De retoques y deepfakes en la visión del Parlamento Europeo sobre la regulación algorítmica
El proceso de elaboración normativa en materia de inteligencia artificial presenta una paradoja inherente que resulta particularmente evidente cuando observamos la evolución reciente del Reglamento de Inteligencia Artificial. Por un lado, la velocidad vertiginosa con la que se suceden los avances tecnológicos exige una pronta respuesta jurídica que evite el vacío regulatorio; por otro, la complejidad técnica de estos sistemas obliga a posponer la entrada en vigor de determinadas obligaciones hasta que los estándares técnicos resulten maduros y aplicables. Debe tenerse presente que esta tensión entre la celeridad y la prudencia no es nueva en el derecho, pero adquiere en el contexto digital una intensidad sin precedentes.
La reciente posición adoptada por los Miembros del Parlamento Europeo en las comisiones de Mercado Interior y Protección del Consumidor y de Libertades Civiles, Justicia y Asuntos de Interior, con 101 votos favorables frente a 9 en contra y 8 abstenciones, ilustra magistralmente esta realidad. Los parlamentarios han reconocido que la fecha original de aplicación de ciertas normas sobre sistemas de alto riesgo —fijada para el 2 de agosto de 2026— resulta impracticable dado que los estándares técnicos fundamentales aún no han visto la luz. Lo anterior me sugiere que estamos asistiendo a un fenómeno recurrente en la historia del derecho tecnológico: la promulgación de normas cuya eficacia queda supeditada a la maduración de infraestructuras técnicas que escapan al control del legislador.
II. El nuevo calendario de aplicación y sus implicaciones jurídicas
Los Miembros del Parlamento Europeo han propuesto un sistema de fechas ciertas que, lejos de constituir un mero aplazamiento burocrático, representa un intento de dotar de predictibilidad a un entorno normativo caracterizado por su volatilidad. Para los sistemas de inteligencia artificial de alto riesgo específicamente enumerados en el reglamento —aquellos que involucran biométrica, infraestructuras críticas, educación, empleo, servicios esenciales, aplicación de la ley, administración de justicia o gestión de fronteras— se propone el 2 de diciembre de 2027 como nueva fecha de aplicación. Entiendo que este plazo adicional de más de diecisiete meses responde a la necesidad de que los operadores dispongan de tiempo suficiente para adaptar sus sistemas a requisitos técnicos que, en muchos casos, aún están siendo definidos por los organismos de normalización.
Una distinción particularmente relevante emerge en relación con aquellos sistemas que se encuentran regulados por legislaciones sectoriales específicas en materia de seguridad y vigilancia del mercado. Para estos supuestos, se propone una fecha aún más lejana: el 2 de agosto de 2028. Considero que esta diferenciación temporal revela una inteligente comprensión de la arquitectura normativa europea, que evita la superposición de obligaciones y reconoce que ciertos productos —como dispositivos médicos, equipos de radio o juguetes— ya se encuentran sometidos a regímenes de seguridad rigurosos que, en principio, deberían resultar suficientes para garantizar la protección de los usuarios.
No obstante, hay que reseñar que estas posposiciones conllevan un riesgo jurídico que no debemos subestimar. Cuando aplazamos la aplicación de normas fundamentales por períodos tan prolongados, abrimos la puerta a que tales preceptos sufran modificaciones sustanciales durante el interregno, llegando incluso a quedar irreconocibles respecto de su configuración original. Ello me obliga a deducir que el legislador está apostando por una estrategia de flexibilidad normativa que, si bien pragmática en el corto plazo, podría generar incertidumbre en el medio y largo plazo.
III. La prohibición de sistemas de desnudificación y el reto de los deepfakes
Entre las novedades más llamativas de la posición parlamentaria destaca la propuesta de prohibir expresamente los sistemas denominados "nudificadores", aquellos que emplean inteligencia artificial para crear o manipular imágenes de carácter sexualmente explícito o íntimo que se asemejan a personas reales identificables sin su consentimiento. La solución, aparentemente sencilla sobre el papel, se enfrenta a una realidad que resulta considerablemente más compleja cuando examinamos su aplicación práctica.
