La inteligencia artificial (IA) ha tomado un papel esencial en la transformación digital que vivimos en la actualidad. Aunque sus futuras aplicaciones vayan a implicar inmensos cambios, ya está muy presente en la vida de cualquier ciudadano. Los propios Smartphone, las herramientas de navegación e incluso el monitoreo en Redes Sociales en base a nuestras experiencias como usuarios, ya aplican Inteligencia Artificial.
Una forma definir la IA es entenderla como un conjunto de tecnologías disruptivas con una evolución muy rápida, que generan un amplio abanico de beneficios sociales y económicos aplicados a cualquier sector y actividad. La utilización de IA proporciona a estas alturas, ventajas competitivas esenciales, para que las empresas obtengan resultados positivos en sectores de alto impacto como la salud, la agricultura, el transporte, la educación o el cambio climático.
De la misma forma, a causa de su reciente y rápida evolución y dependiendo de las circunstancias de su aplicación y utilización concretas, la inteligencia artificial tiene su lado oscuro, ya que puede generar riesgos para de los derechos fundamentales del individuo, como ocurre con los relativos a discriminación y protección de datos personales.
Marco jurídico de la Unión Europea
La UE es consciente del rápido avance de la IA y, por ello, ha querido establecer un marco jurídico que defina unas normas armonizadas en materia de IA y que estén orientadas a asegurar el respeto a los derechos fundamentales, para generar confianza en el desarrollo y utilización de la inteligencia artificial. Esta es la primera ley integral de IA del mundo y tiene como objetivo garantizar que los sistemas de inteligencia artificial comercializados en el mercado europeo y utilizados en la UE, sean seguros y respeten los derechos fundamentales.
Después de un largo y difícil proceso de negociación, el pasado 9 de diciembre de 2023, el Parlamento y el Consejo de la UE alcanzaron un acuerdo provisional sobre la futura Ley de Inteligencia Artificial, que toma forma como Reglamento. Este Reglamento tiene, entre otros, una serie de objetivos específicos, entre los que destacan los siguientes:
- Garantizar que los sistemas de IA introducidos y usados en el mercado de la UE sean seguros y respeten la legislación vigente en materia de derechos fundamentales y valores de la Unión.
- Garantizar la seguridad jurídica para facilitar la inversión e innovación en IA.
Las claves del nuevo Reglamento de IA
Así, es fundamental conocer cuáles son las claves sobre las que se asienta el futuro nuevo Reglamento de IA, que vemos a continuación de forma resumida:
DEFINICIÓN DE SISTEMA DE IA: El Reglamento ofrece una definición única de la IA que pueda resistir el paso del tiempo y ser lo más neutra posible a nivel tecnológico, con criterios claros para distinguirla de otros sistemas de software más sencillos. Entiende por Sistema de IA: el software que se desarrolla empleando una o varias de las técnicas y estrategias (estrategias de aprendizaje, automática, programación inductiva, estadísticas…) que puede, para un conjunto determinado de objetivos definidos por seres humanos, generar información de salida como contenidos, predicciones, recomendaciones o decisiones que influyan en los entornos con los que interactúa.
ÁMBITO DE APLICACIÓN: Para garantizar la igualdad de condiciones y la protección efectiva de los derechos y libertades de las personas en toda la Unión, las normas establecidas en el presente Reglamento deben aplicarse a los proveedores de sistemas de IA sin discriminación, con independencia de si están establecidos en la Unión o en un tercer país, siempre que el sistema de IA se introduzca en el mercado de la Unión o su uso afecte a personas ubicadas en la UE, así como a los usuarios de sistemas de IA establecidos en la Unión o en un tercer país, cuando la información de salida generada por el sistema se emplee en la Unión.
CLASIFICACIÓN DEL RIESGO: Este Reglamento se basa en un enfoque centrado en el riesgo, con cuatro niveles de riesgo para los sistemas de IA con normas en función del nivel:
- Riesgo mínimo: La gran mayoría de los sistemas de IA que se utilizan actualmente o que es probable que se utilicen en la UE entran dentro de esta categoría. Podríamos incluir a los asistentes virtuales o Chatbots que interactúan con las personas, y que deberán cumplir unos requisitos mínimos de transparencia para con los usuarios.
- Alto riesgo: Se considera de alto riesgo un número limitado de sistemas de IA, que pueden tener un impacto adverso en la seguridad de las personas o en sus derechos fundamentales (protegidos por la Carta de los Derechos Fundamentales de la UE). Estos sistemas deberán cumplir con una serie de obligaciones y ser evaluados antes de su comercialización. Dichos sistemas de alto riesgo están permitidos en el mercado europeo siempre que cumplan determinados requisitos obligatorios y sean sometidos a una evaluación de la conformidad ex ante. Un sistema de IA se considera de alto riesgo en función de su finalidad prevista, conforme a la legislación vigente relativa a la seguridad de los productos.
