El futuro Reglamento europeo de Inteligencia Artificial
Diversas voces de la esfera pública y privada venían ya pidiendo una regulación de la Inteligencia Artificial (en adelante, “IA”), cada cual con sus propios motivos. De un lado, teníamos a los operadores privados preocupados por evitar la inseguridad jurídica a la que se venían enfrentando sus modelos de negocio. Y de otro nos encontramos con una sociedad temerosa de que la realidad superara una vez más a la ficción y la serie “Black Mirror”[1] fuera un reflejo de su día a día.
Aunque las negociaciones a nivel legislativo para la regulación de la IA ya se venían produciendo, el texto se había encallado por extremos como la cuestión de la regulación de la IA generativa o los modelos fundacionales (ej. ChapGPT) y los sistemas de vigilancia biométrica. Afortunadamente, el proceso se ha terminado descongestionando y ha resultado en un acuerdo provisional del Consejo y el Parlamento.
Pero ¿quién es quién en esta iniciativa legislativa? Por un lado, tenemos a la Comisión, que es la que inició el proceso legislativo, es decir, la que propuso en 2021 un borrador de regulación. Y, por otro, tenemos al Consejo de la UE y al Parlamento europeo, que son los legisladores del Derecho Común, y que han revisado esa propuesta de la Comisión y alcanzado un acuerdo provisional al respecto. Todo este proceso se conoce como “diálogo tripartito” y culmina con la ratificación del texto una vez ha sido revisado por los representantes de los Estados y sometido a una revisión lingüística.
El hecho de que se haya elegido la forma legislativa de “reglamento”, y no una directiva, no es casualidad. Esto es así porque los reglamentos son directamente aplicables, sin que sea necesaria una ulterior transposición del texto al ordenamiento jurídico local de cada Estado. Por tanto, será de plena exigibilidad, como ocurrió con el RGPD[2], dos años después de su entrada en vigor. Se calcula que para 2026.
Como ya lo fue el RGPD en 2016, esta es una propuesta legislativa pionera en el mundo, y una forma de extrapolar el enfoque europeo de la regulación tecnológica al resto de jurisdicciones.
OBJETIVOS DEL REGLAMENTO
Los objetivos del Reglamento son principalmente dos: i) garantizar que los sistemas de IA introducidos en el mercado europeo y utilizados en la UE sean seguros, respeten los Derechos Fundamentales y los valores de la UE y ii) estimular la inversión y la innovación en el ámbito de la IA en Europa.
El texto viene a regular la IA desde la perspectiva de la capacidad que tenga de dañar a la sociedad, de ahí su enfoque basado en los riesgos. Lo más destacable de su contenido es lo siguiente:
-
Definición de sistema de IA:
Se acepta la definición acuñada por la OCDE[3] según la cual “un sistema de IA es un sistema automático que, con un fin explícito o implícito, deduce, a partir de la información que recibe, cómo generar un resultado tal como una predicción, contenido, recomendación o decisión que puede influir en entornos físicos o virtuales. Los sistemas de IA varían en función de su nivel de autonomía y adaptación tras su implementación”.
-
Ámbito de aplicación:
El Reglamento aplica siempre que su uso afecte a personas ubicadas en la UE o se comercialice en ella. Quedan fuera de su ámbito la IA relativa al campo de la seguridad nacional, a los sistemas militares o de defensa, a los de investigación o innovación, y al ámbito privado. Afecta tanto a proveedores como a implementadores. Si se importa un sistema de IA, el importador debe asegurarse de que el proveedor extranjero cumple con la normativa europea.
-
Clasificación de los sistemas de IA, según riesgo, en cuatro niveles:
- Limitado (riesgo mínimo): sistemas cuyo uso solo conllevan obligaciones de transparencia (ej. Avisar de que el contenido se genera por IA). Aquí entrarían la mayoría de los sistemas.
- Alto riesgo: Estos sistemas estarían permitidos, pero si cumplen con una serie de obligaciones. Antes de ser introducidos en el mercado deben superar una evaluación de conformidad[4]. Además, deben ser inscritos en la base de datos de la UE de sistemas de IA de alto riesgo. Anexo al texto hay una lista de casos que entrarían en esta categoría, y vienen a ser aquellos que afecten a infraestructuras críticas, a la educación, al empleo, a servicios esenciales, solvencia, cálculo de primas, control de fronteras, entre otros.
- Inaceptable: Estos sistemas estarían prohibidos porque violan los Derechos Fundamentales. Concretamente, quedan prohibidos varios sistemas de vigilancia biométrica como los sistemas de categorización biométrica (por creencias políticas, religiosas, filosóficas, orientación sexual o raza), los sistemas para expandir o crear bases de datos faciales captando datos de manera indiscriminada, el reconocimiento de emociones en el lugar de trabajo y en instituciones educativas, el social scoring, sistemas que manipulan el comportamiento humano y la IA usada para explotar las vulnerabilidades de las personas (por su edad o situación social o económica). Sin embargo, se permiten los sistemas de vigilancia biométrica en tiempo real en espacios públicos desplegados por las fuerzas del orden, aunque bajo limitaciones y estrictas salvaguardias. Se requerirá una autorización judicial, que estará limitada en tiempo y la lista de delitos que autoricen su uso está tasada. En el caso del uso ex post, solo se permitirá para la búsqueda de una persona condenada o sospechosa de haber cometido un crimen grave.
