Índice de temas
Regulación de la IA
Sin duda alguna uno de los hitos legislativos más relevantes en materia de estrategia digital europea ha sido la aprobación del Reglamento 2024/1689 de inteligencia artificial (RIA). Esta norma tiene como objetivos promover una IA centrada en el ser humano y fiable; apoyar la innovación y mejorar el funcionamiento del mercado interior. La iniciativa europea, que busca posicionarse a nivel mundial en la regulación de la IA, es una de los posibles enfoques del tratamiento de esta materia. Frente a la UE se hallan los EEUU, que otorgan mucha más libertad a la iniciativa del mercado, y China, que pretende un control férreo de la IA y de la población.
Junto con este Reglamento existen dos normas estrechamente relacionadas, la Directiva 2024/2853 de responsabilidad por daños causados por productos defectuosos y una propuesta de Directiva sobre adaptación de las normas de responsabilidad civil extracontractual a la IA.
Ley centrada en el ser humano
La adopción de una IA centrada en el ser humano y fiable se concreta en la protección de la salud, la seguridad y los derechos fundamentales consagrados en la CDFUE frente a los efectos perjudiciales de los sistemas de IA.
Por otro lado el RIA, de aplicación progresiva, interacciona con otras normas y sectores que tienen una regulación específica. Entre otras, normas relativas a los derechos fundamentales, protección de consumidoras y de trabajadores, responsabilidad por productos, servicios de la sociedad de la información y mercados digitales, normativa sectorial en el ámbito de la salud, transporte, educación o propiedad intelectual.
El RIA establece normas armonizadas para la introducción en el mercado, la puesta en servicio y la utilización de sistemas de IA en la UE así como prohibiciones de determinadas prácticas de IA.
El enfoque regulador se basa en el riesgo que puede comportar el uso de la IA y establece una jerarquía de los mismos en función de los peligros que representan para los usuarios. A mayor riesgo, más regulación. También se establecen normas sobre el seguimiento del mercado, la vigilancia del mismo, la gobernanza y la garantía del cumplimiento y medidas de apoyo a la innovación. El RIA no es aplicable a los sistemas de IA utilizados exclusivamente con fines militares, de defensa o seguridad nacional.
El RIA regula distintos sujetos que intervienen. Por un lado el proveedor, que es la persona que desarrolla un sistema de IA o para quien se desarrolle un sistema de IA y lo introduce en el mercado o lo pone en servicio con su propio nombre o marca.
Por el otro el responsable del despliegue, sujeto que utiliza un sistema de IA bajo su propia autoridad, salvo si su uso es meramente personal y no profesional. El RIA resulta aplicable a las persones afectadas ubicadas en la UE.
Clasificación de los riesgos
El Reglamento lleva a cabo una clasificación de los riesgos. Por un lado los sistemas de riesgo inaceptable, cuyo uso está prohibido. En segundo lugar los sistemas de alto riesgo (AR), permitidos pero sujetos al cumplimiento de requisitos y a una declaración ex ante de conformidad; en tercer lugar los supuestos de IA sujetos a obligaciones específicas de transparencia y finalmente se hallan el resto de sistemas, con un riesgo mínimo, sin regulación especial, como sistemas de recomendación o filtros de spam. De forma separada se regulan los modelos de IA de uso general.
En cuanto al primer supuesto, el uso de la IA que comporte un riesgo inaceptable está prohibido. Entre otros: los sistemas de IA que utilicen técnicas subliminales, manipuladoras o que exploten vulnerabilidades de las personas. Control predictivo y determinados supuestos de reconocimiento facial. Sistemas de IA para inferir emociones y sistemas que realizan categorización biométrica y clasifican a las personas físicas.
Por otro lado se hallan los supuestos de alto riesgo (AR), valorados en base a la probabilidad de producción de un daño y a la severidad del mismo. En este caso se distinguen dos categorías. Por un lado los sistemas vinculados a la normativa europea armonizada de seguridad de los productos (juguetes, automóviles, aviones, embarcaciones, productos sanitarios). Por el otro, sistemas en que por el ámbito en que se emplean y el uso al que se destinan presentan un riesgo elevado. En este segundo caso el RIA establece ocho ámbitos distintos.
Se trata de las categorías relativas a la biometría (si no está prohibida); infraestructuras críticas; educación y formación profesional (acceso a centros educativos y evaluación del aprendizaje). También los sistemas destinados a la contratación, selección de personal o adopción de decisiones en el ámbito laboral. Por otro lado sistemas para evaluar la obtención de servicios y prestaciones esenciales; evaluar solvencia de personas y calificación crediticia. Finalmente los sistemas relativos a la garantía del cumplimiento del derecho; sistemas usados en relación con la inmigración, asilo y gestión del control fronterizo o bien los relativos a la administración de justicia y procesos democráticos. Un sistema de IA no se considerará de alto riesgo si el uso del mismo no plantea un riesgo significativo ni influye de modo sustancial en la toma de decisiones.
Todos los sistemas de IA de alto riesgo deberán ser evaluados antes de su comercialización y durante todo su ciclo de vida. La puesta en marcha de un sistema de IA comporta llevar a cabo una evaluación de conformidad y cumplir con los requisitos establecidos. En algunos supuestos, una autoridad de notificación también estará implicada. En ocasiones será preciso el registro de determinados sistemas de IA independientes en una base de datos de la UE. Una declaración de conformidad debe firmarse y tener la marca CE (conformidad europea), lo que permite su introducción en el mercado de la UE.
