El EU AI Act no protege a nadie (todavía)

La promesa

El 13 de marzo de 2024, el Parlamento Europeo aprobó el AI Act con 523 votos a favor. La narrativa fue clara: Europa sería el primer continente en regular la inteligencia artificial de forma integral. Los titulares celebraron. Los legisladores posaron para las fotos. Y la pregunta que nadie hizo en voz alta fue la más importante: ¿a quién protege esto exactamente?

No es una pregunta retórica.

El problema de categorizar lo que no entiendes

El AI Act opera sobre una premisa simple: clasificar los sistemas de IA por niveles de riesgo. Riesgo inaceptable, alto, limitado, mínimo. Cada nivel trae obligaciones distintas. La lógica parece razonable hasta que intentas aplicarla.

Un modelo de lenguaje que genera texto — ¿es riesgo alto o limitado? Depende. Si genera un contrato legal, podría ser alto. Si genera un poema, mínimo. Pero es el mismo modelo. La misma arquitectura. Los mismos pesos. Lo que cambia no es el sistema, sino el contexto de uso. Y el contexto de uso no es algo que puedas clasificar ex ante.

Aquí está el problema filosófico de fondo: el AI Act intenta regular objetos como si fueran estáticos. Pero un LLM no es un producto con una función predefinida. Es una capacidad general que adquiere función en el momento de su despliegue. Regular capacidades generales con categorías fijas es como intentar clasificar el lenguaje humano por nivel de peligrosidad — podrías hacerlo, pero no serviría de nada.

Lo que el GDPR enseñó (y lo que no aprendimos)

Cuando el GDPR entró en vigor en 2018, la expectativa era similar: Europa liderando la protección de datos personales. Seis años después, las Big Tech siguen operando con los mismos modelos de negocio. Las multas, cuando llegan, son un costo operativo. Y el ciudadano promedio sigue sin entender qué datos suyos están siendo procesados ni cómo.

El GDPR falló en ejecución, no en intención. El AI Act tiene el mismo riesgo, amplificado. Porque mientras los datos personales al menos son conceptualmente delimitables — sabes qué es un nombre, una dirección IP, un dato biométrico — la inteligencia artificial no lo es. No hay consenso técnico sobre qué constituye un "sistema de IA". El propio Act define IA de forma tan amplia que podría incluir desde un modelo de difusión hasta una hoja de cálculo con macros.

Una regulación que no puede definir su objeto no puede proteger a nadie.

El vacío entre la norma y la realidad técnica

Hay un patrón que se repite en la historia del derecho tecnológico: la norma llega tarde, y cuando llega, describe un mundo que ya no existe.

El AI Act fue diseñado fundamentalmente entre 2021 y 2023. En ese período, los LLMs pasaron de ser curiosidades académicas a infraestructura productiva. GPT-4 no existía cuando se redactaron los primeros borradores. Los sistemas multimodales eran ciencia ficción. Y sin embargo, la regulación pretende cubrir los próximos diez años.

No es culpa de los legisladores. Es una limitación estructural del derecho positivo frente a la innovación exponencial. La ley opera por definiciones. La tecnología opera por transformaciones. Cada vez que fijas una definición, la realidad ya se movió.

¿Entonces qué?

No estoy argumentando contra la regulación. Estoy argumentando contra la ilusión de que ya tenemos una.

Lo que tenemos es un marco. Un punto de partida. Un documento de 400 páginas que necesitará interpretación, jurisprudencia, guías técnicas y, sobre todo, iteración. El peligro no es que el AI Act sea imperfecto — toda ley lo es. El peligro es que su existencia genere una falsa sensación de seguridad.

Que los ciudadanos crean que están protegidos. Que las empresas crean que cumplir el checklist es suficiente. Que los gobiernos crean que el trabajo está hecho.

El trabajo apenas empieza.

Lo que propongo observar

Tres señales indicarán si el AI Act realmente funciona:

Primera: si las PyMEs europeas de IA pueden cumplir con los requisitos sin ser expulsadas del mercado por costos de compliance. Si solo las Big Tech pueden cumplir, la regulación habrá consolidado el oligopolio que pretendía controlar.

Segunda: si los ciudadanos tienen mecanismos reales — no teóricos — para impugnar decisiones automatizadas que les afectan. Un derecho que no puedes ejercer no es un derecho.

Tercera: si la Oficina Europea de IA tiene la capacidad técnica para auditar los modelos que pretende supervisar. Regular lo que no puedes inspeccionar es teatro regulatorio.

Hasta que esas tres condiciones se cumplan, el AI Act es una declaración de intenciones. Importante, sí. Necesaria, probablemente. Pero protección real, todavía no.