Por Jesús Lozano/miembro del equipo de regulación digital de BBVA
El pasado 13 de marzo, el Parlamento Europeo aprobó definitivamente el Reglamento Europeo de Inteligencia Artificial (IA). Según algunas autoridades comunitarias, esto convierte a la Unión Europea (UE) en la primera jurisdicción internacional que cuenta con una ley integral sobre el uso de la IA.

El adjetivo “integral” es muy relevante porque, en los tres años que han durado las negociaciones de esta norma, propuesta inicialmente en abril de 2021 por la Comisión Europea, tanto Estados Unidos como China, con una aproximación mucho menos ambiciosa, han publicado legislación sobre aspectos específicos de esta tecnología o desarrollos recientes como la IA Generativa, tan en boga desde que ChatGPT fue lanzado al mercado a finales de 2022.

Sin embargo, ninguna de estas intervenciones legislativas establece en un único texto prohibiciones a ciertas aplicaciones de IA consideradas contrarias a los valores europeos; requisitos adicionales sobre sistemas de IA de propósito general y sobre sistemas cuyo incorrecto desarrollo podría perjudicar la salud, la seguridad o los derechos fundamentales de los ciudadanos; y obligaciones de transparencia sobre sistemas que interaccionan con ciudadanos o generan artificialmente imágenes, sonidos o texto.

Más allá del impacto de cada uno de estos requisitos y obligaciones concretos, una vez aprobado el reglamento quedan dos grandes incógnitas por despejar. La primera es si este reglamento favorecerá el desarrollo y adopción de “Inteligencia Artificial confiable” en la UE, como enfatizan las autoridades europeas, o si, por el contrario, la existencia de estos requisitos puede aumentar la distancia entre la UE y los países líderes en esta tecnología, Estados Unidos y China. La segunda es hasta qué punto esta nueva norma generará un “efecto Bruselas”, es decir, influenciará el desarrollo de normas similares en otras geografías o, incluso, se convertirá en el marco de referencia para el desarrollo de IA por parte de empresas de todo el mundo.

En lo que se refiere al impacto en el desarrollo de la IA en la UE, uno de los aspectos clave para concretarlo será la definición de Sistema de IA que se establece en la ley. Aunque está basada en las recomendaciones de la OCDE sobre Inteligencia Artificial recientemente actualizadas y mejora considerablemente otras versiones que se han barajado durante la negociación, no excluye explícitamente los sistemas automatizados basados en reglas que se usan desde hace tiempo en algunas actividades económicas, pese a que estos sistemas son generalmente bastante simples, carecen de autonomía y son explicables.

Por otro lado, es posible que algunos de los sistemas identificados como de alto riesgo en la norma no estén sometidos a requisitos equivalentes fuera de la UE, lo que incentive su desarrollo en otras geografías. Aunque esto podría ser cierto, los requisitos establecidos para sistemas de IA de alto riesgo reflejan fundamentalmente buenas prácticas en el desarrollo de sistemas informáticos como la identificación y mitigación de riesgos o garantizar un nivel apropiado de ciberseguridad. De hecho, tanto la Órden Ejecutiva firmada por el Presidente Joe Biden el 30 de octubre de 2023 como la ley sobre IA generativa en China ya regulan los sistemas de propósito general en las dos principales economías del mundo.

En cualquier caso, el impacto final de esta norma dependerá en gran medida de tres aspectos todavía por concretar: el desarrollo normativo del reglamento, su marco de supervisión y la coordinación entre autoridades.

Respecto al desarrollo normativo, el Reglamento de IA será de aplicación entre seis y 24 meses después de su entrada en vigor. En ese lapso temporal la Oficina de IA de la Comisión Europea publicará normativa secundaria sobre aspectos concretos de la norma, como la interpretación de la definición de IA o de las prácticas prohibidas o la implementación práctica del Reglamento.

En cuanto al marco de supervisión, el Reglamento establece que la Oficina de IA supervise los Sistemas de IA de propósito general y el resto de los sistemas de IA sean supervisados por las autoridades competentes de los estados miembros, como la Agencia Española de Supervisión de la Inteligencia Artificial, que será el supervisor principal de este Reglamento en España. En el caso de las entidades financieras, la norma por defecto designa a las autoridades financieras como autoridades de supervisión del mercado.

El hecho de que la supervisión del Reglamento recaiga en un número tan amplio de autoridades puede dar lugar a disparidad de criterios entre ellas y a una aplicación desigual de la norma en cada país o, incluso, entre sectores. Por ello, el reglamento crea una estructura de gobernanza supranacional que pretende coordinar la acción de las autoridades nacionales y armonizar criterios. La pieza principal de esta estructura es la ya referida Oficina de IA, cuyos trabajos serán apoyados por el Consejo Europeo de IA, en el que participarán los supervisores nacionales; un panel científico de expertos independientes y un foro consultivo formado por proveedores, desarrolladores y usuarios de IA.

Con relación al surgimiento de un “efecto Bruselas” vinculado al Reglamento de IA, sin duda, una de las regiones en las que las autoridades europeas pueden tener expectativas de influir es en Latinoamérica.

Como muestra el índice Latioamericano de Inteligencia Artificial publicado en agosto de 2023, el desarrollo regulatorio en la región es dispar. Así, según este informe, 11 de 12 países tienen regulaciones en temas transversales relacionados con esta tecnología, como la ciberseguridad o la protección de datos, ámbito este último en el que existen indudables influencias de la GDPR que, en el caso de Argentina y Uruguay, se han plasmado en decisiones de adecuación adoptadas por la Comisión Europea.

No obstante, aunque países como Colombia, Brasil, Perú y Chile muestran altos niveles de madurez regulatoria, ninguno de ellos cuenta con una regulación integral en este campo, por lo que, si el impacto del Reglamento en el desarrollo de la IA es positivo en la UE, algunos países latinoamericanos podrían decidir emprender una senda regulatoria similar, en especial aquellos que ya han suscrito las recomendaciones de IA de la OCDE (Argentina, Brasil, Colombia, Costa Rica, Chile, México y Perú), pues, como ya se ha indicado, éstas han sido una de las referencias que se han tenido en cuenta en el desarrollo del Reglamento Europeo.En conclusión, aunque el Reglamento recién aprobado supone un hito regulatorio que puede conseguir una protección razonable de los ciudadanos ante la proliferación de sistemas de IA, todavía es pronto para evaluar su impacto en el desarrollo de esta tecnología en la UE, pues este dependerá en gran medida de los trabajos a realizar en los próximos meses por la Oficina de la IA y el perfil supervisor de cada autoridad competente.

En particular, es esencial que los supervisores aborden la implementación con flexibilidad y proporcionalidad, pues, al tratarse de una tecnología en continua evolución y de la regulación más ambiciosa desarrollada hasta la fecha, surgirán imprevistos ante los que habrá que reaccionar con rapidez.

Igualmente, la capacidad real de este reglamento de influir en los desarrollos regulatorios de otros países y de promover la competitividad de la UE en el mundo, depende del impacto que tenga el Reglamento en el mercado europeo de Inteligencia Artificial. En la medida en que la implementación muestre signos positivos para el desarrollo de “IA confiable”, las autoridades europeas deberán fomentar la coordinación internacional de las intervenciones regulatorias en este campo. Dentro de estas actividades de coordinación, Latinoamérica es una de las regiones donde existen elementos previos que deberían favorecer un alineamiento regulatorio entre las dos regiones.