El 12 de julio de 2024, ha sido publicado en el Diario Oficial de la Unión Europea (DOUE) el Reglamento de Inteligencia Artificial de la Unión Europea (RIA), y entrará en vigor (por fin) el 1 de agosto.
Este marco regulador es la primera iniciativa regulatoria integral a nivel mundial en establecer directrices y normativas específicas para el desarrollo, despliegue y uso de la IA, y representa un hito significativo en la legislación tecnológica. El reglamento busca asegurar que la IA se desarrolle y utilice de manera ética y segura, minimizando los riesgos asociados y promoviendo la innovación responsable.
A. Objetivos del Reglamento
El principal objetivo del Reglamento de IA es garantizar la seguridad y los derechos fundamentales de los ciudadanos de la UE frente a los riesgos potenciales de la IA. Para lograrlo, se establecen una serie de requisitos y obligaciones tanto para los desarrolladores como para los usuarios de sistemas de IA. Estos requisitos se estructuran en función del nivel de riesgo que representan las aplicaciones de IA, categorizándolas en cuatro niveles: riesgo inaceptable, alto riesgo, riesgo limitado y riesgo mínimo.
A.1. Riesgo Inaceptable
El reglamento prohíbe ciertos usos de la IA considerados inaceptables debido a su potencial para causar daños significativos. Entre estos usos se incluyen:
- Sistemas de IA que manipulen comportamientos humanos: Por ejemplo, aquellos que utilizan técnicas subliminales para influir en personas de manera que las hagan actuar contra sus intereses.
- Puntuaciones sociales: La utilización de IA por parte de las autoridades públicas para puntuar a los ciudadanos basándose en su comportamiento social.
- Reconocimiento facial en tiempo real en espacios públicos: Con excepciones muy limitadas, como la búsqueda de un sospechoso de un crimen grave.
A.2. Riesgo Alto
Los sistemas de IA considerados de alto riesgo están sujetos a estrictos requisitos debido a su potencial impacto en la seguridad o los derechos fundamentales. Las áreas cubiertas por esta categoría incluyen:
- Infraestructura crítica: Como la energía y el transporte, donde fallos en los sistemas de IA podrían poner en riesgo la vida o la salud.
- Educación y formación profesional: Sistemas que determinan el acceso a la educación o la carrera profesional de una persona.
- Empleo y gestión de trabajadores: IA utilizada en procesos de contratación, evaluación de desempeño y terminación de contratos.
- Servicios esenciales: Como la banca y los servicios públicos, donde errores en los sistemas de IA podrían afectar significativamente a los ciudadanos.
Obligaciones para Sistemas de Alto Riesgo
Para los desarrolladores y usuarios de sistemas de IA de alto riesgo, el reglamento impone varias obligaciones:
- Gestión de riesgos: Implementar un sistema de gestión de riesgos para identificar, analizar y mitigar los riesgos potenciales.
- Documentación técnica: Mantener una documentación técnica detallada que permita evaluar la conformidad del sistema de IA con los requisitos del reglamento.
- Transparencia y provisión de información: Proveer información clara y comprensible sobre el funcionamiento del sistema de IA y sus limitaciones.
- Supervisión humana: Asegurar que los sistemas de IA de alto riesgo estén sujetos a supervisión humana adecuada para prevenir y mitigar riesgos.
- Registro y trazabilidad: Mantener registros de las operaciones del sistema de IA para garantizar la trazabilidad de sus decisiones.
A.3. Riesgo Limitado
Para los sistemas de IA considerados de riesgo limitado, el reglamento establece menos obligaciones, pero aun así requiere ciertas medidas para garantizar la transparencia y la responsabilidad. Los usuarios de estos sistemas deben:
- Proveer notificaciones: Informar a los usuarios cuando están interactuando con un sistema de IA, a menos que sea evidente por el contexto.
- Permitir la supervisión humana: Asegurar que existan mecanismos para la correcta supervisión humana cuando sea necesario (por ejemplo profesiones colegiadas como Abogados, Médicos, Arquitectos, Ingenieros, etc)
A.4. Riesgo Mínimo.
El hecho de que el RIA no establezca obligaciones específicas para las aplicaciones de IA que no estén incluidas dentro de las categorías anteriores, no implica que no de deban atender y gestionar los riesgos legales derivados del uso de la IA que puedan implicar ilícitos en materias relacionadas con Propiedad Intelectual, Protección de Datos, Confidencialidad, Secreto empresarial, Ciberseguridad, Defensa de Consumidores y Usuarios, Derecho Laboral, Derecho Civil, Derecho Penal etc.
B. Implicaciones para las Empresas
B.1. Desarrolladores de Sistemas de IA
Los desarrolladores de IA en la UE deben adaptar sus prácticas y procesos para cumplir con el nuevo reglamento. Esto implica:
- Evaluación de riesgos y conformidad: Realizar evaluaciones exhaustivas de riesgos y asegurar la conformidad con los requisitos técnicos y de transparencia.
