El 12/07/2024 es va publicar, al DOUE, el RIA, norma pionera a nivell mundial, que entrarà en vigor, de forma gradual, al llarg dels 3 pròxims anys, i que serà revisada als 5 anys.
El Reglament, molt extens i complex, harmonitza la normativa dels Estats Membres de la UE quant a la introducció, posada en servei i ús de la Intel·ligència Artificial (IA) en el seu mercat i és d’aplicació directa a tots aquests Estats, la qual cosa implica que és obligatori a Espanya sense que el legislador espanyol dicti cap norma addicional.
Definició de IA
El RIA defineix els Sistemes d’IA com els procedents d’ una màquina dissenyada per funcionar amb diferents nivells d’ autonomia, amb capacitat d’ adaptació i d’ autoaprenentatge després del seu desplegament i de generació de prediccions, recomanacions, decisions, etc., en qualsevol àmbit.
Riscos y reptes que planteja la IA
La IA ja s’aplica en molts camps de la vida empresarial i personal i planteja, cada vegada més, grans riscos i reptes a nivell jurídic, com, per exemple:
I.- La protecció dels drets fonamentals (no discriminació i altres) i de les dades personals (incloses les que es “rebutgen” durant el procés o a la seva finalització).
II.- La protecció dels drets de propietat industrial i intel·lectual.
III.- La regulació de la responsabilitat (RC i altres) per errors, etc., de la IA, per continguts falsos o enganyosos (deepfakes), etc.
IV.- protecció del Dret de la Competència i
IV.- La protecció dels treballadors.
Clasificació dels riscos per part del RIA
- Risc Inacceptable [⛔]: Es prohibeixen determinades tècniques o conductes.
Per exemple, estan prohibides les tècniques subliminars, manipulatives, enganyoses, etc., que explotin la vulnerabilitat d’una persona o d’un grup concret, el “social scoring”, la vigilància predictiva i altres (inferència emocional, biometria, etc.), tot i que algunes d’elles admeten excepcions per raons justificades (com la seguretat).
- Risc Alt [⚠️]: Només permès si se superen determinats requisits i es compleixen certs deures.
- Risc Limitat: Permès, amb requisits específics.
- Risc Mínim: Permès.
Operadors de la IA i els seus deures
El RIA regula els diferents subjectes intervinents (rols o operadors), des del fabricant del sistema fins a l’usuari d’aquest (l’anomenat “deployer”, que és qui fa servir la IA per a activitats o finalitats no purament personals) i els assigna diferents responsabilitats i obligacions. Lògicament, el RIA afecta principalment els fabricants, proveïdors, importadors o distribuïdors d’IA (però també el “deployer” té deures).
En general, s’ha de garantir la seguretat i solidesa del sistema i els operadors han de ser diligents i transparents (avisos sobre l’ús d’IA en fotos, en centraletes, etc.).
A més, s’exigeix l’adequada gestió de les dades, la traçabilitat (registre cronològic d’esdeveniments que afecten el sistema o conservació de logs), l’explicabilitat de la decisió de la IA i vigilància humana (amb mesures correctores, inclòs el botó del pànic que permeti suspendre o parar el sistema en qualsevol moment en cas de funcionament anòmal). També s’ imposen obligacions específiques al proveïdor en matèria de comercialització, identificació de fabricant, documentació tècnica, homologació, cooperació amb autoritats, etc. I es recomana altament que les Empreses adoptin Codis de Conducta per fomentar l’ ús ètic i responsable de la IA.
Aplicació práctica del RIA
El RIA entrarà en vigor gradualment i estarà acompanyat de (i) altres normes (monitorització de les IA de Risc Alt), recomanacions (Codis de Bones Pràctiques de la IA), actualment en curs, i (ii) de la creació d’ un Comitè Europeu d’IA, integrat per un representant de cada Estat Membre.
A nivell estatal, l’autoritat de supervisió competent és l’AESIA (Agència Espanyola de Supervisió de la IA).
El RIA pretén fixar un estàndard en la matèria (“Referent Brussel·les”), com es va fer amb la protecció de dades personals, i és ben valorat per part de la Doctrina com un exemple de valentia i de posicionament de la UE en protecció dels drets fonamentals de les persones.
Una altra part de la Doctrina considera que serà una norma poc operativa per diverses raons, entre elles: (i) per tardana (la IA ja forma part de les nostres empreses i de nova vida), (ii) per burocràtica davant el dinamisme de la IA, (iii) per la impossibilitat de “posar-li portes al camp”; i (iv) per limitacions territorials i altres pròpies del Dret Internacional, ja que molts operadors són nacionals de països externs a la UE (està previst que l’Oficina IA de la UE promogui acords, fòrums, etc., per aconseguir tractats internacionals o globals establint normes comunes sobre IA). No obstant aquests possibles problemes pràctics d’aplicació i els litigis internacionals que puguin generar-se, el cert és que el RIA estableix un règim sancionador sever i preveu sancions greus i molt greus (econòmiques i d’un altre tipus), que poden imposar-se fins i tot als proveïdors d’IA no pertanyents a la UE quan el seu sistema d’IA s’utilitzi a la UE.
Els mantindrem al corrent de nous canvis.
Aquesta comunicació té una finalitat exclusivament informativa.
Estem a la seva disposició per a aclarir-li qualsevol dubte.
Qualsevol actuació ha de consultar-se amb els nostres especialistes
© ADDVERA PARTNERS, S.L.P.
