo, el incumplimiento de las normas puede dar lugar a multas que van desde 35 millones de euros o el 7% del volumen de negocios global hasta 7,5 millones o el 1,5% del volumen de negocios, dependiendo de la infracción y el tamaño de la empresa.