Ley de IA: Reglamento de Inteligencia Artificial de la Unión Europea

Tras la aparición de diferentes inteligencias artificiales como la popular ChatGPT y tras muchos meses de debate, la Eurocámara ha aprobado Ley de Inteligencia Artificial, por la que se establecen normas armonizadas en materia de Inteligencia Artificial para garantizar la seguridad y el respeto de los derechos fundamentales al tiempo que se impulsa la innovación.

El objetivo de la Ley de Inteligencia Artificial es establecer un marco jurídico uniforme, en particular en lo que respecta al desarrollo, la comercialización y la utilización de la inteligencia artificial de conformidad con los valores de la Unión Europea (en adelante, “UE”). En otras palabras, regular la introducción en el mercado y la puesta en servicio de determinados sistemas de IA, ya que la UE busca ser la líder mundial en el desarrollo de una IA segura, digna de confianza y ética.

Hay que destacar que Ley de Inteligencia Artificial resultará de aplicación a:

1. los proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA o que introduzcan en el mercado modelos de IA de uso general en la Unión, con independencia de si dichos proveedores están establecidos o ubicados en la Unión o en un tercer país;
2. los responsables del despliegue de sistemas de IA que estén establecidos o ubicados en la Unión;
3. los proveedores y responsables del despliegue de sistemas de IA que estén establecidos o ubicados en un tercer país, cuando la información de salida generada por el sistema de IA se utilice en la Unión.
4. los importadores y distribuidores de sistemas de IA;
5. los fabricantes de productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con su propio nombre o marca comercial;
6. los representantes autorizados de los proveedores que no estén establecidos en la Unión;
7. las personas afectadas que estén ubicadas en la Unión.

Entre otra serie de supuestos que se desarrollan a lo largo del Artículo 2 de la Ley, no resultará de aplicación a los sistemas de IA desarrollados o utilizados exclusivamente con fines militares; ni las autoridades públicas de terceros países ni a las organizaciones internacionales cuando dichas autoridades u organizaciones utilicen sistemas de IA en el marco de acuerdos internacionales con fines de aplicación de la ley y cooperación judicial con la Unión o con uno o varios Estados miembros.

Por primera vez se define jurídicamente el concepto de «Sistema de inteligencia artificial (sistema de IA)»: “un sistema basado en una máquina diseñado para funcionar con distintos niveles de autonomía, que puede mostrar capacidad de adaptación tras el despliegue y que, para objetivos explícitos o implícitos, infiere de la información de entrada que recibe la manera de generar información de salida, como predicciones, contenidos, recomendaciones o decisiones, que puede influir en entornos físicos o virtuales”.

En el articulado también se proporcionan una serie de definiciones de los principales participantes en la cadena de valor de la IA, como los proveedores, distribuidores, importadores o los usuarios de sistemas de IA, entre otros.

Entrando en la regulación de la materia, Ley de Inteligencia Artificial sigue un enfoque basado en el riesgo. Para ello, distingue entre sistemas de IA que plantean:

1. Prácticas de IA prohibidas: Aquellos que violan derechos fundamentales, como manipular personas o grupos vulnerables de manera perjudicial.
2. Sistemas de IA de alto riesgo: Permitidos en el mercado europeo con requisitos obligatorios y evaluación de la conformidad ex ante.
3. Sistemas de IA de riesgo limitado: Requisitos menos estrictos.
4. Sistemas de IA de riesgo bajo o mínimo: Sin regulaciones especiales.

Las prácticas de IA prohibidas serán aquellas que, entre otros, violen derechos fundamentales. Por ejemplo, aquellas prácticas que tienen un gran potencial para manipular a las personas mediante técnicas subliminales que trasciendan su consciencia o que aprovechan las vulnerabilidades de grupos vulnerables concretos, como los menores o las personas con discapacidad, para alterar de manera sustancial su comportamiento de un modo que es probable que les provoque perjuicios físicos o psicológicos a ellos o a otras personas.

Por el contrario, las prácticas de IA de alto riesgo estarán permitidas en el mercado europeo siempre que cumplan determinados requisitos obligatorios y sean sometidos a una evaluación de la conformidad ex ante. Cabe destacar, que se regula para los proveedores de IA el deber de implementación de sistemas de gestión de riesgos asociados a los sistemas de IA de alto riesgo.

El sistema de gestión de riesgos consistirá en un proceso continuo que se llevará a cabo durante todo el ciclo de vida de un sistema de IA de alto riesgo, el cual requerirá actualizaciones sistemáticas periódicas con el objeto detectar y mitigar los riesgos pertinentes de los sistemas de IA para la salud, la seguridad y los derechos fundamentales. Constará de las siguientes etapas:

• la identificación y el análisis de los riesgos conocidos y previsibles vinculados a cada sistema de IA de alto riesgo;
• la estimación y la evaluación de los riesgos que podrían surgir cuando el sistema de IA de alto riesgo en cuestión se utilice conforme a su finalidad prevista y cuando se le dé un uso indebido razonablemente previsible;
• la evaluación de otros riesgos que podrían surgir a partir del análisis de los datos recogidos con el sistema de seguimiento posterior a la comercialización al que se refiere el artículo 61;
• la adopción de medidas oportunas de gestión de riesgos con arreglo a lo dispuesto en los apartados siguientes.

En materia de protección de datos personales, se impone la obligación a los usuarios de sistemas de IA de alto riesgo de llevar a cabo una evaluación de impacto relativa a la protección de datos que les imponen el artículo 35 del RGPD, cuando corresponda.

La Oficina Europea de IA será el centro de la experiencia en IA en toda la Unión Europea. Desempeñará un papel clave en la aplicación de la Ley, especialmente para la IA de propósito general, fomentará el desarrollo y el uso de IA confiable y la cooperación internacional. La Oficina de IA se creó en la Comisión Europea como centro de conocimientos especializados en IA y constituye la base de un único sistema europeo de gobernanza de la IA.

Adicionalmente, cada Estado miembro nombrará o constituirá al menos una autoridad notificante que será responsable de establecer y llevar a cabo los procedimientos necesarios para la evaluación, designación y notificación de los organismos de evaluación de la conformidad, así como de su supervisión.

España ha sido el primer país de la Unión Europea en constituir la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), cuya sede se establecerá en A Coruña.

Finalmente, a nivel de sanciones, la Ley de IA prevé multas administrativas de diversa cuantía (de hasta 35.000.000 EUR o, si el infractor es una empresa, de hasta el 7 % del volumen de negocio total anual mundial del ejercicio financiero anterior, si esta cuantía fuese superior), en función de la gravedad de la infracción. Los Estados miembros deberán establecer el régimen de sanciones, incluidas las multas administrativas, y adoptar todas las medidas necesarias para garantizar su correcta y eficaz aplicación.

Aunque todavía queda una última comprobación jurídico-lingüística, su aprobación parece que está prevista para antes de que finalice la legislatura. Adicionalmente, la ley deberá ser adoptada formalmente por el Consejo.

La Ley de IA de la UE representa un paso significativo para establecer un marco regulatorio claro con el objetivo de establecer una IA segura y ética. En el momento de su entrada en vigor, impactará a proveedores y usuarios de sistemas de IA en la Unión Europea, asegurando la protección de datos y derechos fundamentales, y fomentando la confianza en las inteligencias artificiales.