Este pasado fin de semana fue aprobado un reglamento relacionado a la Inteligencia Artificial (IA) por el Parlamento y el Consejo Europeo, el cual tiene como objetivo garantizar que los sistemas de IA comercializados en el mercado europeo sean seguros y respeten los derechos fundamentales.

«Tras una difícil negociación en los trílogos, el pasado 9 de diciembre de 2023 el Parlamento y el Consejo Europeo han logrado un acuerdo provisional que alumbra la primera regulación integral sobre inteligencia artificial («IA») en el mundo en forma de reglamento europeo basado en un enfoque de riesgos y de aplicación directa en todos los Estados Miembros (el «Reglamento IA»)», reza un informe distribuido por el bufete ECIJA-SBGB.

«Aún deben desarrollarse determinados aspectos técnicos y el texto normativo debe ser aun confirmado por ambas instituciones europeas. Una vez concluido este proceso, podremos ver publicada la primera ley de IA en el Diario Oficial de la Unión Europea («DOUE»), si bien muchas de las disposiciones de la norma no serán aplicables hasta trascurrido un plazo de veinticuatro meses desde su entrada en vigor».

Destacaron que no obstante, a pesar del período de vacatio legis, la industria debe ser consciente de que, con el fin de garantizar que el diseño, el desarrollo y el uso de la IA sean confiables, la Comisión Europea ha iniciado, en noviembre de 2023, la aprobación del Pacto sobre IA para alentar a las empresas a la implementación voluntaria de los procesos y prácticas de cara al cumplimiento del Reglamento IA.

Por ello, es fundamental conocer las claves y principios básicos en los que se asienta el Reglamento IA, veamos un resumen sobre el tema

Definición de Sistema de IA

El Reglamento incorpora una definición legal de IA, como un sistema complejo o un «software que se desarrolla empleando una o varias de las técnicas y estrategias que figuran en el anexo I (estrategias de aprendizaje, lógica, programación inductiva, estadísticas, entre otras) y que puede, para un conjunto determinado de objetivos definidos por seres humanos, generar información de salida como contenidos, predicciones, recomendaciones o decisiones que influyan en los entornos con los que interactúa».

Ámbito de aplicación

El futuro Reglamento será aplicable a;

1. Los proveedores de IA que introduzcan en el mercado o pongan en servicio sistemas de IA en la Unión Europea, con independencia de su localización o domicilio;
2. Los usuarios de sistemas de IA que se encuentren en la Unión Europea;
3. Los proveedores y usuarios de sistemas de IA que se encuentren en un tercer país, cuando la información de salida (output) generada por el sistema se utilice en la Unión Europea.

Clasificación de riesgos

La clasificación de riesgos en el Reglamento divide los sistemas de IA en varias categorías: inaceptable, alto riesgo, riesgo limitado y mínimo.

Los sistemas de riesgo inaceptable estarán prohibidos, mientras que los de alto riesgo requerirán estrictas medidas de conformidad. Los sistemas de riesgo limitado y mínimo tendrán regulaciones y medidas menos estrictas.

Especial regulación de las IA generativas o modelos fundacionales

El futuro Reglamento aborda específicamente sistemas de IA como ChatGPT y otros modelos de IA generativa o fundacionales.

Estas tecnologías, debido a su amplio impacto en diversos sectores, tendrán obligaciones adicionales para asegurar un desarrollo y uso ético y transparente.

El Reglamento se centrará en minimizar riesgos asociados de su uso, tales como la desinformación y el uso indebido en decisiones automatizadas.

Obligaciones de los proveedores

En concreto, los proveedores de sistemas de IA de alto riesgo deberán cumplir con obligaciones específicas. Deben garantizar que sus sistemas sean conformes con los requisitos de calidad y seguridad establecidos.

Esto incluye realizar evaluaciones de riesgo adecuadas, garantizar la transparencia y proporcionar información clara sobre el funcionamiento y propósito del sistema.

