Con el objetivo de revolucionar los diversos sectores como la educación, la salud, la industria, así como los servicios públicos, emerge la inteligencia artificial (IA) como una de las tecnologías mas transformadoras de nuestro tiempo. Ahora bien, con su creciente adopción, también han surgido preocupaciones significativas sobre su impacto en la privacidad, la seguridad y los derechos fundamentales. En respuesta a estos desafíos, la Unión Europea ha propuesto un Reglamento sobre la Inteligencia Artificial, conocido como la Ley de IA, que busca establecer un marco legal armonizado para el desarrollo y uso de sistemas de IA dentro del mercado único europeo.
El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo de 13 de junio de 2024 por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) 300/2008, (UE) 167/2013, (UE) 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial) tiene como objetivo principal garantizar que los sistemas de IA utilizados en Europa sean seguros, transparentes, éticos y respetuosos con los derechos fundamentales. Para lograr esto, el Reglamento, también conocido como RIA, introduce una serie de medidas y obligaciones para las empresas, los proveedores, y otras partes involucradas en la cadena de valor de la IA.
A lo largo del presente artículo analizaremos algunos de los puntos clave que trae consigo el presente Reglamento con el fin de entender su aplicación a la hora de implantar un sistema adecuado de IA y los retos y obligaciones que conlleva.
Ámbito de aplicación del Reglamento de Inteligencia Artificial.
Según lo definido en la primera mitad del artículo 2 del presente Reglamento (UE) 2024/1689 o RIA será aplicable a:
“a) los proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA o que introduzcan en el mercado modelos de IA de uso general en la Unión, con independencia de si dichos proveedores están establecidos o ubicados en la Unión o en un tercer país;
b) los responsables del despliegue de sistemas de IA que estén establecidos o ubicados en la Unión;
c) los proveedores y responsables del despliegue de sistemas de IA que estén establecidos o ubicados en un tercer país, cuando los resultados de salida generados por el sistema de IA se utilicen en la Unión;
d) los importadores y distribuidores de sistemas de IA;
e) los fabricantes de productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con su propio nombre o marca;
f) los representantes autorizados de los proveedores que no estén establecidos en la Unión;
g) las personas afectadas que estén ubicadas en la Unión.
2. A los sistemas de IA clasificados como sistemas de IA de alto riesgo de conformidad con el artículo 6, apartado 1, y relativos a productos regulados por los actos legislativos de armonización de la Unión enumerados en la sección B del anexo I, únicamente se les aplicará el artículo 6, apartado 1, y los artículos 102 a 109 y el artículo 112. El artículo 57 se aplicará únicamente en la medida en que los requisitos para los sistemas de IA de alto riesgo en virtud del presente Reglamento se hayan integrado en dichos actos legislativos de armonización de la Unión.”
Podemos resumir que el ámbito de aplicación en aquellos proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA o que introduzcan en el mercado modelos de IA de uso general en la Unión, con independencia de donde estén establecidos, los proveedores y responsables del despliegue de sistemas de IA que estén establecidos o ubicados en un tercer país, cuando los resultados de salida generados por el sistema de IA se utilicen en la Unión, los importadores y distribuidores de sistemas de IA, los fabricantes de productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con su propio nombre o marca, los representantes autorizados de los proveedores que no estén establecidos en la Unión y las personas afectadas que estén ubicadas en la Unión.
En la segunda mitad del mismo artículo, viene a recoger las situaciones en las que no será aplicable el Reglamento, el cual se indica a continuación:
“3. El presente Reglamento no se aplicará a los ámbitos que queden fuera del ámbito de aplicación del Derecho de la Unión y, en cualquier caso, no afectará a las competencias de los Estados miembros en materia de seguridad nacional, independientemente del tipo de entidad a la que los Estados miembros hayan encomendado el desempeño de tareas en relación con dichas competencias.
