El 13 de marzo de 2024, el Parlamento Europeo aprobó el AI Act con 523 votos a favor y 46 en contra. Fue celebrado como un hito histórico por casi todos, criticado como insuficiente por los más exigentes y tachado de excesivo por la industria tecnológica. Esa es, paradójicamente, la mejor señal de que probablemente estaba bien calibrado.
Llevo meses revisando el texto y hablando con juristas, ingenieros e investigadores de política pública. Mi conclusión es ambivalente: el AI Act es la regulación más seria que existe sobre inteligencia artificial en el mundo, y al mismo tiempo llegará tarde a casi todos los problemas que intenta resolver.
La arquitectura de riesgos
El enfoque central del AI Act es una clasificación por niveles de riesgo. Los sistemas de IA de riesgo inaceptable —como el reconocimiento facial en tiempo real en espacios públicos o los sistemas de puntuación social al estilo chino— están directamente prohibidos. Los de alto riesgo —IA en decisiones de crédito, contratación, diagnóstico médico, infraestructura crítica— requieren auditorías, documentación técnica y supervisión humana obligatoria. Los de bajo riesgo solo necesitan transparencia básica.
Esta arquitectura es sensata. El problema es que la realidad tecnológica rara vez encaja en casillas limpias. Un modelo de lenguaje general como GPT-4 puede ser una herramienta de bajo riesgo para generar textos de marketing y una herramienta de alto riesgo si se integra en un sistema de evaluación de candidatos de empleo. La misma tecnología, dos categorías distintas según el uso.
El problema de los modelos de propósito general
La batalla más intensa en la negociación final del AI Act fue sobre los GPAI (General Purpose AI) models: modelos grandes como GPT-4, Claude o Gemini. Francia, Alemania e Italia presionaron para suavizar las exigencias sobre estos modelos, argumentando que regulaciones demasiado estrictas dañarían a empresas europeas como Mistral AI. El lobby funcionó parcialmente: los requisitos para los GPAI quedaron más ligeros de lo que propuso la Comisión inicialmente.
Eso es un problema. Los modelos de propósito general son precisamente los que más dificultad presentan para la auditoría y el control. Son la base sobre la que se construyen miles de aplicaciones de alto riesgo. Regularlos superficialmente y luego exigir requisitos estrictos a las aplicaciones es como regular la química de los explosivos solo en el nivel del producto final.
Lo que el AI Act no puede hacer
El AI Act regula la IA que se deploya en la Unión Europea. No regula la IA que se desarrolla fuera de ella, aunque sus productos lleguen al mercado europeo a través de APIs y servicios digitales. No regula la carrera armamentística en IA entre EEUU y China. No establece ningún mecanismo global de coordinación.
Esas limitaciones no son culpa de los legisladores europeos. Son la consecuencia de que la regulación es inherentemente nacional o regional, mientras la tecnología es globalmente difusa.
Dicho esto: tener una regulación imperfecta es infinitamente mejor que no tener ninguna. El AI Act crea precedente, fuerza a las empresas a documentar sus sistemas, da a los ciudadanos mecanismos de recurso y envía una señal clara de que la IA no está por encima de la ley. Eso, en 2024, no es poca cosa.
Comentarios
Deja tu comentario
No hay comentarios aprobados todavía. ¡Sé el primero en comentar!