La Unión Europea se dispone a imponer algunas de las restricciones de seguridad y transparencia más extensas del mundo sobre la inteligencia artificial. El borrador de una nueva legislación que restringe el uso de alto riesgo de la IA, fue aprobado por el Parlamento Europeo el 14 de junio. Ahora, después de dos años y una explosión de interés en la IA, solo quedan algunos obstáculos antes de que entre en vigor.
El AI Act fue propuesto por legisladores europeos en abril de 2021. En su propuesta, los legisladores advirtieron que la tecnología podría ofrecer una serie de "beneficios económicos y sociales", pero también "nuevos riesgos o consecuencias negativas para individuos o la sociedad". Estas advertencias pueden parecer bastante obvias en estos días, pero preceden al caos de las herramientas de IA generativa como ChatGPT o Stable Diffusion. Y a medida que esta nueva variedad de IA van evolucionado, una regulación que antes parecía (relativamente) simple ha tenido dificultades para abarcar una amplia gama de tecnologías que cambian rápidamente.
Para regular la IA, primero hay que definir qué es
El AI Act fue creado por dos razones principales: para sincronizar las reglas de regulación de la tecnología de IA entre los estados miembros de la UE y para proporcionar una definición más clara de lo que es la IA. El marco clasifica una amplia gama de aplicaciones según diferentes niveles de riesgo: riesgo inaceptable, alto riesgo, riesgo limitado y riesgo mínimo o nulo. Los modelos de riesgo "inaceptable", que incluyen "puntuaciones crediticias" sociales y la identificación biométrica en tiempo real (como el reconocimiento facial) en espacios públicos, están prohibidos. Los que tienen un riesgo "mínimo", como los filtros de spam y los sistemas de gestión de inventario, no enfrentarán reglas adicionales. Los servicios que se encuentran entre estos extremos estarán sujetos a restricciones de transparencia y seguridad si desean permanecer en el mercado de la UE.
Las primeras propuestas del AI Act se centraban en una serie de herramientas relativamente concretas que a veces ya se estaban utilizando en campos como el reclutamiento laboral, la educación y la policía. Sin embargo, los legisladores no se dieron cuenta de que definir "IA" iba a volverse mucho más complicado.
La UE busca reglas para la IA de alto riesgo
El marco legal actualmente aprobado del AI Act abarca una amplia gama de aplicaciones, desde software en coches autónomos hasta sistemas de "policía predictiva" utilizados por las fuerzas del orden. Además de la prohibición de sistemas "inaceptables", sus regulaciones más estrictas se reservan para la tecnología de "alto riesgo". Si proporcionas un sistema de "riesgo limitado" como chatbots de servicio al cliente en sitios web que pueden interactuar con un usuario, solo necesitas informar a los consumidores de que están utilizando un sistema de IA. Esta categoría también incluye el uso de la tecnología de reconocimiento facial (aunque las fuerzas del orden están exentas de esta restricción en determinadas circunstancias) y sistemas de IA que pueden producir "deepfakes", definidos dentro del acta como contenido generado por IA basado en personas, lugares, objetos y eventos reales que de otra manera podrían parecer auténticos.
Para cualquier cosa que la UE considere más arriesgada, las restricciones son mucho más altas. Estos sistemas están sujetos a "evaluaciones de conformidad" antes de ingresar al mercado de la UE para determinar si cumplen con todos los requisitos necesarios del AI Act. Esto incluye llevar un registro de la actividad de la empresa, evitar que terceros no autorizados alteren o exploten el producto y asegurarse de que los datos utilizados para entrenar estos sistemas cumplan con las leyes relevantes de protección de datos (como el GDPR). Se espera que esos datos de entrenamiento sean de alta calidad, lo que significa que deben ser completos, imparciales y estar libres de cualquier información falsa.
El alcance de los sistemas de "alto riesgo" es tan amplio que se divide en dos subcategorías: productos tangibles y software. El primero se aplica a los sistemas de IA incorporados en productos que están bajo la legislación de seguridad de productos de la UE, como juguetes, aviación, automóviles, dispositivos médicos y ascensores; las empresas que los proporcionan deben informar a terceros independientes designados por la UE en su procedimiento de evaluación de conformidad.
