La inteligencia artificial (en adelante IA), tiene un papel central en la transformación digital de la sociedad. Aunque se espera que sus aplicaciones futuras impliquen grandes cambios, la IA ya está muy presente en nuestras vidas. Desde nuestro Smartphone con asistentes de voz y herramientas de navegación hasta el monitoreo en Redes Sociales en base a tu experiencia como usuario hacen uso de la IA.
La inteligencia artificial es un conjunto de tecnologías disruptivas de rápida evolución que puede generar un amplio abanico de beneficios económicos y sociales en todos los sectores y actividades de la sociedad. El uso de la inteligencia artificial puede proporcionar ventajas competitivas esenciales a las empresas y facilitar la obtención de resultados positivos en sectores de alto impacto como el cambio climático, la salud, la agricultura, la educación y el transporte. Pero al mismo tiempo, debido a su reciente y rápida evolución y dependiendo de las circunstancias de su aplicación y utilización concretas, la inteligencia artificial tiene su cara B, pudiendo generar riesgos sobre los derechos fundamentales de la ciudadanía como los relativos a discriminación y protección de datos personales.
La UE consciente de rápido avance de la IA ha querido establecer un marco jurídico de la Unión que defina unas normas armonizadas en materia de IA orientadas a asegurar el respeto a los derechos fundamentales y genera confianza en el desarrollo y utilización de la IA. Estamos ante la primera ley integral de IA del mundo. Su objetivo es garantizar que los sistemas IA comercializados en el mercado europeo y utilizados en la UE sean seguros y respeten los derechos fundamentales.
Es por ello, que tras un largo y difícil proceso de negociación, el pasado 9 de diciembre de 2023 el Parlamento y el Consejo de la UE alcanzaron un acuerdo provisional sobre la futura Ley de Inteligencia Artificial en forma de Reglamento.
Dicho Reglamento pretender conseguir entre otros los siguientes objetivos específicos:
- garantizar que los sistemas de IA introducidos y usados en el mercado de la UE sean seguros y respeten la legislación vigente en materia de derechos fundamentales y valores de la Unión.
- garantizar la seguridad jurídica para facilitar la inversión e innovación en IA.
Por tanto es fundamental conocer las claves que se asienta el futuro nuevo Reglamento de IA y que a modo de resumen exponemos a continuación:
1.- DEFINICIÓN DE SISTEMA DE IA: El Reglamento nos da una definición única de la IA que pueda resistir el paso del tiempo y ser lo más tecnológicamente neutra posible, con criterios claros para distinguir la IA de otros sistemas de software más simples, entiendo por Sistema de IA: el software que se desarrolla empleando una o varias de las técnicas y estrategias (estrategias de aprendizaje automática, programación inductiva, estadísticas…) que puede, para un conjunto determinado de objetivos definidos por seres humanos, generar información de salida como contenidos, predicciones, recomendaciones o decisiones que influyan en los entornos con los que interactúa.
2- ÁMBITO DE APLICACIÓN: Con el objetivo de garantizar la igualdad de condiciones y la protección efectiva de los derechos y libertades de las personas en toda la Unión, las normas establecidas en el presente Reglamento deben aplicarse a los proveedores de sistemas de IA sin discriminación, con independencia de si están establecidos en la Unión o en un tercer país, siempre que el sistema de IA se introduzca en el mercado de la Unión o su uso afecte a personas ubicadas en la UE, así como a los usuarios de sistemas de IA establecidos en la Unión o en un tercer país, cuando la información de salida generada por el sistema se utilice en la Unión.
3.-CLASIFICACIÓN DEL RIESGO: El Reglamento se base en un enfoque basado en el riesgo, con cuatro niveles de riesgo para los sistemas de IA con normas en función del nivel:
Riesgo mínimo: La gran mayoría de los sistemas de IA que se utilizan actualmente o que es probable que se utilicen en la UE entran en esta categoría. Aquí podríamos incluir a los asistentes virtuales o Chatbots que interactúan con las personas, y que deberán cumplir unos requisitos mínimos de transparencia para con los usuarios.
Alto riesgo: Se considera de alto riesgo un número limitado de sistemas de IA, que pueden tener un impacto adverso en la seguridad de las personas o en sus derechos fundamentales (protegidos por la Carta de los Derechos Fundamentales de la UE). Estos sistemas deberán cumplir con una serie de obligaciones y ser evaluados antes de su comercialización. Dichos sistemas de alto riesgo están permitidos en el mercado europeo siempre que cumplan determinados requisitos obligatorios y sean sometidos a una evaluación de la conformidad ex ante. Un sistema de IA se considera de alto riesgo en función de su finalidad prevista, conforme a la legislación vigente relativa a la seguridad de los productos.
