El nuevo Reglamento Europeo de Inteligencia Artificial, una norma en diferido
No parece extraño pensar, como seguro pasará, que otras regulaciones fuera de la UE publiquen con eficacia inmediata el uso y limitaciones de la IA
Este miércoles 13 de marzo de 2024, se ha ratificado por votación en la Eurocámara el Reglamento Europeo de la Inteligencia Artificial (IA), acordado el pasado 8 de diciembre de 2023 por la Comisión, el Consejo y el propio Parlamento Europeo, tras la sesión de negociación más larga de su historia, con un récord de 38 horas, y 523 votos a favor.
Sin duda este cuerpo normativo supone un avance hacia el futuro, y una novedad mundial, el reconocimiento directo de que la inteligencia artificial abandona la ciencia ficción para ocupar su sitio en la realidad y que por primera vez se regula. Europa manda un mensaje al mundo, y pone un hito normativo sobre la mesa, que lejos de dar seguridad jurídica, nos deja en una nueva zona gris y con un futuro, a largo plazo, incierto.
El contenido de esta norma genera muchas preguntas, y sobre todo muchos retos, ¿qué supone para las sociedades?
Podemos destacar como objetivo principal de la ley, que hace historia, siendo la primera jurisdicción en contar con una norma específica en la materia, la de crear un marco normativo garantista, en línea con la idiosincrasia normativa europea, en la cual se procura dar carta de naturaleza al funcionamiento de la inteligencia artificial y a la vez, crear un sistema de protección garantizado con un régimen sancionador, por cierto, absolutamente estremecedor en cuanto a las multas que se pueden imponer.
Sin embargo, este ejercicio de vanguardia, retrasa su eficacia a un plazo de dos años, que, si bien permite a las sociedades un plazo tremendamente útil para garantizar el cumplimiento, no puede evitar resaltarse que lo largo del plazo priva a la norma de eficacia práctica.
Y es que es necesario destacar que el reglamento aún está sujeto a una última comprobación jurídica-lingüística, y para más inri, su entrada en vigor, prevista veinte días después de su publicación en el Diario Oficial de la Unión Europea, desplegará plenos efectos pasados los veinticuatro meses, con las siguientes excepciones:
Las prohibiciones de prácticas (entrando en vigor seis meses después de la fecha de entrada en vigor); los códigos de buenas prácticas (nueve meses después); las normas sobre la IA de uso general, incluida la gobernanza (para este caso se retrasa doce meses), y las obligaciones para los sistemas de alto riesgo (treinta y seis meses después).
Quizás, el reglamento, está pegando una patada a su eficacia a muy largo plazo, en un tiempo donde todo cambia a gran velocidad, y donde el uso de la IA, está en plena vorágine en las organizaciones.
Los proveedores son los sujetos que se van a ver afectados con mayor intensidad, el reglamento crea un catálogo de obligaciones concreto, entre los que destacan:
cumplir los requisitos y superar las pruebas de conformidad; contar con un sistema de gestión de calidad documentado y mantenido conforme al conjunto de documentación completa del sistema; deber de custodia de los registros del sistema que estén bajo su control; y un deber general de colaboración con las autoridades, debiendo registrar el sistema, demostrando el cumplimiento de los requisitos cuando se les solicite, y notificando los incumplimientos y riesgos que detecten y las acciones correctivas que se emprendan en consecuencia.
Es decir, se verán obligados a tener un perfil de cumplimiento documentado con un sistema de calidad sostenido en el tiempo, siempre acompañado de un deber de responsabilidad proactiva, alineándose con los requisitos en materia de cumplimiento ya impuesto a las empresas de modo general, y con una dificultad añadida en materia de valoración de riesgos propios para el supuesto de uso de la IA, en los términos que la norma define como “proveedor”, no lo olvidemos.
Sin embargo, la ocasión que Europa tenía para estar en la vanguardia normativa ha quedado deslucida por esta aplicación real en diferido, esta exagerada dilación que establece para la entrada en vigor de sus medidas de forma efectiva. No parece extraño pensar, como seguro pasará, que otras regulaciones fuera de la UE publiquen con eficacia inmediata el uso y limitaciones de la IA.
Si el crecimiento del uso de la IA sigue el ritmo actual, o como es de esperar, si se acelera, el reglamento, que parece adelantado a la necesidad del tráfico jurídico, quedará obsoleto, y presumiblemente necesitado de actualización, incluso antes de que entre realmente en vigor.
Resulta incomprensible, en un mundo de actualizaciones continuas, plantear una norma que no despliega efectos hasta dos años después.
Aunque sin duda alguna, la norma plantea coto a aquellos proveedores que no tienen buenas intenciones con el uso de la IA, los departamentos de compliance, deben empezar a tomar cartas en el asunto y prever como van a empezar a instrumentalizar esta normativa en sus organizaciones.
La amplitud de los plazos previstos para su aplicación, nos deja en un muy posible escenario en que otras jurisdicciones, véase por ejemplo Estados Unidos, puedan seguir la estela, y crear, su propia normativa, pero hacerla efectiva y de obligado cumplimiento, en un plazo ágil, quedando relegado este reglamento en una eterna espera.
Pero, para crear más inseguridad jurídica, hay determinadas cuestiones fundamentales que han quedado en el tintero de esta norma, destacando por ejemplo herramientas que están vulnerando actualmente derechos de propiedad intelectual de forma sistemática, como se ha visto en pasadas semanas, sobre todo en el ámbito de la música y la creación de video, y que, con esta norma, pasan prácticamente inadvertidas, otro “pero” que, seguro que a los principales partners en este sector, no le hará mucha gracia, pero al menos, habemus norma, pero ya veremos, si vale o no de algo, el tiempo, lo dirá.
Sigue toda la información de Cinco Días en Facebook, X y Linkedin, o en nuestra newsletter Agenda de Cinco Días