La primera regulación del mundo en IA ve la luz: ¿preparados para cumplir?

El pasado 8 de diciembre la Presidencia del Consejo de la Unión Europea y los negociadores del Parlamento Europeo alcanzaron un acuerdo provisional sobre la propuesta relativa a normas armonizadas en materia de inteligencia artificial (IA), el conocido “Reglamento de Inteligencia Artificial”.

Se trata de la primera propuesta legislativa de tipo transversal en el mundo, sirviendo de referente mundial para regular la IA en otras jurisdicciones, como ya lo hizo el Reglamento General de Protección de Datos (RGPD). De hecho, dicha propuesta legislativa está en el eje de conversaciones geopolíticas importantes, por ejemplo, en el contexto de la recién creada asociación tecnológica entre la UE y los EE.UU. (el Consejo de Comercio y Tecnología), donde ambas regiones están tratando de avanzar en un entendimiento mutuo sobre los principios que sustentan una IA confiable y responsable, sobre todo por lo que concierne a la IA Generativa (GenAI).

Asimismo, se destaca que hay más de mil iniciativas a nivel global en relación con las políticas de gobernanza y regulatorias acerca de la IA, tal y como se puede comprobar en el cuadro de control que sobre estas realiza la OECD, donde muchas de ellas están siguiendo el modelo de base europeo.

Durante las próximas semanas proseguirán los trabajos técnicos para ultimar los detalles de este Reglamento, sometiéndose el texto transaccional al refrendo de los representantes de los Estados miembros (Coreper) una vez finalizados estos trabajos, lo que se espera que ocurra en los primeros meses del siguiente año.

Sin duda, los sistemas de IA representan una gran oportunidad de avance para las organizaciones, las empresas y la sociedad, pero también suscita mucha preocupación las implicaciones de los sistemas de IA para los derechos fundamentales protegidos por la Carta de Derechos Fundamentales de la UE, así como los riesgos de seguridad para los usuarios cuando las tecnologías de IA están integradas en productos y servicios.

Objetivo del Reglamento de IA: proteger los derechos fundamentales

En particular, los sistemas de IA pueden poner en peligro derechos fundamentales como el derecho a la igualdad, a la no discriminación, la libertad de expresión, la dignidad humana, o la protección de los datos personales, entre otros. La protección de estos derechos imprime una doble dimensión desde la perspectiva de la IA legal, pero también desde el enfoque de la ética digital y el uso de tecnologías confiables y responsables (IA Ética). En este punto resulta fundamental atender a la Recomendación de la UNESCO sobre Ética de la Inteligencia Artificial, que opera como brújula ética internacional en este ámbito.

Este Reglamento tiene por objeto garantizar que los sistemas de inteligencia artificial (IA) introducidos en el mercado europeo y utilizados en la Unión Europea (UE), tanto por el sector público como por el privado, ofrezcan garantías suficientes y respeten los derechos fundamentales y los valores de la UE (seguridad y confiabilidad), pero también fomentar la inversión y la innovación en este ámbito, relacionándose de forma estrecha con la estrategia europea de datos y propiciando el uso y el intercambio legítimo de datos para ello.

Sabes cómo podemos ayudarte a integrar esta tecnología en tu negocio

Para ello, el eje central de esta norma pivota en un enfoque basado en los riesgos, es decir, que a mayor riesgo, se aplicarán más obligaciones legales y de forma más estricta.

Principales novedades del acuerdo para regular la Inteligencia Artificial

Entre las principales novedades contenidos del acuerdo provisional, por relación al texto adoptado el pasado mes de junio por el Parlamento Europeo, se pueden destacar los siguientes:

-El acuerdo transaccional armoniza la definición con el enfoque propuesto por la OCDE.

-Se aclara que el Reglamento no se aplicará a los sistemas utilizados exclusivamente con fines militares o de defensa, o a los sistemas de IA utilizados únicamente con fines de investigación e innovación, ni tampoco a las personas que utilicen la IA por motivos no profesionales.