El presente Reglamento no se aplicará a los sistemas de IA que, y en la medida en que, se introduzcan en el mercado, se pongan en servicio o se utilicen, con o sin modificaciones, exclusivamente con fines militares, de defensa o de seguridad nacional, independientemente del tipo de entidad que lleve a cabo estas actividades.
El presente Reglamento no se aplicará a los sistemas de IA que no se introduzcan en el mercado o no se pongan en servicio en la Unión en los casos en que sus resultados de salida se utilicen en la Unión exclusivamente con fines militares, de defensa o de seguridad nacional, independientemente del tipo de entidad que lleve a cabo estas actividades.
4. El presente Reglamento no se aplicará a las autoridades públicas de terceros países ni a las organizaciones internacionales que entren dentro del ámbito de aplicación de este Reglamento conforme al apartado 1 cuando dichas autoridades u organizaciones utilicen sistemas de IA en el marco de acuerdos o de la cooperación internacionales con fines de garantía del cumplimiento del Derecho y cooperación judicial con la Unión o con uno o varios Estados miembros, siempre que tal tercer país u organización internacional ofrezca garantías suficientes con respecto a la protección de los derechos y libertades fundamentales de las personas.
5. El presente Reglamento no afectará a la aplicación de las disposiciones relativas a la responsabilidad de los prestadores de servicios intermediarios que figuran en el capítulo II del Reglamento (UE) 2022/2065.
Por tanto, podríamos decir que el RIA no se aplicará a las autoridades públicas de terceros países ni a las organizaciones internacionales que entren dentro del ámbito de aplicación de este Reglamento conforme al apartado 1 cuando dichas autoridades u organizaciones utilicen sistemas de IA en el marco de acuerdos o de la cooperación internacionales con fines de garantía del cumplimiento del Derecho y cooperación judicial con la Unión o con uno o varios Estados miembros, junto con el ofrecimiento de garantías suficientes con respecto a la protección de los derechos y libertades fundamentales de las personas.
Clasificación y regulación de sistemas de IA de Alto Riesgo.
Uno de los pilares del RIA es la clasificación de los sistemas de IA en función de su nivel de riesgo. Unos sistemas de IA de alto riesgo, que incluyen aplicaciones en sectores críticos como la salud, la seguridad y la justicia, sujetos a requisitos estrictos recogidos dentro del artículo 6, 7, 8 y 9 junto con las reglas de clasificación y requisitos que podríamos resumir de la siguiente manera:
1. Componentes de seguridad: Si el sistema de IA se utiliza como componente de seguridad de un producto que entra en el ámbito de los actos legislativos de armonización de la Unión, o si el propio sistema de IA es uno de estos productos. Además, si el producto o el sistema de IA debe someterse a una evaluación de conformidad de terceros para su introducción en el mercado o puesta en servicio según los actos legislativos de armonización de la Unión.
2. Sistemas de IA del anexo III: Los sistemas de IA enumerados en el Anexo III del Reglamento se consideran de alto riesgo, excepto cuando no representen un riesgo significativo para la salud, la seguridad o los derechos fundamentales de las personas, o no influyan sustancialmente en la toma de decisiones, ya sea humana o automatizada. Para ello, deben cumplirse las siguientes condiciones:
- El sistema de IA realiza tareas de procedimiento limitadas, como transformar datos no estructurados en estructurados, clasificar documentos o detectar duplicados.
- El sistema de IA mejora el resultado de una actividad humana previamente realizada, añadiendo un nivel adicional y, por lo tanto, presentando un riesgo menor.
- El sistema de IA detecta patrones de toma de decisiones o desviaciones sin sustituir la valoración humana previa, ni influir en ella sin una revisión adecuada.
- El sistema de IA realiza tareas preparatorias para una evaluación relevante según los casos de uso del anexo III, con una repercusión mínima en la evaluación subsiguiente.
3. Elaboración de perfiles: Todos los sistemas de IA del Anexo III se consideran de alto riesgo cuando elaboran perfiles de personas físicas.