Asumo que la intención del legislador es encomiable: proteger la dignidad de las personas frente a una de las manifestaciones más degradantes de la tecnología aplicada al género. Sin embargo, cabe plantear serias dudas sobre la efectividad real de una norma que pretende poner cadenas a la indomable bestia de Internet. La naturaleza descentralizada de la red, la velocidad de propagación de los contenidos digitales y la dificultad de identificar a los responsables de tales creaciones hacen que la prohibición normativa, aunque simbólicamente potente, enfrente serios desafíos de enforceability. La excepción introducida por los parlamentarios —aquellos sistemas que incorporen medidas de seguridad efectivas para impedir la creación de tales imágenes— resulta igualmente problemática, pues la tecnología de detección y prevención suele ir siempre un paso por detrás de la tecnología de creación.
Esta cuestión nos lleva a reflexionar sobre los límites intrínsecos del derecho cuando se enfrenta a fenómenos tecnológicos transnacionales y de difusión viral. La prohibición de los deepfakes no violentos —es decir, aquellos que no constituyen material de abuso sexual infantil o pornografía de venganza ya tipificada— introduce una categoría jurídica novedosa que deberá convivir con la libertad de expresión y la creación artística. El equilibrio resulta particularmente difícil cuando la falsedad de la imagen resulta indistinguible de la realidad para el observador medio.
IV. Flexibilidad administrativa y protección de los operadores económicos
Los Miembros del Parlamento Europeo han incluido en su posición diversas medidas orientadas a facilitar la adopción de sistemas de inteligencia artificial por parte de las empresas de la Unión Europea. Entre ellas, destaca la posibilidad de que los proveedores de servicios procesen datos personales para detectar y corregir sesgos en los sistemas de inteligencia artificial, siempre que existan salvaguardias que garanticen la estricta necesidad de dicho tratamiento. Esta flexibilización resulta esencial para que los algoritmos puedan ser auditados y mejorados sin incurrir en infracciones del Reglamento General de Protección de Datos.
Igualmente relevante resulta la propuesta de extender las medidas de apoyo existentes para pequeñas y medianas empresas a las denominadas pequeñas empresas de capital mediano. Ello reconoce que la transición desde la condición de pequeña empresa hasta alcanzar una escala superior no debe significar la pérdida inmediata de todos los mecanismos de apoyo, permitiendo un crecimiento orgánico que beneficia al conjunto del tejido económico.
V. Consideraciones finales sobre la eficacia normativa
El paquete de simplificación aprobado por las comisiones parlamentarias representa un intento honesto de adaptar el ordenamiento jurídico a una realidad que se nos escapa entre los dedos. Sin embargo, no podemos ignorar que cada posposición, cada excepción y cada aclaración sobre la interacción con otras normas sectoriales diluye en cierta medida la aspiración original de crear un marco regulatorio unitario y coherente para la inteligencia artificial.
La prohibición de los sistemas de desnudificación, por muy necesaria que resulte, nos enfrenta a la pregunta fundamental sobre si el derecho puede anticiparse a la tecnología o si, por el contrario, debe conformarse con perseguir sus excesos una vez perpetrados. La respuesta del Parlamento Europeo apunta hacia una regulación preventiva, aunque la experiencia jurídica nos advierte sobre la dificultad de contener mediante normas escritas aquellas conductas que encuentran en la red un territorio de impunidad relativa.
En definitiva, la regulación de la inteligencia artificial sigue siendo un trabajo en construcción, donde los plazos de aplicación son variables y los objetivos normativos deben negociarse constantemente con las posibilidades técnicas y económicas de los operadores. El próximo paso, una vez celebrada la votación en sesión plenaria prevista para el 26 de marzo, será el diálogo con el Consejo, donde estas posposiciones podrían sufrir nuevas modificaciones antes de convertirse en norma definitiva.