Todos los sistemas de IA de alto riesgo deberán ser evaluados antes de su comercialización y durante todo su ciclo de vida. La puesta en marcha de un sistema de IA comporta llevar a cabo una evaluación de conformidad y cumplir con los requisitos establecidos.
Gestión de riesgos
La introducción y utilización de un sistema de IA de AR está sujeta a un conjunto de requisitos: Establecer, implementar, documentar y mantener un sistema de gestión de riesgos; asegurar la calidad de los conjuntos de datos de entrenamiento, validación y prueba y elaborar y actualizar la documentación técnica precisa. También es preciso permitir el registro automático de eventos; la transparencia y comunicación de información y permitir la supervisión humana efectiva. Finalmente también es necesario cumplir niveles adecuados de precisión, solidez y ciberseguridad.
Por otro lado, los proveedores y los responsables del despliegue de sistemas de IA de alto riesgo están sujetos a una serie de obligaciones.
El proveedor debe velar porque el sistema de IA de alto riesgo cumpla los requisitos establecidos por la normativa. Proporcionará la información que permita identificar al proveedor; contará con un sistema de gestión de la calidad; conservará la documentación exigida y los archivos de registro generados. Se asegurará de que los sistemas de IA se sometan al procedimiento pertinente de evaluación de la conformidad antes de su introducción en el mercado o puesta en servicio. Elaborará una declaración UE de conformidad; colocará el marcado CE en el sistema; cumplirá las obligaciones de registro y adoptará las medidas correctoras necesarias y facilitará la información exigida. Demostrará, previa solicitud de la autoridad competente, la conformidad del sistema de IA con la normativa y velará por el cumplimiento de los requisitos de accesibilidad.
En cuanto a las obligaciones del responsable del despliegue, adoptará medidas técnicas y organizativas necesarias para garantizar el uso de los sistemas según las instrucciones de uso y encomendará la supervisión humana a personas físicas competentes. Se asegurará de que los datos de entrada sean pertinentes y representativos en vista a la finalidad del sistema de IA. Vigilará el funcionamiento del sistema de IA basándose en las instrucciones de uso y conservará los archivos de registro. Finalmente cabe resaltar una obligación de gran relevancia como es la de llevar a cabo, antes de desplegar un sistema de IA de AR, una evaluación de impacto relativa a los derechos fundamentales.
Otro de los sistemas de IA regulados (supuestos de riesgo limitado) es aquel que está sometido a deberes específicos de transparencia. En estos casos el riesgo radica en la manipulación, engaño o la suplantación. Por ello se informará al usuario de que el contenido ha sido generado mediante IA para que decida acerca de su uso, salvo que ello sea evidente (chatbots, deep-fakes y contenido generado por IA). Cuando el sistema de IA genere contenido sintético, el proveedor velará por que los resultados de salida del sistema estén marcados en un formato adecuado de forma que sea posible detectar que han sido generados o manipulados de manera artificial.
En caso de reconocimiento de emociones (si ello no está prohibido), se informará del funcionamiento del sistema a las personas expuestas a él. En los casos de deepfake, el responsable del despliegue hará público que los contenidos o imágenes han sido generados o manipulados de manera artificial.
Modelos de uso general
Finalmente deben mencionarse los modelos de uso general, cuya aparición en el mercado fue posterior y se regulan de forma específica. Son sistemas entrenados con gran cantidad de datos y que desarrollan funciones muy diversas y que pueden integrarse en múltiples sistemas de IA. Dentro de esta categoría se distinguen los de riesgo sistémico, caracterizados por ser sistemas que tienen capacidades de gran impacto. Los proveedores de estos sistemas deben informar a los proveedores ulteriores que los incorporan y proporcionar directrices para asegurar el respeto a derechos de propiedad intelectual.
En cuanto a los derechos del afectado, el responsable del despliegue debe informar a las personas físicas que puedan estar expuestas a la adopción de decisiones tomadas mediante sistemas de IA de AR de esta posibilidad. Así mismo, antes de poner en servicio o utilizar un sistema de IA de alto riesgo en el lugar de trabajo, los responsables del despliegue que sean empleadores informarán a los representantes legales y a los trabajadores afectados de que estarán expuestos a la utilización de sistemas de IA.
Otro derecho muy relevante del afectado es el derecho a una explicación de las decisiones tomadas individualmente. En base al mismo, toda persona que sea vea afectada por una decisión que adopte el responsable del despliegue en un sistema de IA de AR, que produzca efectos jurídicos o le afecte considerablemente (efecto perjudicial para su salud, seguridad o derechos fundamentales), tendrá derecho a obtener del responsable explicaciones claras y significativas acerca del papel que el sistema de IA haya tenido en el proceso de toma de decisiones y los principales elementos de la decisión adoptada.
Finalmente, como cierre de toda la regulación, el RIA establece sanciones muy importantes. En función de la gravedad de la conducta se imponen multas que pueden consistir en una cantidad económica (35, 15 o 7,5 millones de euros) o bien en un porcentaje de la facturación anual mundial (cfr. 7%, 3% o 1%). El desarrollo del sistema sancionador se confía a los Estados.
Como conclusión debe reconocerse que la aproximación que hace el RIA está demasiado centrada en la regulación de un producto y no suficientemente en la protección de los derechos fundamentales implicados. Sin duda existen herramientas que pueden facilitar una aproximación más centrada en las personas, como la de llevar a cabo una evaluación de impacto relativa a los derechos fundamentales. Queda un largo camino por recorrer y examinar qué aplicación harán los agentes implicados y la interpretación que en un futuro puedan llevar a cabo los Tribunales.