4. Documentación y registro: Los proveedores que consideren que un sistema de IA no es de alto riesgo deben elaborar la documentación de evaluación antes de su introducción en el mercado o puesta en servicio y facilitarla a las autoridades nacionales competentes cuando lo soliciten, además de registrar el sistema en la base de datos de la UE.
5. Datos biométricos: Los sistemas de IA que utilizan datos biométricos se clasifican como de alto riesgo debido al riesgo de sesgos y efectos discriminatorios, excepto los destinados a la verificación biométrica para confirmar la identidad de una persona con fines de acceso a servicios, dispositivos o locales seguros.
6. Infraestructuras críticas: Los sistemas de IA utilizados como componentes de seguridad en la gestión y funcionamiento de infraestructuras digitales críticas (Anexo, punto 8, Directiva (UE) 2022/2557) se consideran de alto riesgo debido al potencial peligro para la vida y la salud de las personas y la alteración de actividades sociales y económicas.
7. Ámbito educativo: Los sistemas de IA utilizados en la educación o formación profesional que determinan el acceso, distribución, evaluación de resultados de aprendizaje, nivel educativo y supervisión de comportamientos prohibidos se consideran de alto riesgo, ya que pueden afectar significativamente la trayectoria formativa y profesional de una persona.
8. Ámbito laboral: Los sistemas de IA utilizados en el empleo, gestión de trabajadores y acceso al autoempleo, especialmente para contratación, selección de personal, decisiones laborales, promoción, rescisión de contratos, asignación de tareas y supervisión o evaluación de personas, se consideran de alto riesgo debido a su impacto en las perspectivas laborales y medios de subsistencia de las personas.
9. Elecciones: Los diseñados para influir en el resultado de elecciones o referendos, o en el comportamiento electoral de las personas al ejercer su voto. Sin embargo, se excluyen de esta clasificación los sistemas de IA cuyos resultados no son directamente expuestos a las personas, como las herramientas utilizadas para la organización, optimización y estructuración de campañas políticas desde una perspectiva administrativa y logística.
Medidas técnicas y obligaciones para los sistemas de IA de alto riesgo.
En el desarrollo de una IA catalogada como alto riesgo previamente definida, deberá ir acompañada de una serie de medidas técnicas necesarias y obligaciones como desarrolla el RIA a lo largo del artículo 10 del presente Reglamento y siguientes que podríamos resumir de manera muy acotada del siguiente modo:
1. Sistema de gestión de riesgos: Los proveedores de sistemas de IA de alto riesgo deben implementar un sistema de gestión de riesgos que identifique, evalúe y mitigue los riesgos potenciales para la salud, la seguridad y los derechos fundamentales.
2. Gobernanza y gestión de datos: Se requiere que los conjuntos de datos utilizados para entrenar, validar y probar los sistemas de IA sean de alta calidad, representativos y libres de sesgos. Esto es crucial para garantizar que los sistemas de IA funcionen de manera justa y precisa.
3. Documentación técnica y archivos de registro: Los proveedores deben mantener una documentación técnica detallada que demuestre el cumplimiento con el Reglamento. Además, deben generar y conservar archivos de registro que permitan la trazabilidad de las decisiones y acciones del sistema de IA a lo largo de su ciclo de vida.
4. Transparencia e información: Los desplegadores de sistemas de IA deben recibir información suficiente para interpretar y utilizar correctamente los resultados generados por el sistema. Esto incluye la provisión de explicaciones claras sobre cómo funciona el sistema y cómo se toman las decisiones.
5. Supervisión humana: Se deben implementar medidas para garantizar que los sistemas de IA de alto riesgo estén sujetos a una supervisión humana adecuada. Esto es esencial para prevenir o minimizar los riesgos asociados con el uso de estos sistemas.
Prohibición de prácticas de IA inaceptables.
Por otra parte, presente Reglamento (UE) 2024/1689 o RIA también establece una prohibición explícita de ciertas prácticas de IA que se consideran inaceptables debido a su potencial para causar daño significativo. Dichas prácticas las podríamos catalogar en el siguiente orden:
1. Técnicas manipulativas o engañosas: Prohibido el uso de sistemas de IA que manipulen el comportamiento humano de manera que cause daño físico o psicológico.
2. Explotación de vulnerabilidades: No se permite el uso de sistemas de IA que exploten las vulnerabilidades de grupos específicos, como menores de edad o personas con discapacidades, para influir en su comportamiento de manera perjudicial.
3. Puntuación social: Prohibido la utilización de sistemas de IA para la puntuación social, una práctica que implica la evaluación y clasificación de individuos en función de su comportamiento social, económico o personal.
4. Identificación Biométrica remota en tiempo real: La identificación biométrica remota en tiempo real en espacios públicos para fines de aplicación de la ley está prohibida, salvo en circunstancias excepcionales y bajo estrictas condiciones.
Responsabilidades de los proveedores y responsables de despliegue.
Cabe destacar que el RIA impone una serie de responsabilidades tanto a los proveedores como a los responsables de despliegue de sistemas de IA. Los proveedores son responsables de garantizar que sus sistemas cumplan con todos los requisitos del Reglamento antes de su comercialización. Esto incluye la realización de evaluaciones de conformidad, la implementación de medidas de mitigación de riesgos y la provisión de documentación técnica detallada.
Por otro lado, los responsables de despliegue de sistemas de IA deben asegurarse de que los sistemas que utilizan sean seguros y cumplan con el Reglamento. Esto implica la realización de evaluaciones de impacto, la implementación de medidas de supervisión y la provisión de información clara y comprensible a los usuarios finales.
Cooperación junto con las autoridades competentes.
A fin de garantizar que el uso, implantación y comercialización sea adecuado se ha procedido a crear una Junta Europea de IA, que tendrá la responsabilidad de apoyar la implementación, el monitoreo y la supervisión de los sistemas de IA en toda la UE. Los proveedores y responsables de despliegue de sistemas de IA deben cooperar plenamente con las autoridades competentes, proporcionando toda la información y documentación necesaria para demostrar el cumplimiento con el Reglamento.
A lo largo del considerando 149 nos adelanta una idea clara de las funciones de la Junta Europea de IA que viene desarrollar de la siguiente manera: “El Consejo de IA debe encargarse de diversas tareas de asesoramiento. Entre otras cosas, debe emitir dictámenes, recomendaciones e informes de asesoramiento o contribuir a orientaciones sobre asuntos relacionados con la aplicación de este Reglamento, también en lo que respecta la ejecución, las especificaciones técnicas o las normas existentes en relación con los requisitos previstos en el presente Reglamento, y asesorar a la Comisión y a los Estados miembros, así como a sus autoridades nacionales competentes, en cuestiones específicas vinculadas a la IA.”
Fechas clave de entrada en aplicación del RIA.
Entrando en la fase final del presente artículo, recalcar las fechas esenciales de entrada en vigor y aplicación debido a que le presente Reglamento señala en su artículo 113, fechas distintas para los próximos años y que deberemos tener en cuenta y que podemos ordenar de la siguiente manera:
- Primero. El Reglamento será aplicable a partir del 2 de agosto de 2026.
- Segundo. Los capítulos I y II serán aplicables a partir del 2 de febrero de 2025.
- Tercero. El capítulo III, sección 4, el capítulo V, el capítulo VII y el capítulo XII y el artículo 78 serán aplicables a partir del 2 de agosto de 2025, a excepción del artículo 101.
- Cuarto. El artículo 6, apartado 1, y las obligaciones correspondientes del presente Reglamento serán aplicables a partir del 2 de agosto de 2027.
Conclusión.
El Reglamento (UE) 2024/1689 representa un paso significativo hacia la creación de un marco legal robusto y armonizado para la inteligencia artificial en Europa. Al establecer requisitos claros y estrictos para los sistemas de IA de alto riesgo, prohibir prácticas inaceptables y promover la transparencia y la supervisión humana, el Reglamento o RIA busca garantizar que la IA se desarrolle y utilice de manera segura, ética y respetuosa con los derechos fundamentales.