- Riesgo de transparencia específico: para que los usuarios sean plenamente conscientes de estar interactuando con una máquina, se imponen requisitos de transparencia a ciertos sistemas de IA (ej. Chatbots). En los que se incluyen la elaboración de documentación técnica, el cumplimiento de la ley de derechos de autor de la Unión Europea y la difusión de resúmenes detallados sobre el contenido utilizado para su entrenamiento, entre otros.
-
Responsabilidades:
Los proveedores de sistemas de IA de alto riesgo deberán implementar sistemas de gestión de riesgos y calidad.
-
Excepciones en el ámbito policial:
Para casos de determinados delitos, prevención de amenazas reales, presentes o visibles, y de búsqueda de sospechosos de delitos graves, podría llegar a permitirse el uso de sistemas de IA que no hayan superado el procedimiento de evaluación de la conformidad.
-
Sistemas de IA de uso general:
Se pueden utilizar para una gran variedad de tareas y, por tanto, son difíciles de clasificar. Se les exige una especial transparencia en cuanto a que se les puede pedir que revelen cierta información del modelo. Se les pide colaboración con la Oficina de IA de cara a la elaboración de códigos de conducta.
-
Modelos fundacionales:
Capaces de realizar muchas tareas diferentes (ej. Generación de vídeo), tendrán que cumplir criterios de transparencia, como especificar si un texto, una canción o una fotografía se han generado a través de la inteligencia artificial, así como garantizar que los datos que se han empleado para entrenar a los sistemas respetan los derechos de autor.
-
Gobernanza de IA:
La estructura de gobernanza se dividirá en:
- Oficina de IA: se creará un supervisor independiente dentro de la Comisión que se encargará de supervisar los sistemas de IA de uso general, así como de fomentar y garantizar las normas comunes, asesorada por un panel de científicos independientes.
- Comité de IA: lo conformarán representantes de los Estados encargados de coordinar y actuar de órgano consultivo de la Comisión. Este Comité estará asistido por un foro consultivo formado por partes interesadas (públicas o privadas) en aportar conocimientos técnicos al Comité de IA.
-
Sanciones:
Se prevén unas multas aún mayores que las introducidas por el RGPD, aunque se tendrá en cuenta el tamaño de la empresa infractora. Estaríamos hablando de un máximo de 35 millones de euros o un porcentaje del volumen de negocios anual global de la empresa en el ejercicio financiero anterior. El 7 % por las infracciones de aplicaciones de IA prohibidas, el 3 % por el incumplimiento de las obligaciones del Reglamento y el 1,5 % por la presentación de información inexacta.
Además, se prevé la designación de una autoridad nacional competente en cada Estado para la correcta aplicación y cumplimiento del reglamento. La española es la Agencia Estatal de Supervisión de la IA (en adelante, “AESIA”), que se encuentra en La Coruña y representará a España en el Consejo Europeo de Inteligencia Artificial[5]. Al igual que ocurre en el RGPD, tanto personas físicas como jurídicas podrán presentar una reclamación ante la AESIA cuando entiendan que se está produciendo un incumplimiento del Reglamento.
Por último, a nivel nacional en España ya se ha comenzado a trabajar en materia de IA. El Centro Criptológico Nacional (en adelante, “CCN-CERT”) ha publicado un Informe de Buenas Prácticas[6] que aborda la relación entre la IA y la ciberseguridad.
Concretamente desgrana los fundamentos de la IA (Machine Learning, Deep Learning, entre otros), las aplicaciones de la IA en ciberseguridad (detección, análisis y prevención de amenazas, identificación y autenticación biométrica, entre otras), los escenarios de estudio, desafíos y limitaciones de la IA en la ciberseguridad, el futuro de la IA en ese ámbito y una serie de recomendaciones para las organizaciones en cuanto a la adopción de estrategias a la hora de su implementación. Se hace hincapié en la necesidad de colaboración entre los expertos en ciberseguridad y en IA, así como en la formación continua en la materia para estar lo más capacitados posible frente a la continua evolución de la IA.
En Áudea Seguridad de la Información, disponemos de profesionales con la preparación y experiencia, en las últimas tecnologías y buenas prácticas para apoyar a las organizaciones en este nuevo escenario que se abre ante todos.
____________________________________________
[1] Serie de ficción británica creada en 2011 que muestra un mundo futuro en el que la tecnología altamente invasiva se ha adueñado de la cotidianidad de la sociedad, reduciendo significativamente sus Derechos Fundamentales.
[2] Siglas del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos).
[3] Siglas de la Organización para la Cooperación y el Desarrollo Económico. Se trata de un organismo cuyo rol es promover políticas diseñadas para conseguir un alto crecimiento económico, así como empleo, y un alto nivel de vida en el mundo, a través de la estabilidad financiera y el desarrollo de la economía global. La componen treinta y ocho países de dentro y fuera de la UE.
[4]Se trata de una evaluación del impacto que puede tener un sistema de IA en los Derechos Fundamentales de los interesados. Este análisis deberá repetirse si se modifica sustancialmente el sistema o su finalidad. Es un requisito parecido a las Evaluaciones de Impacto sobre la Protección de Datos (EIPD) que impone el RGPD, de hecho, si el proveedor ya ha realizado una EIPD sobre el sistema de IA concreto, la evaluación de conformidad se realiza junto con la primera.
[5]El Consejo Europeo de Inteligencia Artificial estará formado por representantes de las autoridades nacionales de supervisión competentes, el Supervisor Europeo de Protección de Datos y la Comisión. Se encargará de emitir recomendaciones y opiniones a la Comisión.
[6] Informe de Buenas Prácticas sobre la Aproximación a la Inteligencia Artificial y la ciberseguridad de octubre de 2023.
Julia Varo Carpio
Departamento Legal