Claves de la regulación de la IA en la UE
El interés por los últimos avances en Inteligencia Artificial, IA, crece de manera exponencial. El uso de sistemas como ChatGPT o la automatización de procesos son claros ejemplos.
Europa ha pasado por las etapas finales de la aprobación de un Reglamento sobre IA, un nuevo marco jurídico diseñado para abordar no solo los aspectos técnicos, sino también cuestiones éticas y desafíos de aplicación en diversos sectores.
Este Reglamento presta especial atención a la calidad de los datos, la seguridad, la transparencia, la privacidad, la no discriminación y la supervisión humana. El objetivo es garantizar que la IA utilizada en Europa cumpla con los más altos estándares, en consonancia con los valores y derechos fundamentales de la Unión Europea.
En abril de 2021 la Comisión Europea presentó la propuesta de Reglamento y, dos años después, el Parlamento Europeo adoptó su posición sobre el texto. Ahora comienzan las conversaciones sobre su forma final en el Consejo, y el objetivo es alcanzar un acuerdo a finales de este año. Una vez entre en vigor, el Reglamento será de aplicación directa en todos los Estados miembros de la UE sin necesidad de normas de transposición.
¿Qué aspectos hay que tener en cuenta sobre el Reglamento de IA?
1. Aplica a proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA en la Unión, con independencia de si están establecidos en la UE o en un tercer país. También a los usuarios de sistemas de IA que se encuentren en la Unión y a los proveedores y usuarios de sistemas de IA que se encuentren en un tercer país, cuando la información de salida generada por el sistema se utilice en la UE.
No se aplicará a los sistemas de IA utilizados exclusivamente con fines militares; ni cuando las autoridades públicas utilicen estos sistemas en el marco de acuerdos internacionales, con fines de cumplimento legal y cooperación judicial con la Unión o con los Estados miembros.
2. El texto incorpora nuevas definiciones de términos relevantes como: “modelo fundacional” (a los que pertenecen ChatGPT, Bard o LLaMA), “sistema de inteligencia artificial”, “riesgo significativo”, “identificación biométrica”, “ultrafalsificación” (deep fake) o “espacio controlado de pruebas” (sandbox), entre otros.
3. Entre las novedades introducidas en la última versión, cabe destacar la regulación específica y completa sobre los modelos fundacionales (eficiencia energética y medioambiental, gestión de calidad y riesgos, inscripción en un registro europeo…) y los requisitos específicos que se prevén para los sistemas de IA generativa, como la obligación de revelar que los contenidos han sido generados por IA, diseñar sistemas que impidan la generación de contenidos ilegales, etc.
4. La nueva normativa establece una serie de obligaciones en función del nivel riesgo de la IA, que se evaluará en función del riesgo que el uso de la tecnología puede suponer para la seguridad, salud y derechos fundamentales de una persona. En concreto, los sistemas de IA se clasifican en cuatro niveles de riesgo: inaceptable, alto, limitado y mínimo.
5. Los sistemas con un riesgo inaceptable son aquellos que se consideran una amenaza para las personas y serán prohibidos. Algunos ejemplos serían: la manipulación cognitiva, la puntuación social o los sistemas de identificación biométrica en tiempo real y a distancia. Pero, existen algunas excepciones a esta calificación como, por ejemplo, los sistemas de identificación biométrica a distancia "a posteriori", en los que la identificación se produce tras un retraso significativo. Se permitirán para perseguir delitos graves y sólo cuando haya previa aprobación judicial.
6. En cuanto a los sistemas de IA de riesgo alto, en la última versión, se propone la ampliación de la clasificación para incluir los daños a la salud, la seguridad, los derechos fundamentales o el medio ambiente. Estos sistemas deberán cumplir con una serie de obligaciones para garantizar que aquellos que se utilicen en la Unión Europea sean seguros y respeten tanto los derechos fundamentales de las personas como los valores y garantías de la Unión. Algunas de las obligaciones previstas son: realizar evaluaciones de riesgo durante todo el ciclo de vida, ser aprobados mediante procedimientos adecuados antes de su uso, ser supervisados por personas físicas, etc.
7. Los sistemas de IA de riesgo limitado deben ser transparentes y permitir a los usuarios tomar decisiones informadas. Eso significa que los usuarios deben estar informados de que están interactuando con una IA, salvo en aquellas situaciones en las que resulte evidente. Esto incluye los sistemas de IA que generan o manipulan contenidos de imagen, audio o vídeo (por ejemplo, deepfakes).
8. El régimen sancionador también ha sufrido cambios relevantes en la última versión (en lugar de tres niveles de sanciones, ahora habrá cuatro). Las multas más altas podrán ser de hasta 40 millones de euros o, si es una empresa, hasta el 7% del volumen de negocio total anual global del ejercicio financiero anterior. Además, el texto propone que los proveedores, distribuidores, importadores o cualquier otro tercero, no puedan repartirse la carga de las sanciones y costas procesales, a través de cláusulas contractuales.
Avances en el ámbito nacional
El Ministerio de Asuntos Económicos y Transformación Digital ha publicado un borrador del Real Decreto que crea un espacio controlado de pruebas. Esta "sandbox" es el primer espacio de pruebas para determinar cómo implementar los requisitos aplicables a los sistemas de IA de riesgo alto, según lo previsto en la propuesta de Reglamento. Este Real Decreto entrará en vigor al día siguiente de su publicación en el BOE y se prevé que tenga una vigencia de 36 meses (o del tiempo necesario que permita que se adopten las normas de aplicación comunes de la UE para la creación y funcionamiento de estos entornos aislados controlados).
Además, en agosto, el Consejo de Ministros aprobó el estatuto de la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA). Esto refleja el compromiso de España con la transformación digital, en línea con la Agenda Digital 2026 y la Estrategia Nacional de Inteligencia Artificial (ENIA), que busca un desarrollo inclusivo, sostenible y centrado en la ciudadanía. La AESIA, adscrita al Ministerio de Asuntos Económicos y Transformación Digital, convierte a España en el primer país europeo con una entidad de supervisión de IA, anticipándose a la entrada en vigor del Reglamento Europeo de Inteligencia Artificial, que requerirá a los Estados miembros designar una autoridad de supervisión de IA.
Andrea Fernández, Consultora de Derecho TIC y Protección de Datos en Secure&IT