La entrada en vigor del Reglamento de IA reabre la polémica entre juristas y asociaciones de consumidores sobre su impacto

Ese primero de mes ha sido la fecha de entrada en vigor del nuevo Reglamento de Inteligencia Artificial (AI Act), una medida legislativa destinada a regular el desarrollo y uso de la inteligencia artificial (IA) en la Unión Europea.

Este hito implica que tanto los Estados Miembro como las empresas que desarrollan y venden esta tecnología deben prepararse para cumplir con estas nuevas reglas. Si no lo hacen, podrían enfrentarse a sanciones significativas al desarrollar, vender y usar sistemas de IA riesgosos en la UE.

Sin embargo, es importante destacar que la entrada en vigor no implica que sus reglas sean inmediatamente obligatorias, ya que la norma prevé una aplicación gradual que se extiende hasta 2030.

Lo primero que pasará a ser obligatorio es el listado de prácticas prohibidas (el 1 de febrero de 2025). Su puesta en marcha ha reabierto la polémica y los distintos puntos de vista entre asociaciones de consumidores y juristas vinculados con la IA.

El Reglamento de IA tiene un enfoque basado en el riesgo y reconoce cuatro categorías: (i) prohibiciones o riesgo inaceptable, como la calificación social; (ii) alto riesgo, por ejemplo, sistemas utilizados para la puntuación crediticia o el acceso a determinados seguros; (iii) riesgo medio, como los chatbots; y (iv) riesgo bajo, como un filtro de correo spam (sobre los que no se impone ninguna obligación). Por fuera de estos casos, y tras el lanzamiento de ChatGPT, se incorporó a la ley una “sub-pirámide” para regular los modelos de propósito general con o sin riesgo sistémico, imponiendo diferentes obligaciones.

Anabel Arias, experta en derechos digitales de CECU, advierte que el Reglamento de IA no protege bien a los consumidores. (Imagen: CECU)

Desde CECU, una organización de consumidores, señalan que el Reglamento no protege adecuadamente a las personas consumidoras, ya que presenta varias lagunas y fallos.

En efecto, el alcance de la norma es muy limitado porque adopta una definición de IA de un alto nivel técnico, que deja fuera a la mayoría de los algoritmos que se utilizan hoy en día. Por ejemplo, el software Bosco, que determina quién tiene acceso al bono social de electricidad y sobre el que existe una batalla legal para acceder a su código fuente, no entra dentro de esta definición.

Asimismo, el enfoque “de riesgo” deja fuera a los algoritmos que afectan diariamente a las personas consumidoras, como los de perfilado y personalización en línea o los sistemas de recomendación de las redes sociales. Por su parte, se establecen reglas insuficientes y confusas para los modelos de propósito general, como el modelo GPT que da base a ChatGPT.

A pesar de ello, el texto final busca generar cambios positivos al incluir mayores requisitos técnicos para los sistemas de alto riesgo —como medidas para la gestión de riesgos, la gobernanza de datos para evitar sesgos o la supervisión humana—, la inclusión de ciertas reglas de transparencia para quienes desarrollan estos sistemas —pero con limitaciones respecto a usuarios que sean empresas privadas—, la posibilidad de presentar reclamaciones ante autoridades públicas contra un sistema de IA o de buscar reparación colectiva en caso de daño.

Más aún, se incluyen líneas rojas —aunque no todas las que se pedían desde la sociedad civil— respecto al uso de sistemas de IA que sean dañinos y que afecten los derechos de las personas, como la calificación social o sistemas que puedan manipular a las personas consumidoras.

Desde CECU, anuncian que «seguiremos trabajando junto con otras organizaciones de la sociedad civil para cubrir las lagunas del Reglamento de IA y lograr una implementación más garantista y respetuosa con los derechos fundamentales».

Anabel Arias, responsable de derechos digitales, sostiene que «en tal sentido, continuaremos presionando por un rol activo para la sociedad civil, la participación significativa de todos los que estén sujetos al uso de sistemas de IA, la prohibición del reconocimiento biométrico en lugares de acceso público, tanto en tiempo real como a posteriori, el reconocimiento de emociones en todas sus formas, y el desarrollo de un registro de algoritmos más amplio para someter a estos sistemas a un verdadero escrutinio público y garantizar una mayor protección de las personas consumidoras”.

Una normativa respetuosa con los derechos fundamentales

Javier Fernández-Lasquetty recuerda que la Comisión Europea y el Parlamento, amén de otros organismos, estarán pendientes de la aplicación del Reglamento de IA. (Imagen: Elzaburu)

Por su parte, Javier Fernández-Lasquetty, socio de Elzaburu, impartió recientemente un seminario sobre las ayudas de la IA en Europa, organizado por Economist & Jurist. Su visión del Reglamento de IA deja claro que hay que leer bien su introducción y toda la norma, que es compleja. Está basado en el funcionamiento del Mercado Interior, teniendo en cuenta —como así lo dice en varias ocasiones— el respeto a los derechos fundamentales de los individuos consagrados en la Carta de Derechos Fundamentales de la UE.