- Inversiones en documentación y auditorías: Preparar documentación técnica detallada y someterse a auditorías de conformidad, especialmente para sistemas de alto riesgo.
- Desarrollo ético y seguro: Incorporar principios éticos y de seguridad en todas las fases del desarrollo de sistemas de IA.
B.2. Usuarios Empresariales de Sistemas de IA
Para las empresas que utilizan sistemas de IA, el reglamento implica:
- Selección de proveedores: Elegir proveedores de sistemas de IA que cumplan con el reglamento, especialmente para aplicaciones de alto riesgo.
- Supervisión y control: Implementar mecanismos de supervisión y control para asegurar el uso seguro y responsable de la IA.
- Capacitación y sensibilización: Capacitar a los empleados sobre el uso adecuado de la IA y sensibilizarlos sobre los riesgos y las obligaciones legales.
En definitiva, todas las empresas que vayan a usar y/o desarrollar sistemas de IA deben disponer de un Sistema de Gestión de Cumplimiento Legal de la IA que permita gestionar riesgos, no solo con respecto al RIA, sino también en materias como Propiedad Intelectual, Protección de Datos, Confidencialidad, Secreto empresarial, Ciberseguridad, Defensa de Consumidores y Usuarios, Derecho Laboral, Derecho Civil, Derecho Penal etc, así como un Plan de Formación y Capacitación para concienciar, capacitar y responsabilizar a empleados y directivos sobre el uso y desarrollo de la IA.
Plazos
El RIA entrará en vigor el 1 de agosto. A partir de esa fecha será plenamente aplicable 24 meses después, excepto: prohibiciones de prácticas prohibidas (6 meses después) códigos de práctica (9 meses después) normas de IA de uso general, incluida la gobernanza (12 meses después) y obligaciones para sistemas de alto riesgo (36 meses).
Autoridad de Control
Una de las instituciones clave en la implementación y supervisión de este reglamento es la Oficina de Inteligencia Artificial de la UE que deberá coordinar las actividades regulatorias y de supervisión a nivel europeo, asegurando una aplicación coherente y eficaz del reglamento en todos los Estados miembros. La oficina proporcionará orientación técnica y operativa a los desarrolladores y usuarios de IA, y actuará como punto central para la recepción y gestión de informes sobre incidentes relacionados con la IA. Además, la oficina se encargará de fomentar la cooperación entre los diferentes organismos nacionales y regionales (aquí en España la AESIA, Agencia Española de Supervisión de la IA), y de promover la investigación y el desarrollo en IA responsable.
Régimen Sancionador
El reglamento establece un régimen sancionador claro y robusto para garantizar el cumplimiento de sus disposiciones. Las infracciones pueden resultar en sanciones significativas, con multas que pueden llegar hasta el 7% del volumen de negocios anual global de la empresa infractora o 35 millones de euros, lo que sea mayor. Además, se contemplan sanciones específicas para diferentes tipos de infracciones, como la falta de conformidad con los requisitos de alto riesgo, la ausencia de documentación adecuada o la falta de transparencia. Este régimen sancionador tiene como objetivo no solo penalizar el incumplimiento, sino también disuadir a las empresas de adoptar prácticas negligentes en el desarrollo y uso de la IA.
Conclusión
- El Reglamento de Inteligencia Artificial de la UE marca un cambio significativo en la regulación de esta nueva era que se está iniciando, estableciendo un marco robusto para el desarrollo y uso de la IA.
- Para los desarrolladores y usuarios empresariales, es crucial entender y cumplir con estas nuevas normativas para no solo evitar sanciones, sino también para promover una IA ética y segura. La publicación de este reglamento representa un paso hacia un futuro donde la IA puede florecer en beneficio de todos, bajo principios claros de responsabilidad y protección de derechos.
- Las empresas que desarrollen, implementen o utilicen sistemas de IA deberán cumplir con la nueva regulación e implementar un Sistema de Gestión de Cumplimiento Legal "desde el origen" que garantice y acredite que se cumplen con las obligaciones aplicables.
- Las consecuencias de incumplimiento pueden conllevar sanciones económicas severas, reputacionales y/o legales (por infracción en materia de Propiedad Intelectual, Protección de Datos, Confidencialidad, Secreto empresarial, Defensa de Consumidores y Usuarios, Ciberseguridad, Penal, Administrativo, Laboral, etc.) que pueden poner en riesgo elevado la continuidad de la empresa y/o la viabilidad del modelo de negocio.
Sobre todo ello tendremos ocasión de detallar y de analizar con mayor profundidad en la sesión del Aula Abierta "El Reglamento de Inteligencia Artificial de la Unión Europea (RIA): Un Reglamento para una Nueva Era", prevista para el viernes 19 de julio a las 13h, donde se expondrá una hoja de ruta a modo de Plan Director con un listado de soluciones orientadas a atender estas obligaciones legales y a proteger a la empresa y su modelo de negocio de los riesgos derivados del incumplimiento.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación