Tecnología, Medios y Telecomunicaciones (TMT)

Nuevas obligaciones en camino para los entornos de IA: La Ley de Inteligencia Artificial

Ángela Manceñido
Consultora Senior de Technology Risk de KPMG en España
Quique Amorós
Consultor de Technology Risk de KPMG en España
14 julio, 2021
1 min

El pasado mes de abril, la Comisión Europea publicó la propuesta de la Unión Europea para regular la Inteligencia Artificial (IA) a través del Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de Inteligencia Artificial (ley de inteligencia artificial) y se modifican determinados actos legislativos de la unión.

La propuesta responde a una serie de peticiones realizadas por el Parlamento Europeo y el Consejo, que pedían la adopción de medidas regulatorias para perseguir el buen funcionamiento del mercado interior garantizando los derechos de los ciudadanos y los principios éticos en los entornos de IA. Así lo anterior, en octubre de 2020, se aprueban por el Parlamento unas resoluciones relativas a la IA sobre cuestiones como la ética, la responsabilidad civil y los derechos de propiedad intelectual en el uso y fabricación de sistemas de IA.

Por otro lado, en el Libro Blanco sobre la IA, publicado el 19 de febrero 2020, ya se marcaba como objetivo el promover la adopción de la IA así como abordar los riesgos vinculados al uso de la misma. Es por lo anterior, que la propuesta de Reglamento tiene como objetivo primario el poder regular la gestión de los potenciales riesgos que pueden comportar los sistemas de IA. El fin último será conseguir que la IA sea confiable.

Otro de los motivos que ha llevado a la UE a regular este tipo de entornos, no es otro que el de armonizar la regulación existente promocionando de esta forma el funcionamiento unificado de esta materia en todos los países miembros.

La regulación entre otras contiene disposiciones para la definición de IA, la prohibición de determinadas prácticas perjudiciales, como el uso de estos sistemas para fines subliminales, así como la clasificación de los sistemas de IA en función del riesgo que comportan.

Sistemas IA de alto riesgo

Una de las novedades más importantes que ha traído la propuesta de reglamento es la clasificación de los sistemas IA mediante un enfoque basado en el riesgo. Se establecen así una serie de criterios para determinar cuáles pueden entrañar riesgos significativos, tanto para la seguridad como para los derechos fundamentales de las personas. Entre los aspectos más relevantes para declarar un sistema IA como de “alto riesgo” destacan entre otros:

  • Cuando el sistema IA utilice mecanismos biométricos para identificar y/o categorizar a las personas físicas.
  • Sistemas de IA cuyo objetivo es asegurar la gestión y funcionamiento de infraestructuras esenciales como el suministro de agua, gas o electricidad.
  • Sistemas utilizados por administraciones públicas o en su nombre para evaluar la admisibilidad de personas físicas al acceso de prestaciones o servicios de asistencia pública.
  • Sistemas IA destinados a la contratación o selección de personas físicas.
  • Cuando tras una evaluación de riesgos, se detecte que el sistema IA pueda suponer un riesgo para la salud, seguridad o derechos fundamentales de las personas.

Los sistemas IA que finalmente sean considerados de alto riesgo deberán cumplir con una serie de obligaciones para asegurar que aquellos que se utilicen dentro del marco de la Unión Europea sean seguros y respeten tanto los derechos fundamentales de las personas, como los valores y garantías de la unión. En líneas generales, además de cumplir con otros aspectos que la propuesta determina, deberán:

  • Estar sometidos a evaluaciones de riesgo durante todo su ciclo de vida. En estas evaluaciones se deberá tener en cuenta los requisitos que la propuesta establece.
  • Ser probados mediante procedimientos adecuados antes de su utilización.
  • Contar con documentación técnica que demuestre su cumplimiento con los diferentes requisitos de las autoridades pertinentes.
  • Ser transparentes y contar con instrucciones claras sobre su uso.
  • Estar supervisados por personas físicas.

Proveedores de sistemas IA

Los proveedores de sistemas de IA también estarán supeditados a los requisitos definidos en la propuesta de reglamento, sobre todo aquellos cuyos sistemas sean catalogados como de “alto riesgo”. Además de las obligaciones anteriormente referenciadas, los proveedores de este tipo de sistemas también deberán:

  • Disponer de un sistema de gestión de calidad que cumpla con los criterios que la propuesta de reglamento indica, como podría ser el requisito de contar con una estrategia para el cumplimiento normativo.
  • Registrar sus sistemas en la base de datos de la UE en caso de ser sistemas IA autónomos, como por ejemplo aquellos que tengan capacidades de autoaprendizaje.
  • Someter a sus sistemas a una evaluación de conformidad y posteriormente incluir el marcado CE en los mismos.

Otras novedades

Se establecerá un Comité Europeo de Inteligencia Artificial que tendrá como objetivo entre otros, contribuir a la cooperación con las autoridades nacionales respecto a la materia regulada, así como la preparación de documentos de orientación tales como directrices y recomendaciones en materias de relevancia. El comité lo compondrán las autoridades nacionales de supervisión, así como por el Supervisor Europeo de Protección de datos.

Por último, el texto contiene disposiciones dedicadas a las sanciones que ascenderán hasta los 30.000.000 € o el 6% del volumen de negocio total anual mundial del ejercicio financiero anterior, en el caso de las infracciones más graves. Se destaca que estas sanciones son superiores a las que establece el Reglamento General de Protección de Datos que van hasta los 20.000.000 o el 4% del volumen de negocio.

Próximos pasos

El texto tendrá que pasar por los trámites del procedimiento legislativo europeo, de manera que por ahora no verá la luz, ya que aún se encuentra en fase de primera lectura. En cualquier caso, tal y como establece el artículo 85 del mismo, entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea, sin embargo, no será de obligatoria aplicación hasta pasados dos años.

Te ayudamos a entender el impacto de la regulación en tu organización
Accede aquí

Artículos relacionados