El 12/07/2024 se publicó en el DOUE el REGLAMENTO DE LA UE SOBRE INTELIGENCIA ARTIFICIAL (Reglamento o RIA), norma pionera a nivel mundial, que entrará en vigor, de forma paulatina, a lo largo de los 3 próximos años, y que será revisada a los 5 años.
El Reglamento, muy extenso y complejo, armoniza la normativa de los Estados Miembros de la UE en cuanto a la introducción, puesta en servicio y uso de la Inteligencia Artificial (IA) en su mercado y es de aplicación directa a todos esos Estados, lo que implica que es obligatorio en España sin que el legislador español dicte ninguna norma adicional.
Definición de IA
El RIA define los Sistemas de IA como los procedentes de una máquina diseñada para funcionar con distintos niveles de autonomía, con capacidad de adaptación y de autoaprendizaje tras su despliegue y de generación de predicciones, recomendaciones, decisiones, etc., en cualquier ámbito.
Riesgos y retos que plantea la IA
La IA ya se aplica en muchos campos de la vida empresarial y personal y plantea, cada vez más, grandes riesgos y retos a nivel jurídico, como, por ejemplo:
I.- La protección de los derechos fundamentales (no discriminación y otros) y de los datos personales (incluidos los que se “desechan” durante el proceso o a su finalización);
II.- La protección de los derechos de propiedad industrial e intelectual
III.- La regulación de la responsabilidad (RC y otras) por errores, sesgos, etc., de la IA, por contenidos falsos o engañosos (deepfakes), etc.;
IV.- La protección del Derecho de la Competencia y
IV.- La protección de los trabajadores.
Clasificación de los riesgos por parte del RIA
- Riesgo Inaceptable [⛔]: Se prohíben determinadas técnicas o conductas.
P.ej., están prohibidas las técnicas subliminales, manipulativas, engañosas, etc., que exploten la vulnerabilidad de una persona o de un grupo concreto, el “social scoring”, la vigilancia predictiva y otras (inferencia emocional, biometría, etc.), aunque algunas de ellas admiten excepciones por razones justificadas (como la seguridad).
- Riesgo Alto [⚠️]: Solo permitido si se superan determinados requisitos y se cumplen ciertos deberes.
- Riesgo Limitado: Permitido, con requisitos específicos.
- Riesgo Mínimo: Permitido.
Operadores de la IA y deberes de éstos
El RIA regula los distintos sujetos intervinientes (roles u operadores), desde el fabricante del sistema hasta el usuario de éste (el llamado “deployer”, que es quien usa la IA para actividades o fines no puramente personales) y les asigna distintas responsabilidades y obligaciones. Lógicamente, el RIA afecta principalmente a los fabricantes, proveedores, importadores o distribuidores de IA (pero también el “deployer” tiene deberes).
En general, se debe garantizar la seguridad y solidez del sistema y los operadores deben ser diligentes y transparentes (avisos sobre el uso de IA en fotos, en centralitas, etc.).
Además, se exige la adecuada gestión de los datos, la trazabilidad (registro cronológico de acontecimientos que afectan al sistema o conservación de logs), la explicabilidad de la decisión de la IA y vigilancia humana (con medidas correctoras, incluido el botón del pánico que permita suspender o parar el sistema en cualquier momento en caso de funcionamiento anómalo). También se imponen obligaciones específicas al proveedor en materia de comercialización, identificación de fabricante, documentación técnica, homologación, cooperación con autoridades, etc. Y se recomienda altamente que las Empresas adopten Códigos de Conducta para fomentar el uso ético y responsable de la IA.
Aplicación práctica del RIA
El RIA entrará en vigor paulatinamente y estará acompañado de (i) otras normas (monitorización de las IA de Riesgo Alto), recomendaciones (Códigos de Buenas Prácticas de la IA), actualmente en curso, y (ii) de la creación de un Comité Europeo de IA, integrado por un representante de cada Eº Miembro.
A nivel estatal, la autoridad de supervisión competente es la AESIA (Agencia Española de Supervisión de la IA).
El RIA pretende fijar un estándar en la materia (“Referente Bruselas”), como se hizo con la protección de datos personales, y es bien valorado por parte de la Doctrina como un ejemplo de valentía y de posicionamiento de la UE en protección de los derechos fundamentales de las personas.
Otra parte de la Doctrina considera que será una norma poco operativa por varias razones, entre ellas: (i) por tardía (la IA ya forma parte de nuestras empresas y de nueva vida), (ii) por burocrática frente al dinamismo de la IA, (iii) por la imposibilidad de “ponerle puertas al campo”; y (iv) por limitaciones territoriales y demás propias del Derecho Internacional, ya que muchos operadores son nacionales de países externos a la UE (está previsto que la Oficina IA de la UE promueva acuerdos, foros, etc., para lograr tratados internacionales o globales estableciendo normas comunes sobre IA). No obstante, esos posibles problemas prácticos de aplicación y los litigios internacionales que puedan generarse, lo cierto es que el RIA establece un régimen sancionador severo y prevé sanciones graves y muy graves (económicas y de otro tipo), que pueden imponerse incluso a los proveedores de IA no pertenecientes a la UE cuando su sistema de IA se use en la UE.
Les mantendremos al corriente de nuevos cambios.
Esta comunicación tiene una finalidad exclusivamente informativa.
Estamos a su disposición para aclararle cualquier duda.
Cualquier actuación debe consultarse con nuestros especialistas.
© ADDVERA PARTNERS, S.L.P.
