Marc Sureda
Dentro de un año comenzarán a aplicarse en la Unión Europea las sanciones de hasta 35 millones de euros, o el 7% de la facturación anual, para quienes incumplan las prohibiciones de la futura Ley de IA. España ha dado un paso previo al publicar un anteproyecto destinado a desarrollar y complementar el Reglamento europeo, con el objetivo de facilitar su futura aplicación en el mercado nacional.
Según un estudio de la compañía de ciberseguridad Surfshark, la respuesta de Bruselas contrasta con el enfoque estadounidense, donde un total de 762 iniciativas legislativas sobre IA siguen abiertas en las cámaras estatales y apenas 31 han sido aprobadas por otros cauces formales. La fragmentación se hace patente: cada uno de los cincuenta estados ha registrado propuestas y la mayoría continúa en fase de análisis.
Entre los territorios más activos figuran: Nueva York (106 textos), Texas (72), Nueva Jersey (67), Massachusetts (49) y Virginia (46); les siguen Illinois, California, Maryland, Hawái, Georgia y Montana, con cifras que oscilan entre 32 y 45 iniciativas. Su contenido va desde la privacidad y la ética hasta el impacto de la IA en el empleo o la seguridad pública.
En conjunto, la sanidad, la administración pública, la educación, el sector privado y el ámbito penal concentran casi la mitad de los proyectos. El uso penal apenas supone el 8,3% del total, pero es uno de los pocos apartados con textos que han logrado avanzar: solo dos esperan la firma de un gobernador y tres se han convertido ya en ley, como el caso de Tennessee, que permitiría reclamar hasta 150.000 dólares por daños derivados de deepfakes.
El Reglamento europeo, se basa en el riesgo: cuanto mayor sea el potencial perjuicio para la sociedad, mayor será la exigencia de control y transparencia. La norma prioriza la protección de los derechos fundamentales (especialmente en reconocimiento biométrico, sanidad o fuerzas de seguridad), impulsa la rendición de cuentas y prevé apoyos a la innovación ética, con el fin de forjar un mercado único para la IA en los Veintisiete.
El artículo 99 del texto comunitario fija las citadas sanciones económicas para las prácticas calificadas de riesgo inaceptable, mientras que el anteproyecto español aspira a concretar los mecanismos de supervisión y a asegurar la coherencia jurídica dentro del país.
Desde el plano técnico, el ingeniero jefe de sistemas de Surfshark, Karolis Kaciulis, observa paralelismos con la llegada del RGPD: considera que la regulación vuelve a llegar tarde y que los grandes modelos de lenguaje ya han incorporado datos personales cuyo rastro resulta imposible de borrar. A su juicio, la única vía de cumplimiento pleno pasaría por rehacer los sistemas desde cero con reglas de recopilación y uso de datos más estrictas, un reto que choca con la velocidad actual del desarrollo de la IA.
La disparidad entre la respuesta centralizada de la UE y la fragmentación de EE. UU. plantea, en definitiva, la misma pregunta que hace un año: ¿podrán estas normas seguir el ritmo de una tecnología que avanza mucho más rápido que los boletines oficiales?