-La ampliación de la lista de prohibiciones, pero con la posibilidad de utilizar la identificación biométrica remota por parte de las autoridades policiales en espacios públicos, en ciertos casos y bajo determinadas condiciones.

-El acuerdo provisional prohíbe, por ejemplo, la manipulación cognitiva conductual, el rastreo indiscriminado de imágenes faciales sacadas de internet o de circuitos cerrados de televisión, el reconocimiento de emociones en los centros de trabajo y en las instituciones de enseñanza, la puntuación ciudadana (clasificación de personas en función de su comportamiento, estatus socioeconómico o características personales), la categorización biométrica para inducir datos sensibles, como la orientación sexual o las creencias religiosas, y algunos casos de vigilancia policial predictiva de personas, etc..

– Se autorizaría una amplia variedad de sistemas de IA con riesgo alto, bajo determinados requisitos y obligaciones legales para acceder al mercado de la UE modulándose, además, estas obligaciones para el caso de las pymes a fin de reducir el impacto regulatorio sobre estas.

– Se aclara la asignación de responsabilidades y las funciones de los distintos agentes de las cadenas valor asociadas al ciclo de vida de los sistemas de IA, en particular los proveedores y los usuarios de sistemas de IA, incluyendo su relación con otras responsabilidades asociadas a la protección de datos personales.

-Se introducen nuevas normas sobre modelos de IA de uso general y fundacionales de gran impacto que pueden causar un riesgo sistémico en el futuro, entrenados con gran cantidad de datos y con una complejidad y capacidades avanzados y unos resultados muy superiores a la media, así como sobre los sistemas de IA de alto riesgo.

-Contempla un sistema revisado de gobernanza de la IA.

-Se Impulsa una mejor protección de los derechos mediante la obligación de que los implementadores de sistemas de IA de alto riesgo lleven a cabo una evaluación del impacto en los derechos fundamentales antes de poner en marcha un sistema de IA, algo que va mucho más allá de la mera evaluación de impacto en protección de datos personales, lo que también es uno de los aspectos abordados por la legislación europea.

– Se refuerza un marco jurídico más favorable a la innovación y a promover un aprendizaje basado en pruebas (entornos de sandbox regulatorio), destacando la posibilidad de que las pruebas y validación de sistemas de IA puedan desplegarse en condiciones reales, siempre que se cumplan determinadas condiciones y se ofrezcan determinadas garantías.

Entornos de pruebas

Al efecto, se destaca que el pasado 9 de noviembre se publicó en España el nuevo Real Decreto 817/2023, de 8 de noviembre, que establece un entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial.

La norma se dicta de conformidad con la habilitación prevista en el artículo 16 de la Ley 28/2022, de 21 de diciembre, de Fomento del Ecosistema de las Empresas Emergentes, donde se contempla la creación de entornos controlados, por períodos limitados de tiempo, para evaluar la utilidad, la viabilidad y el impacto de innovaciones tecnológicas aplicadas a actividades reguladas, a la oferta o provisión de nuevos bienes o servicios, a nuevas formas de provisión o prestación de los mismos o a fórmulas alternativas para su supervisión y control por parte de las autoridades competentes. Esta misma norma señala que la creación de los entornos controlados de pruebas para la evaluación de su impacto está justificada por razones imperiosas de interés general.

-Se establece una nueva estructura de gobernanza creándose una oficina de IA en la Comisión Europea, que se encargará de supervisar los modelos de IA más avanzados, de contribuir a fomentar las normas y las prácticas de ensayo y de garantizar el cumplimiento de las normas comunes en todos los Estados miembros, que se apoyará en un un panel científico de expertos independientes.

También se lanzará un foro consultivo para las partes interesadas, como los representantes de la industria, las pymes, las empresas emergentes, la sociedad civil y el mundo académico, para aportar conocimientos técnicos al Comité de IA.