Casos de alto riesgo
Estos son algunos ejemplos de casos de uso de alto riesgo tal y como se definen en el anexo III del Reglamento:
- Identificación biométrica y categorización de personas físicas, sistemas de IA destinados a utilizarse en la identificación biométrica remota «en tiempo real» o «en diferido» de personas físicas.
- Gestión y funcionamiento de infraestructuras esenciales: sistemas de IA destinados a utilizarse como componentes de seguridad en la gestión y funcionamiento del tráfico rodado y el suministro de agua, gas, calefacción y electricidad.
- Educación y formación profesional: sistemas de IA destinados a utilizarse para evaluar a los estudiantes de centros de educación y formación profesional y para evaluar a los participantes en pruebas generalmente necesarias para acceder a centros de educación.
- Empleo, gestión de los trabajadores y acceso al autoempleo: sistemas de IA destinados a utilizarse para la contratación o selección de personas físicas, especialmente para anunciar puestos vacantes, clasificar y filtrar solicitudes o evaluar a candidatos en el transcurso de entrevistas o pruebas.
- Acceso y disfrute de servicios públicos y privados esenciales y sus beneficios: sistemas de IA destinados a ser utilizados por las autoridades o en su nombre para evaluar la admisibilidad de las personas físicas para acceder a prestaciones y servicios de asistencia pública, así como para conceder, reducir, retirar o recuperar dichas prestaciones y servicios.
- Asuntos relacionados con la aplicación de la ley: sistemas de IA destinados a utilizarse por parte de las autoridades encargadas de la aplicación de la ley para llevar a cabo evaluaciones de riesgos individuales de personas físicas con el objetivo de determinar el riesgo de que cometan infracciones penales o reincidan en su comisión.
- Gestión de la migración, el asilo y el control fronterizo: sistemas de IA destinados a utilizarse por parte de las autoridades competentes para la verificación de la autenticidad de los documentos de viaje y la detección de documentos falsos mediante la comprobación de sus elementos de seguridad.
- Administración de justicia y procesos democráticos: sistemas de IA destinados a ayudar a una autoridad judicial en la investigación e interpretación de hechos y de la ley, así como en la aplicación de la ley a un conjunto concreto de hechos.
Casos prohibidos por riesgo inaceptable
Para algunos usos de la IA, el riesgo es inaceptable, y por lo tanto prohibidos en la UE. Se describe así un conjunto muy limitado de usos especialmente nocivos de la IA que contravienen los valores de la UE porque violan los derechos fundamentales y, por lo tanto, serán prohibidos:
- Puntuación social para fines públicos y privados.
- Explotación de las vulnerabilidades de las personas, uso de técnicas subliminales.
- Identificación biométrica remota en tiempo real en espacios de acceso público por parte de las fuerzas del orden, con sujeción a excepciones limitadas.
- Categorización biométrica de personas físicas basada en datos biométricos para deducir o inferir su raza, opiniones políticas, afiliación sindical, creencias religiosas o filosóficas u orientación sexual, a menos que se utilice para identificar a las víctimas.
- Policía predictiva individual.
- Reconocimiento de emociones en el lugar de trabajo y en las instituciones educativas, a menos que sea por razones médicas o de seguridad.
Si bien con carácter general se prohíbe el uso de la identificación biométrica remota en tiempo real en espacios de acceso público con fines policiales, se permitirá de forma excepcional bajo ciertas garantías en los siguientes casos:
- Búsqueda selectiva de víctimas específicas, secuestro, trata y explotación sexual de seres humanos y personas desaparecidas; o
- La prevención de la amenaza a la vida o la seguridad física de las personas o la respuesta a la amenaza actual o previsible de un ataque terrorista.
- Detección, la localización, la identificación o el enjuiciamiento de la persona que ha cometido o se sospecha que ha cometido alguno de los delitos mencionados en el artículo 2, apartado 2, de la Decisión Marco 2002/584/JAI del Consejo, de 13 de junio de 2002, relativa a la orden de detención europea y a los procedimientos de entrega entre Estados miembros.
Estos sistemas de identificación biométrica a distancia estarán supeditados a la concesión de una autorización previa por parte de una autoridad judicial o una autoridad administrativa independiente del Estado miembro donde vaya a utilizarse dicho sistema, que la otorgarán previa solicitud motivada y de conformidad con las normas detalladas del Derecho interno.
Clasificación de obligaciones
Dicha autorización tendrá que ir precedida de una evaluación de impacto previa sobre los derechos fundamentales y notificarse a la autoridad de vigilancia del mercado pertinente y a la autoridad de protección de datos.
