Ley de IA de la UE: Propuesta del Reglamento de IA de la Unión Europea

Tras la aparición de diferentes inteligencias artificiales como la popular ChatGPT la Comisión Europea mueve ficha y ha desvelado el contenido de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de Inteligencia Artificial (Ley de Inteligencia Artificial). Aunque todavía se trata de una propuesta, que debe continuar su proceso burocrático hasta su aprobación definitiva, sí podemos compartir con vosotros los puntos más relevantes de su contenido.

El objetivo del futuro Reglamento es establecer un marco jurídico uniforme, en particular en lo que respecta al desarrollo, la comercialización y la utilización de la inteligencia artificial de conformidad con los valores de la Unión Europea (en adelante, “UE”). En otras palabras, regular la introducción en el mercado y la puesta en servicio de determinados sistemas de IA, ya que la UE busca ser la líder mundial en el desarrollo de una IA segura, digna de confianza y ética.

Hay que destacar que el Reglamento de IA resultará de aplicación a:

1. Los proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA en la Unión, con independencia de si dichos proveedores están establecidos en la Unión o en un tercer país.
2. Los usuarios de sistemas de IA que se encuentren en la Unión.
3. Los proveedores y usuarios de sistemas de IA que se encuentren en un tercer país, cuando la información de salida generada por el sistema se utilice en la Unión.

No se aplicará a los sistemas de IA desarrollados o utilizados exclusivamente con fines militares; ni las autoridades públicas de terceros países ni a las organizaciones internacionales cuando dichas autoridades u organizaciones utilicen sistemas de IA en el marco de acuerdos internacionales con fines de aplicación de la ley y cooperación judicial con la Unión o con uno o varios Estados miembros.

Por primera vez se define jurídicamente el concepto de «Sistema de inteligencia artificial (sistema de IA)»: “el software que se desarrolla empleando una o varias de las técnicas y estrategias que figuran en el anexo I y que puede, para un conjunto determinado de objetivos definidos por seres humanos, generar información de salida como contenidos, predicciones, recomendaciones o decisiones que influyan en los entornos con los que interactúa”. Con el objetivo de proporcionar la seguridad jurídica necesaria, este concepto se complementará con el contenido del anexo I del Reglamento, que contiene una lista detallada de las estrategias y técnicas para el desarrollo de la IA que la Comisión deberá adaptar a los nuevos avances tecnológicos.

En el articulado también se proporcionan una serie de definiciones de los principales participantes en la cadena de valor de la IA, como los proveedores y los usuarios de sistemas de IA, entre los que se incluyen los operadores públicos y privados para garantizar la igualdad de condiciones.

Entrando en la regulación de la materia, el proyecto de Reglamento sigue un enfoque basado en el riesgo. Para ello, el proyecto distingue entre sistemas de IA que plantean:

1. Riesgo inaceptable: Aquellos que violan derechos fundamentales, como manipular personas o grupos vulnerables de manera perjudicial.
2. Riesgo elevado: Permitidos en el mercado europeo con requisitos obligatorios y evaluación de la conformidad ex ante.
3. Riesgo limitado: Requisitos menos estrictos.
4. Riesgo bajo o mínimo: Sin regulaciones especiales.

Las prácticas de IA de riesgo inaceptable serán aquellas que, entre otros, violen derechos fundamentales. Por ejemplo, aquellas prácticas que tienen un gran potencial para manipular a las personas mediante técnicas subliminales que trasciendan su consciencia o que aprovechan las vulnerabilidades de grupos vulnerables concretos, como los menores o las personas con discapacidad, para alterar de manera sustancial su comportamiento de un modo que es probable que les provoque perjuicios físicos o psicológicos a ellos o a otras personas.

Por el contrario, las prácticas de IA de alto riesgo estarán permitidas en el mercado europeo siempre que cumplan determinados requisitos obligatorios y sean sometidos a una evaluación de la conformidad ex ante. Cabe destacar, que se regula para los proveedores de IA el deber de implementación de sistemas de gestión de riesgos asociados a los sistemas de IA de alto riesgo.

El sistema de gestión de riesgos consistirá en un proceso continuo que se llevará a cabo durante todo el ciclo de vida de un sistema de IA de alto riesgo, el cual requerirá actualizaciones sistemáticas periódicas. Constará de las siguientes etapas:

• la identificación y el análisis de los riesgos conocidos y previsibles vinculados a cada sistema de IA de alto riesgo;
• la estimación y la evaluación de los riesgos que podrían surgir cuando el sistema de IA de alto riesgo en cuestión se utilice conforme a su finalidad prevista y cuando se le dé un uso indebido razonablemente previsible;
• la evaluación de otros riesgos que podrían surgir a partir del análisis de los datos recogidos con el sistema de seguimiento posterior a la comercialización al que se refiere el artículo 61;
• la adopción de medidas oportunas de gestión de riesgos con arreglo a lo dispuesto en los apartados siguientes.

