La inteligencia artificial ya ha penetrado, o está a punto de hacerlo, en casi todos los ámbitos de la vida y avanza más rápido que la capacidad de las instituciones para regularla. Incluso los defensores de la desregulación admiten sus riesgos, sobre todo en materia de privacidad. Hace dos años, el entonces comisario de Mercado Interior, Thierry Breton, celebraba que la Unión Europea (UE) «volvía a ser pionera» con la primera ley integral sobre IA que serviría para acotar esos riesgos. Hoy, el panorama es otro: Washington ha vetado la entrada al país a Breton, alegando «censura» a las plataformas tecnológicas estadounidenses y la Comisión Europea (CE), en nombre de la competitividad frente a EEUU y China, plantea una moratoria a aquella norma. Un giro de guion marcado por la presión de la Administración Trump y su apuesta por blindar a las big tech bajo la lógica de laissez faire.

Para Eva Rodríguez de Luis, ingeniera experta en nuevas tecnologías y colaboradora de 7K, la aprobación de la AI Act –en vigor desde agosto de 2024, aunque con una implementación de su grueso prevista dos años después– dibujaba un escenario de «dos velocidades»: una más lenta y dosificada dentro de la UE, y otra «a velocidad de crucero» fuera del continente. Sobre todo, claro está, en EEUU y China, con Washington apostando por una desregulación casi total que facilita a las big tech explotar ingentes cantidades de datos, y Pekín apoyándose en una estrategia estatal muy coordinada y centralizada, en su ventaja estructural en infraestructuras y, en parte, en iniciativas de código abierto y poca burocracia.

Ese desfase tiene, según Rodríguez de Luis, una base estructural difícil de corregir a corto plazo. «A Europa le falta tejido industrial innovador», explica, lo que sitúa a empresas como Aleph Alpha, desde Alemania, Freepik, desde el Estado español, o Mistral, desde el Estado francés, en una carrera en la que «parten con desventaja» frente a sus competidores. A ello se suma la ausencia de una regulación global, que deja a la UE en una encrucijada permanente: legislar en solitario puede lastrar sus opciones de competir en innovación, pero renunciar a hacerlo «es un atentado a la humanidad», remarca. «Las big tech no pueden ni deben hacer lo que les venga en gana», advierte, porque la IA conlleva riesgos «muy serios» que afectan de lleno a ámbitos como el consumo energético, la privacidad, las infraestructuras críticas y la discriminación.

Por esta misma razón, la IA Act ofrecía un enfoque que categoriza los niveles de riesgo y las restricciones que deben acompañar a cada estado en función de la escala. Así, los sistemas que vulneran derechos fundamentales de forma grave, como el social scoring, se consideran de riesgo inaceptable y están prohibidos. Por debajo están las aplicaciones de alto riesgo, donde se incluyen  la identificación biométrica y categorización de personas –por ejemplo, para la contratación de personal o evaluar si se concede un préstamo–, que requieren de una supervisión permanente. Ahora, la CE propone retrasar la inspección a la que se debería someter a estos sistemas de IA de alto riesgo «un máximo de 16 meses».

Estos ejemplos forman parte de lo que se denomina IA específica, un entramado de sistemas muy distintos de los grandes modelos de lenguaje propios de la IA generativa. «Sirven, por ejemplo, para detectar un cáncer a partir de una radiografía», explica Itziar Alkorta, profesora titular de Derecho Civil en EHU y experta en bioética y regulación de nuevas tecnologías. A su juicio, Europa es más competitiva precisamente en este tipo de IA y es ahí donde «la simplificación de procedimientos sí puede tener más sentido», señala, ya que se trata de ámbitos en los que se busca contar con protocolos sólidos y sistemas de control más competentes.

De Chat GPT a Gemini

Sin embargo, la moratoria para la IA específica forma parte de un paquete de medidas conocido como ómnibus digital. Aunque este no introduce una prórroga general para los modelos de IA generativa como Chat GPT o Gemini, Alkorta señala que sí establece un periodo de gracia: los sistemas desplegados antes del 2 de agosto de 2026 dispondrán hasta el 2 de febrero de 2027 para adaptarse a las obligaciones técnicas de marcado y detectabilidad de contenidos generados por inteligencia artificial.

En el Estado español, en torno al 50% de las empresas ya utiliza este tipo de herramientas y, aunque por ahora lo hace cerca del 18% de los trabajadores, su uso entre la población es cada vez más amplio. Hoy, cuatro de cada diez personas han recurrido recientemente a la IA generativa por motivos laborales, educativos o privados, y uno de cada dos jóvenes la ha utilizado en su vida cotidiana. Todo apunta a que, en los próximos meses, estos porcentajes seguirán al alza. «Si se plantea ese periodo de adaptación, imagina el grado de implantación que van a tener estas IA», advierte Alkorta.

A su juicio, ese es precisamente el escenario que buscan las grandes empresas estadounidenses, es decir, convertir esta tecnología en algo irrenunciable antes de que se tomen decisiones regulatorias. «Si la IA generativa tuviera que pasar los filtros que marca la normativa europea, probablemente no podría utilizarse en Europa, y eso les preocupa mucho», explica. De ahí, añade, el interés en una especie de prórroga que permita que la sociedad europea dependa ya de estas herramientas y la UE se vea forzada a aceptar estándares más bajos para su aprobación.