Estos son algunos ejemplos de casos de uso de alto riesgo tal como se definen en el anexo III del Reglamento:
1. Identificación biométrica y categorización de personas físicas sistemas de IA destinados a utilizarse en la identificación biométrica remota «en tiempo real» o «en diferido» de personas físicas.
2. Gestión y funcionamiento de infraestructuras esenciales: sistemas de IA destinados a utilizarse como componentes de seguridad en la gestión y funcionamiento del tráfico rodado y el suministro de agua, gas, calefacción y electricidad.
3. Educación y formación profesional: sistemas de IA destinados a utilizarse para evaluar a los estudiantes de centros de educación y formación profesional y para evaluar a los participantes en pruebas generalmente necesarias para acceder a centros de educación.
4. Empleo, gestión de los trabajadores y acceso al autoempleo: sistemas de IA destinados a utilizarse para la contratación o selección de personas físicas, especialmente para anunciar puestos vacantes, clasificar y filtrar solicitudes o evaluar a candidatos en el transcurso de entrevistas o pruebas.
5. Acceso y disfrute de servicios públicos y privados esenciales y sus beneficios: sistemas de IA destinados a ser utilizados por las autoridades o en su nombre para evaluar la admisibilidad de las personas físicas para acceder a prestaciones y servicios de asistencia pública, así como para conceder, reducir, retirar o recuperar dichas prestaciones y servicios.
6. Asuntos relacionados con la aplicación de la ley: sistemas de IA destinados a utilizarse por parte de las autoridades encargadas de la aplicación de la ley para llevar a cabo evaluaciones de riesgos individuales de personas físicas con el objetivo de determinar el riesgo de que cometan infracciones penales o reincidan en su comisión.
7. Gestión de la migración, el asilo y el control fronterizo: sistemas de IA destinados a utilizarse por parte de las autoridades competentes para la verificación de la autenticidad de los documentos de viaje y la detección de documentos falsos mediante la comprobación de sus elementos de seguridad.
8. Administración de justicia y procesos democráticos: sistemas de IA destinados a ayudar a una autoridad judicial en la investigación e interpretación de hechos y de la ley, así como en la aplicación de la ley a un conjunto concreto de hechos.
Para algunos usos de la IA , el riesgo es inaceptable, y por lo tanto prohibidos en la UE. Se describe así un conjunto muy limitado de usos especialmente nocivos de la IA que contravienen los valores de la UE porque violan los derechos fundamentales y, por lo tanto, serán prohibidos:
- Puntuación social para fines públicos y privados.
- Explotación de las vulnerabilidades de las personas, uso de técnicas subliminales.
- Identificación biométrica remota en tiempo real en espacios de acceso público por parte de las fuerzas del orden, con sujeción a excepciones limitadas, que analizamos más adelante.
- Categorización biométrica de personas físicas basada en datos biométricos para deducir o inferir su raza, opiniones políticas, afiliación sindical, creencias religiosas o filosóficas u orientación sexual, a menos que se utilice para identificar a las víctimas.
- Policía predictiva individual.
- Reconocimiento de emociones en el lugar de trabajo y en las instituciones educativas, a menos que sea por razones médicas o de seguridad.
Si bien con carácter general se prohíbe el uso de la identificación biométrica remota en tiempo real en espacios de acceso público con fines policiales, se permitirá de forma excepcional bajo ciertas garantías en los siguientes casos:
- Búsqueda selectiva de víctimas específicas, secuestro, trata y explotación sexual de seres humanos y personas desaparecidas; o
- La prevención de la amenaza a la vida o la seguridad física de las personas o la respuesta a la amenaza actual o previsible de un ataque terrorista.
- Detección, la localización, la identificación o el enjuiciamiento de la persona que ha cometido o se sospecha que ha cometido alguno de los delitos mencionados en el artículo 2, apartado 2, de la Decisión Marco 2002/584/JAI del Consejo, de 13 de junio de 2002, relativa a la orden de detención europea y a los procedimientos de entrega entre Estados miembros.
Estos sistemas de identificación biométrica a distancia estarán supeditados a la concesión de una autorización previa por parte de una autoridad judicial o una autoridad administrativa independiente del Estado miembro donde vaya a utilizarse dicho sistema, que la otorgarán previa solicitud motivada y de conformidad con las normas detalladas del Derecho interno.
Dicha autorización tendrá que ir precedida de una evaluación de impacto previa sobre los derechos fundamentales y notificarse a la autoridad de vigilancia del mercado pertinente y a la autoridad de protección de datos.
4.-OBLIGACIONES DE TRANSPARENCIA PARA DETERMINADOS SISTEMAS DE IA: El título IV del Reglamento se centra en determinados sistemas de IA para tener en cuenta los riesgos específicos de manipulación que conllevan. Se aplicarán obligaciones de transparencia a los sistemas que interactúen con seres humanos, se utilicen para detectar emociones o determinar la asociación a categorías (sociales) concretas a partir de datos biométricos, o generen o manipulen contenido . Cuando una persona interactúe con un sistema de IA o sus emociones o características sean reconocidas por medios automatizados, es preciso informarla de tal circunstancia. De este modo, las personas pueden adoptar decisiones fundamentadas o evitar una situación determinada.