Se recuerda que, en España, ya se ha creado una Agencia para la Supervisión de la Inteligencia Artificial (AESIA)[1] al objeto del fomento del cumplimiento normativo en este ámbito y el impulso en nuestro país de los modelos y sistemas de IA confiable.

-En lo relativo al régimen sancionador, las multas por infracciones del Reglamento de Inteligencia Artificial se han fijado como un porcentaje del volumen de negocios anual global de la empresa infractora en el ejercicio financiero anterior o un importe predeterminado, si este fuera superior. Estas se elevarían a 35 millones de euros, es decir, el 7 % por las infracciones de aplicaciones de IA prohibidas, 15 millones de euros o el 3 % por el incumplimiento de las obligaciones del Reglamento de Inteligencia Artificial y 7,5 millones de euros o el 1,5 % por la presentación de información inexacta. Sin embargo, el acuerdo provisional establece límites más proporcionados a las multas administrativas que pueden imponerse a las pymes y las empresas emergentes en caso de infracción de las disposiciones del Reglamento de Inteligencia Artificial.

– Por lo que respecta a la vigencia del Reglamento, el acuerdo provisional alcanzado establece que este debe aplicarse dos años después de su entrada en vigor, con algunas excepciones para disposiciones específicas.

¿Qué deben hacer ahora las empresas u organizaciones que utilicen sistemas de IA?

En tal sentido, hoy más que nunca, es importante que las empresas y otras Organizaciones que desarrollan aplican o usan sistemas de IA a diferente nivel (operativas internas o externas) lleven a cabo actuaciones en el sentido de:

  • Identificar los sistemas de IA con los que se cuente a fin de poder catalogarlos y aplicar el enfoque de riesgo legal (y de otro tipo) adecuado en cada caso.
  • Revisar sus modelos de gobernanza y de gestión de los riesgos asociados a los sistemas de IA, en general, poniendo especial foco en el control de los riesgos legales y normativos asociados por relación a la protección de los derechos fundamentales asociados y la ética digital.
  • Definir, por relación a tal gobernanza, sus actuales estructuras de control y protección, integrando, desde el punto de vista regulatorio, a las áreas de función legal (departamento legal, departamento de compliance, departamento de privacidad, etc.). Figuras como el Compliance Officer o el Delegado de Protección de Datos serán figuras claves desde la perspectiva de control de riesgos para los derechos fundamentales. Es igualmente interesante valorar la definición e incorporación de perfiles centrados también en la supervisión de la ética digital. Estos equipos deberían trabajar de forma transversal con otros como los de negocio, innovación, operativa, tecnología, ciberseguridad, etc.
  • Desarrollar políticas de tecnología responsable o IA Confiable al objeto de prever el diseño legal de soluciones, productos o servicios basados en IA de forma acorde con esta nueva regulación, pero también para controlar la cadena de valor y proveedores de estos servicios, supervisando en todo momento las garantías que estos ofrecen para propiciar el mejor cumplimiento legal.
  • Realizar las evaluaciones de impacto de los sistemas IA que se pretendan introducir o usar en tales derechos (más allá de la privacidad, aunque integrándola), sobre todo, si estos tienen el carácter de IA de alto riesgo antes de su implantación o uso, a fin de mitigar al máximo posible posibles riesgos para los mismos.
  • Fomentar la concienciación y formación sobre estos temas entre el personal y otros grupos de interés con los que habitualmente se relacionen en desarrollo de su actividad.
  • Prever sistemas de supervisión, control y auditoría en el tiempo.

Este tipo de actuaciones serán absolutamente necesarias, y de corte mínimo, para el mejor control del impacto legal y regulatorio que esta norma, de aplicación directa en toda la UE, traerá consigo. La principal recomendación es comenzar a analizar cuanto antes cómo adaptarse de forma proactiva a las obligaciones legales que conlleva, las cuales, están prácticamente perfiladas tras el acuerdo europeo alcanzado.