La a menudo denostada `tecnocracia´ europea sigue imperturbable sus etapas y está bien que así sea. El equilibrio entre las instancias de la Unión suele impacientar, pero es una garantía contra las aventuras ideológicas. Y en la euforia actual con la IA en su variante generativa hay mucha ideología. Acéptese esta observación al hilo de la aprobación por el Europarlamento del reglamento sobre inteligencia artificial. El primero del mundo, que ha recibido el nombre de AI Act sin que nadie se molestara en traducirlo. Su primer rasgo es el empeño en cercar al máximo los casos de uso y sus eventuales consecuencias. Por lo tanto, deja un margen de inconcreción, inevitable a estas alturas.
Hay que valorar el hecho que la Unión Europea ha sido la única autoridad que, hasta ahora, se ha atrevido con un asunto del que muchos opinan pero sin seriedad para abordarlo. Esto tiene una explicación: Estados Unidos – el gobierno federal y los legisladores ansiosos por hacer ver que legislan – está constreñido por los intereses de las compañías que compiten en esta nueva disciplina, mientras que Europa tiene cancha libre para aprobar un reglamento, precisamente porque en la práctica no tiene nadie a quien proteger, salvo la startup alemana Aleph Alpha, y la francesa Mistral. Con perdón de otras por ahora sólo voluntariosas.
A propósito de etapas, al acuerdo de diciembre entre el Parlamento y el Consejo europeos sobre un texto originalmente elaborado por la Comisión, aún le queda un paso: la aprobación formal por el Consejo, compuesto por los jefes de gobierno de los 27 estados miembros. Con ello se cerraría el ciclo, aparentemente: la luz verde final está prevista poco ante –y por los pelos– de las elecciones europeas de junio. El proceso se ha acelerado para completarlo antes de dejarlo sin sellar para que lo discuta una nueva composición de la Eurocámara.
Los tiempos corren como está mandado. A partir de su publicación en el Diario Oficial de la UE, el reglamento entraría en vigor a los veinte días. Y aunque su aplicación efectiva será gradual: ciertas reglas urgentes entrarán en vigencia pasados unos meses y el texto completo en el plazo de dos años. Un lapso prolongado, toda vez que el contexto tecnológico está destinado a evolucionar con rapidez.
Por esta razón, la normativa trata de acotar los supuestos, una misión que puede verse como imposible. En el caso de los deepfakes, que ha escandalizado a muchos, el texto impone a los desarrolladores unas obligaciones de transparencia. El contenido generado por IA deberá ser indicado mediante una marca de agua u otra fórmula, ya se trate de imágenes, vídeo o audio. Y mientras no se encuentren subterfugios, eliminar esas etiquetas será complicado.
La incorporación de los deepfakes como asunto relevante no es banal, aunque haya gente irreflexiva a la que parezca divertida. OpenAI, que tenía ya desarrollada una herramienta para clonar voces, se ha inhibido de lanzarla al mercado, debido a sus riesgos potenciales. En este 2024, alrededor de un 40% de la población mundial está convocada a votar [y entre ellos están los ciudadanos de Estados Unidos, Europa e India, nada menos]. La empresa fundada por Sam Altman se ha caído del guindo al descubrir que su invento tiene un alto potencial para la desinformación, por ejemplo difundiendo mensajes trucados de los candidatos con el fin de confundir a la ciudadanía. Una versión bastarda ya circula por las tinieblas de Internet y la empresa de Sam Altman teme –con motivo– ser culpada por la tropelía. Mientras, Microsoft, que tiene con OpenAI acuerdos puntuales, teme verse salpicada aunque rehúse acoger la herramienta. El mismo argumento podría aplicarse a una plataforma de generación de texto a vídeo, presentada semanas antes y que también se retrasará por las mismas razones.
Si OpenAI, compañía pionera en la IA generativa, se ve obligada a la autocensura sobre sus productos, la necesidad de normas coercitivas queda fuera de discusión,. Pero seguramente sea demasiado tarde. Aquella gracieta de las entrevistas a un falso Biden, un falso Putin o un falso Sánchez, quedará para el folclore ante prácticas mucho más insidiosas. Y aún así, serán celebradas por muchos “futuristas”de poca sesera.
Ahora bien, pese a la muestra de contención por parte de OpenAI, los intereses de las compañías estadounidenses – startups o gigantes, da igual – harán todo lo posible por quitar filo a cualquier intento de regular los usos de la IA en Estados Unidos. En principio, la UE está libre de esas presiones porque carece de una industra con una capacidad de lobby equiparable. Por lo que su capacidad de influencia transatlántica es discutible.