En materia de protección de datos personales, se impone la obligación a los usuarios de sistemas de IA de alto riesgo de llevar a cabo una evaluación de impacto relativa a la protección de datos que les imponen el artículo 35 del RGPD, cuando corresponda.

En lo que respecta a las autoridades de control y supervisión, a nivel de la Unión Europea, la propuesta establece un Consejo Europeo de Inteligencia Artificial (compuesto por representantes de los Estados miembros y de la Comisión Europea), para facilitar la aplicación armonizada de las nuevas normas y garantizar la cooperación entre las autoridades nacionales de supervisión y la Comisión. A nivel nacional, los Estados miembros tendrían que designar una o varias autoridades competentes, incluida una autoridad nacional de supervisión, que se encargaría de supervisar la aplicación y ejecución del reglamento. España ha sido el primer país de la Unión Europea en constituir la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), cuya sede se establecerá en A Coruña.

Finalmente, a nivel de sanciones, el reglamento prevé multas administrativas de diversa cuantía (de hasta 30.000.000 EUR o, si el infractor es una empresa, de hasta el 6 % del volumen de negocio total anual mundial del ejercicio financiero anterior, si esta cuantía fuese superior), en función de la gravedad de la infracción. Los Estados miembros deberán establecer el régimen de sanciones, incluidas las multas administrativas, y adoptar todas las medidas necesarias para garantizar su correcta y eficaz aplicación.

El 14 de junio de 2023, el Parlamento Europeo adoptó su posición sobre el texto del Reglamento y aprobó una serie de enmiendas sobre la propuesta[1], entre las que se destacan las siguientes propuestas de modificación:

• Se define «Sistema de inteligencia artificial (sistema de IA)»: de acuerdo con la propuesta de la OCDE, es decir, “un sistema basado en máquinas diseñado para funcionar con diversos niveles de autonomía y capaz, para objetivos explícitos o implícitos, de generar información de salida —como predicciones, recomendaciones o decisiones— que influya en entornos reales o virtuales como una máquina autónoma capaz de generar información que afecta entornos reales o virtuales”.
• Se amplía la aplicabilidad del Reglamento a los implementadores (y no sólo los proveedores) de sistemas de IA; cuando el resultado vaya a utilizarse en la UE o estos implementadores se encuentren en la UE (con independencia de donde se utilice el sistema IA).
• Se modifican definiciones y se incorporan otras nuevas, tales como: riesgo significativo, riesgo, modelo fundacional, sistema de IA de uso general, ciclo de entrenamiento amplio, persona afecta, entre otras.
• Se configura un nuevo art. 4 que recogería los principios generales aplicables a todos los sistemas de IA: intervención y vigilancia humanas; solidez y seguridad técnicas; privacidad y gobernanza de datos; transparencia; diversidad, no discriminación y equidad; y bienestar social y medioambiental.
• Se propone prohibir el uso de sistemas de IA para la identificación biométrica remota «en tiempo real» en lugares públicos. En relación con los sistemas de identificación biométrica remota «en diferido» también deberían prohibirse, a menos que exista una autorización judicial previa para su uso en el contexto de la aplicación de la ley, cuando sea estrictamente necesario para la investigación específica de un delito grave que ya haya tenido lugar, y solo previa autorización judicial.
• Se amplía la lista de sistemas y aplicaciones de IA que deben considerarse de alto riesgo.
• Se proponen cuatro niveles de sanciones, frente a los tres niveles propuestos inicialmente. Asimismo, las sanciones más elevadas resultarían en multas administrativas de hasta 40 000 000 EUR o, si el infractor es una empresa, de hasta el 7 % del volumen de negocio total anual mundial del ejercicio financiero anterior, si esta cuantía fuese superior. Adicionalmente, se contemplarían multas intermedias de 20 000 000 EUR o de hasta el 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, y de hasta 10 000 000 EUR o de hasta el 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, para el caso de incumplimiento del sistema de IA o el modelo fundacional de las normas incluidas en los artículos 5, 10 y 13. Finalmente, se proponen sanciones más bajas, 5 000 000 EUR o de hasta el 1% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, por facilitar información incorrecta, incompleta o engañosa a organismos o autoridades nacionales competentes en respuesta a una solicitud.

En los meses venideros, se llevarán a cabo conversaciones entre el Parlamento Europeo, el Consejo y la Comisión con el propósito de ultimar los detalles del texto definitivo, por lo que todavía tendremos que esperar un tiempo para conocer la redacción final del Reglamento Europeo de Inteligencia Artificial. En principio, se espera que este texto sea aprobado antes de que concluya el año, coincidiendo con la presidencia española del Consejo de la Unión Europea.

[1] https://www.europarl.europa.eu/doceo/document/TA-9-2023-0236_ES.html

La propuesta del Reglamento de IA de la UE representa un paso significativo para establecer un marco regulatorio claro con el objetivo de establecer una IA segura y ética. Si finalmente se aprueba, impactará a proveedores y usuarios de sistemas de IA en la Unión Europea, asegurando la protección de datos y derechos fundamentales, y fomentando la confianza en las inteligencias artificiales.