El pasado 1 de agosto de 2024, entró en vigor el Reglamento europeo de Inteligencia Artificial (en adelante, el “RIA”). El RIA tiene por objeto establecer un marco jurídico uniforme en todos los estados miembros de la Unión Europea (en adelante, la “UE”) que regule el desarrollo y la aplicación de la inteligencia artificial (en adelante, la “IA), así como que mitigue los riesgos que se derivan de su uso.
La UE fue pionera en la regulación de esta tecnología. El proceso regulatorio empezó en abril de 2021 con la proposición por la Comisión Europea del primer marco regulador de la UE y el acuerdo del Consejo y el Parlamento acerca de su regulación parlamentaria (sobre esta cuestión puede verse nuestro artículo: «NUEVO ACUERDO DE LA UE SOBRE LA REGULACIÓN DE LA INTELIGENCIA ARTIFICIAL»), la proposición finalmente se materializó en marzo de 2024 con la adopción del RIA por el Parlamento Europeo, su aprobación en mayo de 2024 por el consejo y finalmente ahora con su entrada en vigor.
A continuación, describiremos su ámbito de aplicación, las principales obligaciones legales que impone a las empresas de la Unión Europea (públicas y privadas), las disposiciones que resultan aplicables desde su entrada en vigor, así como aquellas que entrarán en vigor en los próximos meses.
Ámbito de aplicación
Al igual que el Reglamento General de Protección de Datos (RGPD), el RIA tiene un alcance extraterritorial, es decir, su aplicación no depende únicamente de la ubicación de los agentes de comercialización de IA, sino que también atiende a la naturaleza del sistema o modelo de IA, así como a la ubicación de la información o el producto generado por el sistema de IA.
En particular, según dispone su artículo 2, el RIA resulta de aplicación a (i) proveedores que comercialicen o pongan en servicio sistemas de IA o modelos de IA de uso general en la UE, con independencia de que dichos proveedores estén o no ubicados en un estado miembro de la UE; (ii) implantadores de sistemas de IA establecidos o ubicados en la UE; (iii) proveedores e implantadores de sistemas de IA cuyo producto generado por IA se utilice en la UE (independientemente de que estén ubicados o establecidos en un tercer país); (iv) importadores y distribuidores de sistemas de IA; (v) fabricantes que comercialicen o pongan en servicio un sistema de IA junto con su producto bajo su propio nombre o marca; (vi) representantes autorizados de los proveedores de sistemas de IA que no estén establecidos en un estado miembro de la UE; (iv) personas afectadas que estén ubicadas en la UE.
Niveles de riesgo de los sistemas IA
La entrada en vigor del RIA supone, tanto para entidades públicas como privadas, el cumplimiento de obligaciones concretas que dependerán principalmente del nivel de riesgo del sistema o modelo de IA que manejen, con unas sanciones aparejadas que dependen principalmente del tamaño del proveedor del sistema de IA.
El RIA define en primer lugar como Sistema de Inteligencia Artificial, aquel sistema con cierto grado de autonomía que, utilizando datos y entradas proporcionados por humanos o máquinas, deduce como alcanzar objetivos o respuestas propuestos. Y para ello, emplea técnicas basadas en el aprendizaje automático, el razonamiento o la modelización y es ésta su principal característica que lo diferencia de un mero programa informático, un sistema de software o un planteamiento de programación tradicional. A continuación, el RIA establece 3 niveles de riesgo en función del uso de la IA que utilice el sistema y una cuarta categoría de riesgo inaceptable o prácticas prohibidas. En este artículo nos centraremos en la categoría de riesgo inaceptable y en los sistemas de alto riesgo al ser esta última categoría la que impone más obligaciones a sus “responsable del despliegue” o “deployers”, es decir, a la persona o empresa que utilice este tipo de sistemas para fines profesionales.
Riesgo inaceptable o prácticas prohibidas
El RIA prohíbe todo sistema o modelo de IA de “riesgo inaceptable”, entre los que se incluyen aquellos sistemas que empleen técnicas subliminales, manipuladoras o engañosas para influir en el comportamiento de una persona o grupo para que haga algo que le resulte perjudicial, aquellos que se aprovechen de las vulnerabilidades de un determinado grupo o colectivo con el objeto de alterar su comportamiento con resultados perjudiciales. También prohíbe expresamente los sistemas de “Social Scoring”, es decir, aquellos sistemas de IA para evaluar o clasificar personas o colectivos según su comportamiento social, entre otros.
Sistemas de alto riesgo
El RIA considera que un sistema de IA posee un riesgo alto cuando su uso suponga un peligro significativo para la salud, la seguridad o los derechos fundamentales. A su vez, distingue dos subcategorías de alto riesgo, (i) sistemas vinculados a la legislación armonizada sobre seguridad de productos, que por su regulación sectorial deben someterse a una evaluación especial (Anejo I del RIA) y, (ii) sistemas que por el sector donde se emplean o el uso específico al que están destinados, el RIA considera que presentan un alto riesgo (Anejo III del RIA).
Entre estos sistemas podemos destacar por su ámbito (Anejo III del RIA), aquellos sistemas de IA de identificación biométrica, los sistemas de IA que se encarguen de la seguridad y gestión de infraestructuras críticas, de la educación y formación profesional, la gestión de trabajadores, los servicios públicos y privados esenciales, los relacionados con la garantía de cumplimiento del Derecho y la administración de la justicia entre otros.
