En la película clásica "2001: Una odisea del espacio" (1968), Hal9000, el sistema de inteligencia artificial sostiene: " Ninguna computadora 9000 se ha equivocado ni ha distorsionado información. Somos, bajo cualquier definición, infalibles e incapaces de cometer ningún error", justo antes de que pase a matar sistemáticamente a los astronautas. En "Terminator" (1984), la inteligencia artificial Skynet libra una guerra de desgaste contra el resto de la humanidad en un intento de eliminarlos. ¿Qué pasaría si tuviéramos una forma de asegurarnos de que Skynet nunca naciera o que HAL nunca se colocara en una nave espacial? La nueva regulación de la Unión Europea con respecto a la inteligencia artificial no necesariamente salvará a la humanidad (y admitimos que, si lo hiciera, sería una película de ciencia ficción particularmente aburrida), pero apunta, al menos en su núcleo, a permitir que las empresas identifiquen la IA "peligrosa" y limiten su capacidad para desarrollarse y moverse libremente en el mercado sin supervisión.
El reglamento, cuyo borrador se publicó en mayo de 2024 y que finalmente entró en vigor el 1 de agosto de 2024, tiene como objetivo crear límites éticos y transparentes al uso de la IA y aplicar los límites mencionados de manera uniforme en todo el mundo, ya que el reglamento de privacidad de la UE (GDPR) afectó a todo el mundo. Por lo tanto, el Reglamento se aplica no solo a todas las empresas que operan en el ámbito de la IA en la UE, sino también a todas las empresas del mundo que comercializan o explotan productos que incluyen IA en toda la UE.
El reglamento adopta un enfoque de "evaluación de riesgos" que clasifica los sistemas de IA en 4 niveles de riesgo: irrazonable, alto, limitado y mínimo. Dentro de esta clasificación, los sistemas que permiten al operador utilizar la IA con fines no éticos, por ejemplo, se clasifican como un riesgo irrazonable. Así, por ejemplo, los sistemas construidos para usurpar las debilidades de las personas como resultado de la edad o las limitaciones físicas, los sistemas que utilizan información biométrica para catalogar a las personas según la religión, la raza o el género, o los sistemas que recopilan imágenes de Internet o de cámaras de seguridad para crear una base de datos que se utilizará para el reconocimiento facial. Estas acciones, que constituyen una lista cerrada, están prohibidas y la empresa que esté detrás de dicho sistema puede estar sujeta a multas de hasta 35 millones de euros o el 7% de los beneficios anuales de la empresa, lo que sea mayor. La clasificación como de alto riesgo no impide su uso, sino que requiere el registro en la base de datos de la UE y la colocación de barreras, sistemas de gestión de riesgos y supervisión humana, todos ellos diseñados para supervisar el sistema y garantizar que no se salga de control o se dé cuenta del riesgo inherente. En los sistemas de riesgo limitado, las restricciones y requisitos son considerablemente menos estrictos, y exigen principalmente transparencia y divulgación. Los sistemas de Riesgo Mínimo, vistos como sistemas de IA más generales capaces de un gran número de propósitos, se dejan sin referencia y los someten a otras legislaciones locales o europeas.
La cuestión es, por supuesto, que los sistemas de IA, por definición, son sistemas que aprenden y evolucionan. Existe una alta probabilidad de que la lista cerrada de riesgos irrazonables falte significativamente en unos años cuando el desarrollo tecnológico permita e inunde cuestiones éticas esenciales que la ley no anticipa. Además, la definición es esencialmente amorfa, de una manera que puede dificultar que las empresas clasifiquen correctamente los sistemas operados por ellas. Además, la clasificación del sistema desarrollado no siempre se puede esperar desde el principio. Una empresa puede encontrarse desarrollando un sistema de IA e invirtiendo fondos y recursos considerables solo para descubrir al final del camino que el sistema desarrollado ahora se define como de riesgo irrazonable (aunque solo sea porque puede realizar algunas de las cosas enumeradas en la regulación, incluso si son secundarias a los objetivos reales del sistema) y, por lo tanto, no puede operar o se le exige que invierta más fondos y recursos en agregar barreras y procedimientos de inspección debido a la clasificación como un sistema de alto riesgo.
La ley no está destinada a aplicarse completamente de inmediato y establece un calendario de 5 a 6 años para la aplicación. Por ejemplo, los requisitos de transparencia se implementan en el primer año, pero los requisitos operativos de supervisión humana para sistemas de alto riesgo recibieron una gracia de dos o más años. Sin embargo, se trata de un calendario rígido y de definiciones complicadas y sensibles, que exigen que todas las empresas del sector lleven a cabo con prontitud una cuidadosa revisión legal y técnica de la evaluación de riesgos y una adecuada planificación futura, con el fin de garantizar el cumplimiento de los requisitos cuando llegue el momento y es vital que esto se haga en cooperación con abogados que entiendan el campo de la tecnología y la nueva regulación.