Además, deben mantener registros detallados de las actividades de IA y monitorizar continuamente su desempeño y cumplimiento normativo.

Obligaciones de los usuarios

Los usuarios de IA también tienen que cumplir con ciertas obligaciones, tales como usar los sistemas de IA de acuerdo con las instrucciones y para los propósitos previstos por los proveedores y en atención a su nivel de riesgo.

En el caso de sistemas de IA de alto riesgo, los usuarios deben seguir los procedimientos operativos establecidos y reportar cualquier incidente o anomalía que pueda afectar la seguridad o los derechos fundamentales.

Además, deben asegurarse de que cualquier uso de estos sistemas se realice en conformidad con las normativas aplicables, incluyendo la transparencia, protección de datos y la privacidad.

Transparencia y explicabilidad

El Reglamento establece que los sistemas de IA deben ser transparentes y explicables. Esto implica que deben proporcionar información clara sobre cómo funcionan, incluyendo los procesos de toma de decisiones.

La finalidad de dichas obligaciones es la de asegurar que los usuarios comprendan y puedan confiar en los sistemas de IA, promoviendo así una mayor responsabilidad y evitando el uso discriminatorio o injusto de la tecnología.

Protección de datos y ciberseguridad

Se enfatiza la protección de datos personales y la privacidad, exigiendo que los sistemas de IA se diseñen y operen de manera que respeten la privacidad del usuario y cumplan con la normativa en materia de protección de datos.

Asimismo, se incorporan aspectos de ciberseguridad, destacando la importancia de asegurar la infraestructura de TI que aloja los sistemas de IA contra amenazas cibernéticas. Esto es crucial para garantizar la integridad y confidencialidad de los datos, así como la fiabilidad y seguridad de los sistemas de IA en su conjunto.

Supervisión, cumplimiento y sanciones

Se establecerán organismos específicos para supervisar el cumplimiento de las normativas de IA, tales como la Oficina de IA de la Unión Europea o las autoridades nacionales.

Estos organismos tendrán autoridad para inspeccionar los sistemas de IA, exigir correcciones y garantizar que cumplan con las regulaciones establecidas, asegurando así que los sistemas de IA se utilicen de manera ética y responsable.

Por otro lado, las sanciones por incumplimiento pueden alcanzar, en función del tipo de incumplimiento, hasta 35 millones de euros o el 7% de la facturación anual total a nivel mundial del ejercicio anterior, lo que sea mayor.

Innovación y desarrollo

Aunque el Reglamento establece un marco regulatorio de prohibiciones, obligaciones y medidas, también busca fomentar la innovación y el desarrollo en el campo de la IA en la UE.

Así, ofrece un marco que equilibra la seguridad y el cumplimiento normativo con el fomento del progreso tecnológico, incentivando la creación y el uso responsable de nuevas tecnologías de IA, en especial para pymes, con la implementación de entornos de pruebas (sandbox) controlados.

«Parece claro que el primer semestre de 2024 será un período crucial para el posicionamiento de las empresas en la demostración de su compromiso con el cumplimiento del Reglamento IA y deberán poner en marcha los planes y estrategias para la planificación adecuada de la implementación de los procesos conforme los requisitos que exige el propio Reglamento».

«A modo de ejemplo, las empresas deberán contar con políticas internas de uso de la IA; elaborar sistemas de evaluación de riesgos del uso de la IA; revisar sus contratos proveedores y clientes con el fin de implementar las obligaciones, conforme a los modelos de clausulados que propone la propia Comisión Europea, para garantizar la adquisición y el uso de sistemas de IA confiables; implementar mecanismos de transparencia y responsabilidad en el marco de un sistema de gobernanza de la IA; y por supuesto, sensibilizar y concienciar mediante programas de formación a sus empleados sobre los riesgos que conlleva el uso de IA, fundamental para evitar daños y perjuicios indeseables dentro de las empresas».