No obstante, si bien un caso concreto puede incardinarse dentro de un sistema de IA de alto riesgo, por ejemplo, por utilizar la identificación biométrica, no se considerará de alto riesgo si el uso de IA no plantea un riesgo importante de dañar un derecho fundamental, la salud o la seguridad. Por tanto, a priori parece que el RIA planteará una serie de problemas a la hora de determinar en qué condiciones se entiende que hay un riesgo real de causar un perjuicio. De hecho, el RIA plantea de inicio que la Comisión elabore una lista exhaustiva de ejemplos concretos de sistemas de IA de alto riesgo y de bajo riesgo con el objeto de facilitar la clasificación de los sistemas de IA.
Obligaciones a las empresas que utilizan sistemas de IA de alto riesgo.
Las principales obligaciones que impone el RIA a los proveedores de sistemas de IA de alto riesgo incluyen:
- La implementación de un sistema de gestión de riesgos para identificar y mitigar aquellos relacionados con la salud, seguridad y derechos fundamentales.
- Una gestión adecuada de los datos de entrenamiento y prueba que asegure la corrección, pertinencia y representación estadística de los datos, evitando sesgos que afecten negativamente a los usuarios.
- Un contenido mínimo de documentación técnica actualizada que pruebe el cumplimiento de los requisitos exigidos por el RIA, con un contenido mínimo que establecerá la Comisión Europea.
- La obligación de informar a los usuarios sobre las capacidades del sistema, su precisión, su alcance y aplicación. Y en caso de un uso profesional en el lugar de trabajo, la obligación de informar de este hecho a los trabajadores y a sus representantes legales.
La obligación de información incluye el deber de transparencia del proveedor de IA con sus usuarios o personas afectadas acerca del funcionamiento y resultados que genere. Un ejemplo de ello es la obligación de informar a la persona afectada cuando esté interactuando directamente con un sistema de IA y no con una persona real, o, el deber de (i) marcar aquellos resultados de salida que se corresponden a contenido generado o manipulado artificialmente con el fin de distinguirlos de los que no han sido manipulado y (ii) informar y hacer público el contenido generado o manipulado artificialmente cuando el contenido producido se asemeje a personas reales y puedan constituir una ultra suplantación o “Deep fake”.
- Custodia obligatoria de todos aquellos archivos de registro que genere el sistema de IA y estén en su control.
- La supervisión humana obligatoria del sistema de IA para minimizar sus riesgos, por ejemplo, a través de la verificación por una o más personas físicas del resultado o salida de datos que genere el sistema de IA.
- Garantizar la formación e idoneidad del personal que se encargue del funcionamiento y utilización de los sistemas de IA.
- Precisión y ciberseguridad de los sistemas de IA que garantice que estos sean precisos, robustos y seguros, con la implementación medidas específicas contra la manipulación de datos.
- Colaboración con las autoridades en la comunicación de incumplimientos o riesgos que se detecten, así como el deber de informar y aportar toda aquella información y documentación que éstas le soliciten.
- Registro obligatorio del sistema de IA en la base de datos de la UE antes de ponerlo en servicio o en el mercado, a excepción de aquellos sistemas de IA del sector público que estén destinados al control de fronteras, inmigración, orden público o asilo
- Evaluación obligatoria de impacto en materia de derechos fundamentales para aquellos organismos de derecho público o entidades privadas que presten servicios públicos y utilicen sistemas de IA de alto riesgo.
Asimismo, el RIA establece que el cumplimiento de estas obligaciones y requisitos por los proveedores y usuarios de sistemas IA será supervisado por una “autoridad notificante” que deberá designar cada estado miembro con el fin de asegurar y monitorizar una correcta gestión del riesgo por los agentes de comercialización de IA. Asimismo, el RIA crea una nueva institución, el Comité Europeo de IA», con un representante de cada estado miembro, con el fin de cooperar y continuar desarrollando un marco regulatorio armonizado de la IA en la UE.
Entrada en vigor
El RIA entró en vigor el pasado 1 de agosto si bien no será plenamente aplicable hasta pasados 36 meses desde su entrada en vigor según el precepto en cuestión. En particular la prohibición de sistemas de IA que plantean riesgos inaceptables aplica a partir de principios de 2025, 6 meses después de la entrada en vigor del RIA y, las obligaciones y requisitos exigidos a los proveedores de sistemas de IA de alto riesgo a partir de agosto de 2027, pasados 36 meses desde su entrada en vigor. Si bien, alguna de estas obligaciones, como la de información y transparencia aplican a partir de agosto de 2025, 12 meses después de su entrada en vigor.
El RIA es la culminación de un lento y controvertido proceso regulatorio por parte de las instituciones europeas. No obstante, su impacto dependerá de su adopción por los distintos estados miembros de la UE, que ya muestra divergencias iniciales en su interpretación. Además, cabe destacar que el RIA no pretende regular por completo la IA, sino que se complementará con otras dos iniciativas legislativas aún en fase de tramitación, (i) la propuesta de Directiva sobre responsabilidad civil en materia de IA que tiene como objetivo principal regular la responsabilidad civil extracontractual por daños y perjuicios causados por sistemas de IA y, (ii) la Propuesta de Directiva sobre responsabilidad por los daños causados por productos defectuosos.
Julio González
Vilá Abogados
Para más información, contacte con:
23 de agosto de 2024