Por todas estas razones, el reglamento europeo en ciernes no puede ocultar su aroma a provisionalidad. El ritmo de las novedades en este campo es frenético y traerá situaciones nunca antes contempladas. Además, al texto conocido de la AI Act, le quedan flecos por adecentar. En todo caso, el reglamento estipula que los modelos de propósito general, asimilables a modelos fundacionales como GPT-4, Gemini o Dall-E, han de estar diseñados para prevenir la generación de contenidos ilegales, así como para elaborar resúmenes de información utilizada para entrenamiento y/o que esté protegida por las reglas de propiedad intelectual. Aunque – he aquí un detalle que merecería espacio propio – estos requisitos no se aplicarán a los sistemas de código abierto o bajo licencia libre. Los modelos que entran en esta excepción son aquellos que se ocupan de una gama más amplia de tareas.
El texto, además, menciona que serían de “alto impacto” si han sido entrenados con una potencia de cálculo de 1025 FLOPS (operaciones de coma flotante por segundo). Los proveedores de herramientas de este tipo deberán notificarlas a la Comisión Europea. Aunque también podrían exponer sus argumentos para negar que su modelo presente riesgos sistemáticos (sic) que es su definición de “alto impacto”. Con ellos se hará una lista pública, de la que estarán excluidos los sistemas de IA destinados a investigación.
Los modelos de propósito general que presenten riesgos sistemáticos – la norma expone preocupaciones en torno a accidentes graves, a su mal uso por parte de delincuentes o perjuicios a personas debidos a sesgos, discriminación o desinformación – necesitarán pasar por una evaluación estandarizada, una mitigación de riesgos potenciales y el registro de incidentes serios, para garantizar un nivel adecuado de ciberseguridad. La fórmula para que las compañías cumplan con estas obligaciones constituirá un código de conducta, desarrollado en un proceso abierto y con un órgano formado por representantes de los estados miembros y luego aprobado por la recién creada Oficina Europea de la IA.
Las más de 200 páginas de la AI Act se refieren a sistemas desarrollados o desplegados en la UE, así como a su empleo por entidades públicas o privadas. Aunque se dejan fuera de la reglamentación los modelos destinados a uso militar o con propósitos de seguridad nacional: fuera, en este caso, significa que no se encajan en las categorías del texto aprobado, con una gran cantidad de casuísticas. Las herramientas de IA pueden entrar en la sección de alto riesgo si se utilizan como componentes de seguridad en productos no concebidos originalmente con esa finalidad. Un ejemplo de ello es la biometría para acceder a un área restringida o a una cuenta de banco. O, si se utilizan en áreas –no olvidar que se trata de una jurisdicción europea– no podrán realizar identificaciones biométricas remotas en lugares públicos y en tiempo real. Hay, no obstante, una salvedad a esta prohibición: si una autoridad judicial o administrativa independiente avala el proceso.
La norma concide una categoría de riesgo limitado, ante la que impone obligaciones de transparencia. Por ejemplo, un chatbot tiene que dejar claro al usuario que interactúa con un sistema de IA, sin dar lugar a que piense que está siendo atendido por una persona. Además, el texto delimita un apartado referente a herramientas que presentan un riesgo mínimo y, por consiguiente, sin restricciones. Aquí entrarían los algoritmos que actúan como filtros anti-spam o como recomendadores de contenidos.
Todo lo anterior –que ya es mucho– se complementará con un marco específico para apoyar la innovación. La norma prevé una suerte de sandbox regulatorio, que permitirá desarrollar, probar y validar sistemas de IA en condiciones reales bajo ciertas garantías. En cuanto al aparato sancionador del reglamento, están previstas multas de 35 millones de euros o, llegado el caso, del 7% de la facturación anual global de la compañía que incumpla los preceptos de la AI Act. Es un salto importante si se compara con las sanciones previstas en el RGPD: 20 millones y 4%.
Lo dicho: la AI Act va camino de ser la primera legislación en el mundo que aborda la inteligencia artificial de manera estructurada. No es una improvisación: la Comisión Europea empezó a trabajar en esta cuestión en 2021. Mucho ha llovido desde entonces: ni siquiera se hablaba de IA generativa, que andando el tiempo lo ha puesto todo patas arriba. Por esto ha sido necesatio modificar el texto en muchos supuestos iniciales para incluir un apartdo sobre los modelos llamados fundacionales.
Con todo, las tecnologías derivadas de la IA se encuentran en una fase incipiente y la mayoría de los usuarios todavía están explorando aplicaciones rutinarias que, por lo visto, causan furor como si ya fueran la stazione termini de la inteligencia artificial. Esta dualidad se observa en el estado actual de la legislación – en realidad no nata – y como muestra, el gobierno británico ha apuntado en un informe que su legislación sobre la IA sólo llegará más adelante, cuando se entiendan mejor los riesgos asociados.
Opiniones como esta de Londres hacen dudar sobre la capacidad que tendrán este y otros reglamentos sobre la IA de influir sobre la industria de la misma forma que lo ha hecho el RGPD en aplicación dentro de la UE desde 2018. Esta primera AI Act no ha nacido para ser esculpida de piedra.
[Informe de Pablo G Bejerano]