5.-OBLIGACIONES DE LOS PROVEEDORES: Antes de introducir un sistema de IA de alto riesgo en el mercado de la UE, los proveedores deberán someterlo a una evaluación de la conformidad. Esto les permitirá demostrar que su sistema cumple los requisitos obligatorios para una IA fiable (por ejemplo, calidad de los datos, documentación y trazabilidad, transparencia, supervisión humana, precisión, ciberseguridad y solidez). Esta evaluación debe repetirse si el sistema o su finalidad se modifican sustancialmente. Los proveedores de sistemas de IA de alto riesgo también tendrán que aplicar sistemas de gestión de la calidad y los riesgos para garantizar el cumplimiento de los nuevos requisitos y minimizar los riesgos para los usuarios y las personas afectadas, incluso después de la introducción de un producto en el mercado.
6.-CUMPLIMIENTO Y SUPERVISION DEL REGLAMENTO IA: Los Estados miembros desempeñan un papel clave en la aplicación y el cumplimiento del presente Reglamento. A este respecto, cada Estado miembro debe designar una o varias autoridades nacionales competentes para supervisar la aplicación y ejecución, así como para llevar a cabo actividades de vigilancia del mercado. Para aumentar la eficiencia y establecer un punto de contacto oficial con el público y otras contrapartes, cada Estado miembro debe designar una autoridad nacional de supervisión, que también representará al país en el Comité Europeo de Inteligencia Artificial.
Además, la Comisión creará una nueva Oficina Europea de IA, dentro de la Comisión, que supervisará los modelos de IA de uso general, cooperará con el Comité Europeo de Inteligencia Artificial y contará con el apoyo de un panel científico de expertos independientes.
Por su parte, España anticipándose a la entrada en vigor del Reglamento europeo de IA ha creado la AESIA (Agencia española de supervisión de inteligencia artificial con sede en la Coruña), convirtiéndose así en el primer país europeo en tener un órgano de estas características, que representará a España ante el Comité Europeo de IA.
El Comité Europeo de Inteligencia Artificial está compuesto por representantes de alto nivel de las autoridades nacionales de supervisión competentes, el Supervisor Europeo de Protección de Datos y la Comisión. Su función es facilitar una aplicación fluida, eficaz y armonizada del nuevo Reglamento sobre IA. El Comité emitirá recomendaciones y dictámenes a la Comisión en relación con los sistemas de IA de alto riesgo y sobre otros aspectos pertinentes para la aplicación efectiva y uniforme de las nuevas normas.
7.-SANCIONES: Cuando se introduzcan en el mercado o se utilicen sistemas de IA que no cumplan los requisitos del Reglamento, los Estados miembros tendrán que establecer sanciones efectivas, proporcionadas y disuasorias, incluidas multas administrativas, en relación con las infracciones y comunicarlas a la Comisión.El Reglamento establece umbrales que deberán tenerse en cuenta pudiendo alcanzar Hasta 35 millones de euros o el 7 % del volumen de negocios anual total a nivel mundial del ejercicio financiero anterior (el que sea mayor).
8.-INNOVACIÓN: Ley de IA permite además la creación de entornos de pruebas regulatorios y pruebas en el mundo real, que proporcionan un entorno controlado para probar tecnologías innovadoras durante un tiempo limitado, fomentando así la innovación por parte de empresas, pymes y empresas emergentes de conformidad con la Ley de IA. Es en este contexto es donde España ha dado un paso más y en colaboración con la Comisión Europea ha publicado el Real Decreto 17/2023 de 8 de noviembre por el que se establece el primer primero entorno controlado de pruebas para el cumplimiento de la propuesta de Reglamento Europeo de IA.
9.-APLICABILIDAD Y ENTRADA EN VIGOR: Tendremos que esperar unas semanas más para su aprobación definitiva por el Parlamento Europeo y el Consejo, estando prevista su entrada en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial. Si bien será plenamente aplicable 24 meses después de su entrada en vigor.
Al igual que ocurrió en su día con la entrada en vigor del Reglamento General de Protección de Datos, la Ley de IA se compromete a desarrollar un marco global y tecnológicamente adaptado que complementará el RGPD, con pautas específicas para la protección de datos personales y los derechos fundamentales de las personas. De tal forma, que aquellas empresas que vayan a desarrollar e implementar sus propios sistema de IA estarán reguladas no solo por el RGPD sino también por la Ley de IA y deberán contar con políticas internas de uso de IA, evaluaciones de riegos y de impacto de derechos fundamentales antes de su puesta en marcha.