Reglamento Europeo de Inteligencia Artificial: elementos claves y objetivos

El pasado 13 de marzo, el Parlamento Europeo aprobó el Reglamento de Inteligencia Artificial (en adelante, RIA). El texto definitivo se presenta como una norma antropocéntrica, con el claro objetivo de proteger los derechos fundamentales consagrados en la Carta de los Derechos Fundamentales de la Unión Europea.  Junto a este claro y primordial objetivo, paralelamente, el RIA persigue establecer un marco jurídico uniforme para todos los estados miembros, garantizando que la IA sea fiable, segura y se desarrolle y utilice de conformidad con las obligaciones relativas a los derechos fundamentales.

Dentro de los considerando, el RIA presenta al ser humano como punto de partida para construir una norma uniforme cuyo objetivo es proteger y limitar la creación de sistemas de IA y su uso.

Con estas premisas, consideradas como primordiales para el RIA, este nos ofrece definiciones de conceptos hasta ahora no recogidos formalmente y establece los límites para la creación y utilización de la IA. A continuación os detallamos aquello que consideramos más relevante.

El RIA define a la IA como “un conjunto de tecnologías en rápida evolución que contribuye a generar beneficios económicos, medioambientales y sociales muy diversos en todos los sectores económicos y las actividades sociales.” En esta definición, el RIA describe a la IA como un “todo” que, utilizado con límites y reglas éticas, puede generar ventajas competitivas a las empresas y facilitar resultados positivos desde punto de vista social y medioambiental. Para ello, seguidamente establece cómo deben crearse y utilizarse los “sistemas de IA”.

(IMAGEN: E&J)

El Reglamento de la Unión Europea define al «sistema de inteligencia artificial» como aquel que tiene la capacidad de inferencia. Esto implica que el sistema puede generar salidas como predicciones, contenidos, recomendaciones o decisiones que pueden influir en entornos físicos y virtuales. Las técnicas que permiten esta inferencia incluyen el aprendizaje automático, que aprende de datos para alcanzar objetivos específicos, y estrategias basadas en la lógica y el conocimiento, que infieren a partir de conocimientos codificados o representaciones simbólicas. La capacidad de un sistema de IA para funcionar con diversos niveles de autonomía y adaptarse mientras está en uso, lo que lo distingue de los sistemas de software tradicionales​​.

El RIA establece a los proveedores, y a los responsables del despliegue (“deployer”), de sistemas de IA unas obligaciones clave, tales como:

1. Evaluación y mitigación de riesgos: deben identificar y documentar los riesgos asociados con sus sistemas de IA y tomar medidas para mitigarlos.
2. Ciberseguridad: asegurar que los sistemas de IA están protegidos contra amenazas cibernéticas.
3. Documentación técnica: mantener y poner a disposición de las autoridades la documentación técnica actualizada.
4. Transparencia: informar a los usuarios sobre el uso de sistemas de IA y sus posibles impactos.
5. Protección de datos: cumplir con las normativas de protección de datos, asegurando el consentimiento y la privacidad de los usuarios​​.

Como elemento clave para delimitar la creación y uso de la IA, El RIA regula el riesgo de estos sistemas y delimita las actividades prohibidas o inaceptables, como:  

1. Manipulación del comportamiento humano: sistemas de IA que utilicen técnicas subliminales para alterar significativamente el comportamiento de las personas sin su conocimiento.
2. Explotación de vulnerabilidades: sistemas que exploten las vulnerabilidades de grupos específicos, como niños o personas con discapacidades, para alterar su comportamiento de manera perjudicial.
3. Puntuación social: evaluación o clasificación de personas basadas en su comportamiento social que conduzca a la discriminación y exclusión social.
4. Identificación biométrica remota en tiempo real en espacios públicos: uso de sistemas de IA para la identificación biométrica remota en tiempo real con fines de aplicación de la ley, salvo excepciones específicas y claramente definidas. El RIA detalla los datos biométricos que quedan prohibidos o sean de riesgo elevado (según el uso que se le esté dando), tales como el sexo, la edad, color de pelo, color de ojos, entre otros. Es anecdótico y quizás interesante, desde el punto de vista de la exhaustividad del análisis de la norma, la inclusión del tatuaje como dato biométrico. Prohibiendo a la IA utilizar estos para hacer un uso discriminatorio.
5. Categorización biométrica: deducción o inferencia de información sensible, como opiniones políticas o creencias religiosas, a partir de datos biométricos​​.

El RIA también regula aquellas actividades denominadas como de alto riesgo:

• Sectores críticos: incluyendo salud, transporte, energía y administración pública.
• Educación y formación profesional: sistemas que determinen el acceso a la educación y formación.
• Recursos humanos: IA utilizada para la selección de personal, evaluación de rendimiento y decisiones de contratación.
• Servicios financieros: evaluación de solvencia crediticia y decisiones de préstamo.
• Seguridad de productos: fabricación y control de calidad de productos.
• Administración de justicia y aplicación de la ley: evaluación de riesgos de delincuencia y decisiones judiciales automatizadas​​.

(Imagen: Archivo)

La entrada en vigor

El reglamento entra en vigor 20 días después de su publicación en el DOUE. Este es el momento en que las disposiciones del reglamento se vuelven legalmente vinculantes en todos los Estados miembros de la UE, incluyendo España. A menudo, los reglamentos europeos incluyen un periodo de transición antes de que se apliquen plenamente. Durante este periodo, las empresas y otras entidades deben prepararse para cumplir con las nuevas normativas.

En el caso del RIA, la entrada en vigor es de forma escalonada, aplicando en el corto plazo, 6 meses, las disposiciones relativas a los sistemas prohibidos, al cabo de 12 meses entrarán en vigor las disposiciones relativas a los modelos de IA de propósito general y a los 24 meses entrarían en vigor el grueso de las obligaciones del Reglamento. Finalmente, a los 36 meses entrarán en vigor determinadas disposiciones para sistemas de alto riesgo.

Respecto a las sanciones por incumplimiento del reglamento de inteligencia artificial

El Reglamento de Inteligencia Artificial de la Unión Europea establece sanciones significativas para las empresas y organizaciones que no cumplan con sus disposiciones, incluyendo multas de hasta 35 millones de euros o el 7% de la facturación anual global, además de la posible suspensión y prohibición de operaciones y la obligación de indemnizar por daños causados.

El Reglamento de Inteligencia Artificial de la UE se presenta como una norma sólida y uniforme, evitando el fraccionamiento legislativo entre los diferentes países miembros. Su objetivo es proteger al ser humano, garantizando la seguridad, los derechos fundamentales y la privacidad, mientras enfrenta y facilita la evolución tecnológica. Adaptándose a los tiempos presentes y futuros…