Mi columna de esta semana en Invertia se titula «Italia se adelanta en la regulación de la inteligencia artificial» (pdf), y trata sobre la decisión del país transalpino de convertirse en el primero de la Unión Europea en aprobar una ley nacional integral sobre esta tecnología, adelantándose incluso a la plena entrada en vigor del AI Act europeo.
La noticia plantea una cuestión relevante: ¿tiene sentido que un Estado miembro decida regular por su cuenta un ámbito en el que ya existe un marco comunitario que debería servir de guía para todos?
La norma italiana incluye disposiciones muy concretas sobre cuestiones como los deepfakes, la transparencia de los algoritmos, la protección de los menores o la obligación de etiquetar contenidos generados artificialmente, y contempla sanciones severas para las empresas que incumplan. Se trata, en la práctica, de una aplicación anticipada y endurecida del espíritu del AI Act, con la aparente intención de enviar una señal clara a la sociedad de que la inteligencia artificial no es un territorio sin ley.
En España, por contraste, seguimos en fase de borrador con la futura Ley de Inteligencia Artificial y con la definición del papel de la Agencia Española de Supervisión de la IA (AESIA), mientras se anuncian subvenciones millonarias para fomentar el uso de la inteligencia artificial en las empresas y, al mismo tiempo, propuestas de sanciones que algunos consideran desproporcionadas, como las que plantean multas de hasta 35 millones de euros por no etiquetar contenidos. El resultado es una estrategia poco coherente, que mezcla impulso y freno de manera simultánea, y que transmite más ruido que certezas al tejido empresarial.
El dilema es de fondo: regular demasiado pronto puede proyectar una imagen de liderazgo, pero también puede asfixiar la innovación, en especial en un ecosistema europeo en el que no abundan los grandes campeones tecnológicos. Regular demasiado tarde, por otro lado, puede dar lugar a abusos, pérdida de confianza ciudadana y problemas de difícil solución. El precedente del GDPR es ilustrativo: Europa logró convertirse en referente mundial en privacidad, pero para nada en competitividad tecnológica.
Italia, con su ley pionera, ha apostado por adelantarse. Es un movimiento que algunos verán como una muestra de responsabilidad democrática y otros como un error precipitado que puede perjudicar a startups y pymes, forzadas a cumplir con obligaciones complejas en un entorno cada vez más incierto. Lo que está en juego no es únicamente la protección frente a los deepfakes o la transparencia algorítmica, sino la posibilidad de que Europa desempeñe un papel relevante en la carrera global de la inteligencia artificial, o se quede una vez más en el papel de árbitro que regula mientras otros juegan el partido.
You can read this article in English on my Medium page, «Italy’s AI law: European leadership or political showboating?»
1) En italia no hay ninguna empresa de IA que se precie
2) A chinos, rusos, indios, etc. se la refanfinfla la ley italiana
3) Internet, por donde se distribuye, no conoce de fronteras.
4) Europa manda. Si hay un conflicto entre su ley y el marco jurídico europeo, prevalecerá este último
De verdad que somos decadentes hasta decir basta
Sigo sin comprender como nos han dejado utilizar la enciclopedia sin una ley que regule su uso.
Nada más que decir… Gorki me ha quitado la palabra (y no ha sido censurándome)…
Aunque se puede matizar, que la Enciclopedia Francesa sí trataron de prohibirla.
Bien por Italia. La UE es una colonia de Estados Unidos e Israel, asi que no puedes esperar ninguna protección de ella a sus ciudadanos ya que solo defienden los intereses de sus amos.
En esta ocasión, no puedo menos que repetir mi pregunta, por si acaso se le aporta alguna respuesta.
En las propuestas legislativas de sanción por «no etiquetar los contenidos generados por inteligencia artificial»,
¿existe una definición clara de lo que llaman contenidos generados por inteligencia artificial?
Porque vamos
– si la IA hace una corrección ortotipográfica de mis artículos, ha intervenido pero
¿es contenido generado por IA?
– Hago melodías con mi Yamaha y las subo, junto a mi letra, a Suno que las arregla y hace la orquestación de mi melodía.
¿es contenido generado por IA?
Y cuando la IA genera automáticamente emails comerciales a los clientes, ¿se deberá indicar que es contenido generado por IA?
Creo que el comentario parte de un error de concepto. No se trate de que Italia (o cualquier otro país de la UE), esté regulando por su cuenta la IA, en un ámbito en el que ya existe un marco común.
Lo que la norma italiana ha hecho, al igual que lo pretende hacer el Anteproyecto de Ley español, es adaptar su legislación nacional al Reglamento europeo de IA (RIA).
Aunque esta norma supone, en efecto, «el marco jurídico de la Unión en materia de IA [y] es de aplicación directa en todos los Estados miembros», delega en los propios estados el desarrollo de algunos aspectos muy relevantes del mismo, como son las autoridades nacionales responsables de aplicarlo internamente y el régimen de sanciones que cada país considere aplicable, dentro del marco ya establecido en el Reglamento (pues el principio de legalidad exige que las normas sancionadoras o restrictivas de derechos formen parte del ordenamiento interno de cada país).