Desde su punto de vista, «el Reglamento de IA va a poner en práctica estas tesis y evitar precisamente esas prácticas irregulares, muchas de las cuales provienen de EE. UU. Si CECU habla en sus ideas de que puede haber una discriminación del software Bosco para el acceso al bono social, hay situaciones más discriminatorias en EE. UU. El Reglamento de IA pretende preservar los derechos fundamentales de los ciudadanos de la UE y, al mismo tiempo, establecer un marco jurídico uniforme para fomentar el desarrollo de una IA europea que respete dichos principios».

A juicio de este jurista, «la entrada en vigor del Reglamento de IA es algo que hay que ver de forma episódica. Es un hecho que entró en vigor este jueves, pero su implementación total va a tardar. En febrero de 2025 entrarán en vigor las disposiciones generales y las normas de IA sobre cuestiones prohibidas. Precisamente todos estos temas de búsqueda de segmentación y de reconocimiento facial indiscriminado entrarán en vigor en unos meses. Al final, hay un periodo de adaptación importante.

Sobre los modelos de IA de riesgos sistémicos, entrarán en vigor en agosto del próximo año; luego ya entrará en vigor la normativa general en 2026 y en 2027 los temas de reglas de clasificación. Como puede verse, va a haber un periodo de adaptación para entender todo lo que se avecina. Creo que el Reglamento de IA está pensado para resolver una serie de problemas como los que plantean desde CECU. El Reglamento va a crear una infraestructura de instituciones, algunas ya existen y otras se crearán, que van a evitar este tipo de irregularidades».

Así, nos comenta que «tanto la Comisión Europea como el Parlamento van a ejercer papeles importantes de supervisión de esta nueva norma. Al mismo tiempo, tenemos un Supervisor Europeo de Protección de Datos que está emitiendo una serie de recomendaciones. Al mismo tiempo, se crea la Oficina Europea de IA y, al mismo tiempo, se crean oficinas nacionales de IA. La española, AESIA, está ya en marcha desde hace algunos meses con Ignasi Belda como su primer director general. Esta infraestructura de entidades a nivel local o europeo será clave para que el Reglamento de IA vaya por el buen camino».

Belén Arribas cree que el flamante Reglamento de IA va a generar más seguridad jurídica para empresas y expertos. (Imagen: Enatic)

Aportará más seguridad jurídica

Belén Arribas, abogada especialista en regulación digital e IA y presidenta de Enatic, subraya que desde su asociación «nos congratulamos de la entrada en vigor, finalmente, del Reglamento de IA. Se acaba así con un período anterior de inseguridad jurídica, pues hasta ahora había falta de claridad en cuanto a las leyes y regulaciones que se aplican a su desarrollo y uso (incluyendo términos de responsabilidad por desarrollo o uso). Esto se ha visto mitigado, al menos en nuestro entorno europeo, por la aprobación del Reglamento de IA (IA Act en inglés)».

Para esta jurista, «el impacto del nuevo escenario regulatorio habrá de decantarse, no obstante, con el tiempo, las interpretaciones de las autoridades de control europeas y nacionales, y las sentencias de los tribunales que vayan publicándose».

«No en vano, es una norma compleja y de nuevo cuño, con más de 400 páginas, múltiples sujetos afectados (su ámbito subjetivo incluye desarrolladores, vendedores, importadores, responsables del despliegue —los usuarios— y otros a lo largo de toda la cadena de valor de la IA). Su necesaria traslación a casos de uso hace necesario un esfuerzo interpretativo por el que las entidades y organizaciones afectadas ya están requiriendo nuestro asesoramiento desde hace bastantes meses, desde que se conocieran las primeras versiones del Reglamento», comenta.

Belén indica que «el Reglamento de IA ya ha entrado en vigor y es aplicable; sin embargo, no son exigibles las obligaciones contenidas en sus disposiciones hasta que no se complete el régimen transitorio, que está previsto en cascada».

«En efecto, en 6 meses, serán aplicables las disposiciones relativas a los sistemas prohibidos; al cabo de 12 meses, serán exigibles las disposiciones relativas a los modelos de IA de propósito general; y a los 24 meses, lo será el grueso de las obligaciones del Reglamento. Durante este periodo transitorio, las empresas y otras entidades deben prepararse para cumplir con la nueva regulación«.

Desde su punto de vista, «los abogados especializados constatamos que las organizaciones son muy conscientes de los retos que implica el despliegue y uso de la IA: entre ellos, la protección de la privacidad y la seguridad de los datos, la protección de la propiedad intelectual, la prevención de sesgos y la discriminación, o la afectación a otros derechos fundamentales».

«Para ellas, ahora el foco ha de estar puesto en el desarrollo de planes de despliegue de la IA y en la creación de las oportunas estructuras de gobernanza para lograr el pleno cumplimiento en la materia», comenta.