Europa ha construido el primer gran marco integral jurídico de Inteligencia Artificial (IA), la primera gran norma horizontal destinada a establecer un marco común para el desarrollo y uso de sistemas de IA en el mercado europeo.
Sin embargo, la tecnología avanza más rápido que el desarrollo normativo, planteando una seria duda ¿verdaderamente está a la altura de los peligros futuros?
Un marco regulatorio pionero, pero complejo
El Reglamento de Inteligencia Artificial constituye la pieza central de la estrategia europea en materia de IA. Su objetivo principal es garantizar que los sistemas desarrollados y utilizados en la Unión Europea respeten los derechos fundamentales de las personas y ofrezcan suficientes garantías de transparencia, seguridad y supervisión humana.
Según explicó Guillermo Hidalgo, counsel de MAIO Legal y experto en derecho digital, la norma persigue dos grandes finalidades: «Evitar el sesgo de la IA en Europa y asegurar la transparencia y la trazabilidad de los sistemas». En otras palabras, se busca reducir riesgos asociados a decisiones discriminatorias, opacas o difícilmente auditables, especialmente cuando estas pueden afectar a derechos fundamentales.
Junto a ello, el Reglamento incorpora un principio transversal que atraviesa toda la regulación: la supervisión humana. Como recordó el counsel de MAIO Legal, «la autonomía es el principio fundamental; si no fuera necesaria la supervisión humana, no estaríamos hablando de los riesgos que plantea la inteligencia artificial».
Por otro lado, las iniciativas de simplificación normativa impulsadas desde Bruselas, conocidas de forma genérica como Digital Omnibus, no alteran la esencia de las obligaciones. Como señaló Hidalgo, estas medidas «no flexibilizan el Reglamento, sino que ajustan y simplifican su aplicación», concediendo más tiempo a empresas y autoridades para preparar estándares técnicos, documentación y procedimientos de control.
La clave del Reglamento: regular según el riesgo
La gran particularidad del RIA es que no regula todos los sistemas de inteligencia artificial por igual. Su estructura se basa en una clasificación escalonada del riesgo, de manera que cuanto mayor sea el impacto potencial sobre la seguridad o los derechos fundamentales de las personas, mayores serán las obligaciones exigibles.
En la cúspide de esta clasificación se encuentran las IA prohibidas, recogidas en el artículo 5 del Reglamento. Se trata de sistemas considerados incompatibles con los valores fundamentales de la Unión Europea por el riesgo que generan para las personas.
El siguiente escalón corresponde a los sistemas de alto riesgo, regulados principalmente en el artículo 6 y en el anexo III del Reglamento. Son aquellos que pueden afectar de forma significativa a la seguridad, los derechos fundamentales o las oportunidades de los ciudadanos en ámbitos especialmente sensibles.
Entre los ejemplos citados por Hidalgo figura el reconocimiento o evaluación emocional basado en datos biométricos. Para este tipo de sistemas, el Reglamento impone estrictos requisitos en materia de gestión de riesgos, calidad de los datos, documentación técnica, supervisión humana, trazabilidad y control.
Precisamente aquí se sitúa una de las principales críticas formuladas por el abogado: «todo lo que Europa ya ha catalogado como alto riesgo queda sometido a un régimen muy exigente; todo lo que queda fuera pasa a tener un impacto limitado».
Por debajo de esta categoría aparecen los sistemas de riesgo limitado, donde se encuentran muchas herramientas generativas que hoy utilizan empresas y consumidores. En estos casos no existen obligaciones tan intensas, pero sí deberes de transparencia. Por ejemplo, los usuarios deben ser informados de que están interactuando con una IA o de que determinados contenidos han sido generados artificialmente.
Finalmente, el Reglamento contempla sistemas de riesgo mínimo, para los que no se establecen obligaciones específicas más allá de las derivadas de otras normativas aplicables.
Los riesgos jurídicos van más allá de la tecnología
Uno de los mensajes más relevantes que trasladan desde MAIO Legal es la necesidad de entender que los riesgos asociados a la inteligencia artificial no son únicamente tecnológicos.
Para Hidalgo, «no hablamos solo de riesgos tecnológicos; hablamos también de riesgos legales, reputacionales y de confianza». Entre los principales desafíos identificó las alucinaciones de los modelos, la protección de datos, la confidencialidad y el secreto profesional, los conflictos relacionados con la propiedad intelectual, los riesgos en materia de publicidad y consumo, la discriminación algorítmica y la eventual responsabilidad profesional derivada del uso de estas herramientas.
En este sentido, el despacho advierte que el riesgo no es solo que la IA se equivoque, sino que se equivoque con apariencia de seguridad. La capacidad de los sistemas generativos para ofrecer respuestas convincentes, incluso cuando son incorrectas, constituye uno de los principales desafíos para empresas y profesionales.
España y el reto de aterrizar la regulación
Aunque el Reglamento es directamente aplicable en todos los Estados miembros, su implementación práctica requiere mecanismos nacionales de supervisión y coordinación. Y es precisamente aquí donde, según Hidalgo, persisten importantes incógnitas.
A su juicio, «todavía no existe una visión clara sobre cómo aterrizar la normativa en el tejido empresarial español». El anteproyecto de desarrollo normativo aporta mayor claridad sobre qué organismos ejercerán funciones de control, entre ellos la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) o la Agencia Española de Protección de Datos (AEPD), pero sigue dejando abiertas numerosas cuestiones competenciales.
Otro de los aspectos más relevantes es el régimen sancionador. El sistema distingue entre infracciones leves, graves y muy graves, con multas que pueden alcanzar los 35 millones de euros o el 7 % del volumen de negocio mundial de la empresa infractora.
Para Hidalgo, la severidad de estas sanciones responde a una finalidad muy concreta: «son sanciones muy elevadas porque existe una voluntad de sensibilizar y evangelizar al mercado».
Además, recordó que las obligaciones más exigentes recaen principalmente sobre los proveedores de sistemas de alto riesgo, es decir, quienes introducen estas herramientas en el mercado o las ponen a disposición de terceros.
Una regulación llamada a evolucionar
La principal conclusión es que la Unión Europea ha optado por un modelo regulatorio basado en el riesgo, centrando sus mayores esfuerzos en aquellos sistemas que pueden generar un impacto significativo sobre las personas y sus derechos fundamentales.
La eficacia real del marco europeo dependerá, en buena medida, de la capacidad de las instituciones para desarrollar estándares claros, ofrecer seguridad jurídica a las empresas y adaptar la regulación a una tecnología que evoluciona constantemente.
Mientras tanto, sectores como la tecnología, la banca, los seguros o los laboratorios serán algunos de los ámbitos donde el impacto del Reglamento de IA se dejará sentir con mayor intensidad en los próximos años.