Por ello, el objetivo de la norma italiana (y el de la futura norma española), es desarrollar, a nivel nacional, aquellos contenidos del RIA que, en razón del calendario de aplicación del Reglamento, requieren YA de un marco normativo interno para su puesta en práctica.
Debe tenerse en cuenta que ya el pasado día 2 de febrero de 2025 comenzaron a ser aplicables los capítulos I y II del RIA que, entre otros aspectos, regulan su ámbito de aplicación objetivo y subjetivo y, particularmente, las prácticas de IA que pasan a quedar prohibidas en el ámbito de la Unión Europea. Y que el pasado 2 de agosto comenzaron igualmente a ser aplicables nuevos contenidos del Reglamento: la sección tercera del capítulo III, que regula las obligaciones de los proveedores, los importadores, los distribuidores y los responsables del despliegue de los sistemas de IA de alto riesgo, así como las obligaciones a lo largo de la cadena de valor de los sistemas de IA; y los capítulos V, que regula los modelos de IA de uso general, sus reglas de clasificación y las obligaciones que afectan a sus proveedores, en particular cuando plantean un riesgo sistémico; VII, que establece los órganos de gobernanza de la IA en la Unión Europea, estableciendo también aquí nuevas obligaciones al respecto para los Estados Miembros, y XII, que establece el régimen de infracciones y
sanciones del Reglamento, imponiendo a los Estados de desarrollar a nivel nacional el régimen de sanciones y otras medidas de ejecución del RIA.
Es decir, aunque el RIA no comenzará a ser plenamente aplicable hasta el 2 de agosto de 2026 (con la salvedad del apdo. 1 del art. 6, que establece las reglas de clasificación de los sistemas de IA de alto riesgo y las obligaciones correspondientes, que lo será el 2 de agosto de 2027), este calendario obliga a los Estados a poner en marcha, en los plazos señalados, los mecanismos jurídicos que permitan su plena aplicabilidad en cada uno de ellos.
En este sentido, creo que el Anteproyecto español es más ambicioso en su alcance que el italiano, y también más coherente con el objeto del Reglamento, ya que se orienta a introducir las medidas de orden interno necesarias para hacer aplicable el RIA en relación con cuatro aspectos muy relevantes del mismo, como son:
– El régimen sobre prácticas de IA prohibidas por el art. 5 del RIA), en particular las concernientes al uso de sistemas de reconocimiento biométrico «en tiempo real» en espacios de acceso público con fines de aplicación del Derecho.
El Reglamento habilita a los Estados miembros para precisar los objetivos y delitos concretos para los que, de manera muy restrictiva, podrían emplearse este tipo de sistemas en su territorio. También exige designar la autoridad competente para autorizarlos y detallar un procedimiento para su solicitud, concesión, ejercicio, y supervisión.
– La creación de las autoridades nacionales competentes en materia de IA (arts. 70 y ss. RIA)
El RIA también establece el deber de que los Estados miembros designen «al menos» una autoridad notificante, una autoridad de vigilancia de mercado, y un punto de contacto único con la Comisión. Establece además unas potestades y obligaciones para estas entidades, y el deber del Estado miembro de garantizar que dispongan de los medios suficientes para su ejercicio.
A ello se dedica la práctica totalidad del Capítulo II del Anteproyecto.
– Régimen de infracciones y sanciones (art. 99 RIA)
El RIA faculta y obliga a los Estados miembros a concretar un régimen de sanciones y otras medidas de ejecución (art. 99.1 RIA), tales como advertencias o medidas no pecuniarias, aplicable a las infracciones que cometan los operadores. A su vez, los Estados deberán adoptar todas las medidas necesarias para garantizar que se aplican de forma adecuada y efectiva y teniendo así en cuenta las directrices emitidas por la Comisión. Asimismo, el propio precepto 99.8 señala que cada Estado miembro establecerá normas que determinen en qué medida es posible imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.
Precisamente, este el objetivo del Capítulo IV (Infracciones y sanciones) del Anteproyecto que desarrolla este marco punitivo, incluyendo la determinación de multas (o su exclusión como es el caso) y su eventual aplicación a autoridades y organismos públicos.
– Finalmente, el RIA contempla la figura de los «espacios controlados de pruebas» para facilitar la experimentación regulada y la innovación.
En consecuencia, el art. 9 del Anteproyecto (Capítulo II) desarrolla las disposiciones relativas a su gobernanza y supervisión, incluidas las necesarias dotaciones de medios, recursos y la posible cooperación con otros Estados miembros.
Sin contar con esas normas internas, el Reglamento europeo resultará, como de hecho ya resulta en nuestro país, prácticamente inaplicable por el momento.