OBLIGACIONES DE TRANSPARENCIA PARA DETERMINADOS SISTEMAS DE IA: El título IV del Reglamento se centra en determinados sistemas de IA para tener en cuenta los riesgos específicos de manipulación que conllevan. Se aplicarán obligaciones de transparencia a los sistemas que interactúen con seres humanos, se utilicen para detectar emociones o determinar la asociación a categorías sociales concretas a partir de datos biométricos, o generen o manipulen contenido. Cuando una persona interactúe con un sistema de IA o sus emociones o características sean reconocidas por medios automatizados, es preciso informarla de tal circunstancia. De este modo, las personas pueden adoptar decisiones fundamentadas o evitar una situación determinada.
OBLIGACIONES DE LOS PROVEEDORES: Antes de introducir un sistema de IA de alto riesgo en el mercado de la UE, los proveedores deberán someterlo a una evaluación de la conformidad. Esto les permitirá demostrar que su sistema cumple los requisitos obligatorios para una IA fiable (por ejemplo, calidad de los datos, documentación y trazabilidad, transparencia, supervisión humana, precisión, ciberseguridad y solidez). Esta evaluación debe repetirse si el sistema o su finalidad se modifican sustancialmente. Los proveedores de sistemas de IA de alto riesgo también tendrán que aplicar sistemas de gestión de la calidad y los riesgos para garantizar el cumplimiento de los nuevos requisitos y minimizar los riesgos para los usuarios y las personas afectadas, incluso después de la introducción de un producto en el mercado.
CUMPLIMIENTO Y SUPERVISIÓN DEL REGLAMENTO IA: Los Estados miembros desempeñan un papel clave en la aplicación y el cumplimiento del presente Reglamento. A este respecto, cada Estado miembro debe designar una o varias autoridades nacionales competentes para supervisar la aplicación y ejecución, así como para llevar a cabo actividades de vigilancia del mercado. Para aumentar la eficiencia y establecer un punto de contacto oficial con el público y otras contrapartes, cada Estado miembro debe designar una autoridad nacional de supervisión, que también representará al país en el Comité Europeo de Inteligencia Artificial.
Además, la Comisión creará una nueva Oficina Europea de IA, dentro de la Comisión, que supervisará los modelos de IA de uso general, cooperará con el Comité Europeo de Inteligencia Artificial y contará con el apoyo de un panel científico de expertos independientes.
Por su parte, España anticipándose a la entrada en vigor del Reglamento europeo de IA ha creado la AESIA (Agencia española de supervisión de inteligencia artificial con sede en la Coruña), convirtiéndose así en el primer país europeo en tener un órgano de estas características, que representará a España ante el Comité Europeo de IA.
El Comité Europeo de Inteligencia Artificial está compuesto por representantes de alto nivel de las autoridades nacionales de supervisión competentes, el Supervisor Europeo de Protección de Datos y la Comisión. Su función es facilitar una aplicación fluida, eficaz y armonizada del nuevo Reglamento sobre IA. El Comité emitirá recomendaciones y dictámenes a la Comisión en relación con los sistemas de IA de alto riesgo y sobre otros aspectos pertinentes para la aplicación efectiva y uniforme de las nuevas normas.
SANCIONES: Cuando se introduzcan en el mercado o se utilicen sistemas de IA que no cumplan los requisitos del Reglamento, los Estados miembros tendrán que establecer sanciones efectivas, proporcionadas y disuasorias, incluidas multas administrativas, en relación con las infracciones y comunicarlas a la Comisión. El Reglamento establece umbrales que deberán tenerse en cuenta pudiendo alcanzar hasta 35 millones de euros o el 7% del volumen de negocios anual total a nivel mundial del ejercicio financiero (el que sea mayor).
INNOVACIÓN: La Ley de IA permite además la creación de entornos de pruebas regulatorios y pruebas en el mundo real, que proporcionan un entorno controlado para probar tecnologías innovadoras durante un tiempo limitado, fomentando así la innovación por parte de empresas, pymes y empresas emergentes de conformidad con la Ley de IA. Es en este contexto donde España ha dado un paso más y en colaboración con la Comisión Europea ha publicado el Real Decreto 17/2023 de 8 de noviembre por el que se establece el primer entorno controlado de pruebas para el cumplimiento de la propuesta de Reglamento Europeo de IA.
Aplicabilidad y entrada en vigor
Tendremos que esperar un plazo de tiempo para su aprobación definitiva por el Parlamento Europeo y el Consejo, estando prevista su entrada en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial. Si bien será plenamente aplicable 24 meses después de su entrada en vigor.
Al igual que ocurrió en su día con la entrada en vigor del Reglamento General de Protección de Datos, la Ley de IA se compromete a desarrollar un marco global y tecnológicamente adaptado que complementará el RGPD, con pautas específicas para la protección de datos personales y los derechos fundamentales de las personas. De tal forma, que aquellas empresas que vayan a desarrollar e implementar sus propios sistemas de IA estarán reguladas no solo por el RGPD sino también por la Ley de IA y deberán contar con políticas internas de uso de IA, evaluaciones de riesgos y de impacto de derechos fundamentales antes de su puesta en marcha.