¿Y qué supondría esta especie de prórroga para la ciudadanía? Alkorta advierte de que las versiones actuales de la IA generativa son «cada vez más potentes», pero «profundamente opacas». «No son plenamente trazables y resulta difícil saber en qué servidores terminan nuestros datos», afirma.

¿Qué es un dato?

Precisamente, entre los cambios más controvertidos del paquete de simplificación· digital que prepara la CE figura una revisión de calado del Reglamento General de Protección de Datos (RGPD). Ahora, un conjunto de normas dispersas se unificarán bajo el paraguas de esa norma con el objetivo declarado de «impulsar medidas adicionales para el entrenamiento de modelos de IA», lo que permitiría a Google, Meta, OpenAI utilizar los datos personales de los ciudadanos de la UE para entrenar sistemas de IA.

Además, se pretende permitir consentimientos generales en materia de cookies y eliminar recordatorios periódicos, lo que, según Bruselas, mejora la experiencia del usuario, mientras que para Alkorta facilita el perfilado masivo de quienes no gestionen activamente sus datos.

«La simplificación es un eufemismo», dice, también cuando se habla de qué es un dato personal. Hasta ahora, la norma europea partía de un criterio claro. Si una información podía relacionarse con una persona, directa o indirectamente, debía estar protegida. Los datos anonimizados, en los que ya no es posible identificar a nadie, como pueden ser estadísticas sanitarias agregadas, quedaban fuera porque no planteaban riesgos para la privacidad.

El problema aparece con los datos pseudonimizados. Son datos a los que se les ha retirado el nombre, pero no la identidad por completo. Por ejemplo, un historial médico vinculado a un código. La persona no figura de forma directa, pero podría volver a identificarse si alguien accede a la clave que relaciona ese código con un individuo concreto. Hasta ahora, ese riesgo bastaba para que siguieran protegidos por la ley.

No obstante, el criterio se ha estrechado al calor de la doctrina del Tribunal de Justicia de la Unión Europea, que ha señalado que un dato pseudonimizado puede dejar de ser personal para quien lo utiliza si no tiene un acceso razonable a esa clave y la reidentificación exige un esfuerzo desproporcionado. En la práctica, esto amplía de forma significativa el uso de grandes volúmenes de información sin necesidad de recabar el consentimiento de las personas afectadas.

¿Pulso en el Parlamento Europeo?

Tras estas propuestas del Ejecutivo comunitario planea el informe de Mario Draghi, expresidente del Banco Central Europeo (BCE) y asesor clave de Ursula Von der Leyen en materia de competitividad, que abogó por aplicar la ley de IA «de forma proporcionada» para no frenar la innovación. La actual presidenta del BCE, Christine Lagarde, también ha pedido eliminar trabas regulatorias en nombre de la «prosperidad».

Pero más que las influyentes figuras europeas neoliberales pesa la influencia, como señaló el propio Breton, de Donald Trump. Desde que el presidente de EEUU aterrizó en la Casa Blanca, afirma Oihane Agirregoitia, parlamentaria europea del PNV, «hemos visto multiplicarse las presiones». Recuerda, en ese sentido, que el secretario de Comercio estadounidense llegó a vincular una posible rebaja de los aranceles al acero y al aluminio con una relajación de las normas digitales europeas. «Es una postura chantajista y absolutamente inaceptable. Todo el que quiera hacer negocios en Europa debe cumplir nuestras reglas», sostiene.

Sobre el ómnibus digital, Agirregoitia admite que hay elementos positivos de simplificación y seguridad jurídica, pero pone límites claros. «Simplificar y reducir burocracia sí, especialmente para las pyme, pero sin renunciar a nuestros valores ni debilitar la protección de los derechos fundamentales», subraya, y avisa de que su grupo estará «muy atento» a que  no se debilite el RGPD ni la soberanía de las personas sobre sus datos.

Pernando Barrena, parlamentario de EH Bildu, sitúa el ómnibus digital en una lógica de desregulación impulsada por la carrera geopolítica de la IA. A su juicio, el argumento de la competitividad frente a EEUU y China esconde un riesgo mayor. «Si desregular da ventaja, mañana podríamos dejar de controlar los alimentos por razones fitosanitarias. Es un argumento peligroso», advierte. En su opinión, la simplificación propuesta «pone patas arriba la protección del derecho a la privacidad» y abre la puerta a un debilitamiento general de los derechos digitales.

Así, Barrena alerta de que la reforma puede «aguar la definición de dato personal» y facilitar el acceso de las grandes tecnológicas a información sobre «gustos, hábitos, inclinaciones o comportamientos online», lo que permitiría «un perfilado masivo y discriminatorio».

Además, advierte de que el paquete aún debe pasar por el Parlamento Europeo y el Consejo Europeo y de que «no está nada claro que vaya a salir adelante», porque existe una preocupación creciente incluso entre grupos que antes apoyaron el marco regulatorio europeo como los socialdemócratas. Por ahora, subraya, el desenlace sigue abierto.