La regulación de la Inteligencia Artificial en la UE

Siguiendo con la estrategia de la Comisión Europea (2019-2024) y tras la publicación del Libro Blanco sobre Inteligencia Artificial (2020), se ha publicado la Propuesta de Reglamento para la regulación de la Inteligencia Artificial (Artificial Intelligence Act) con el objetivo de establecer normas armonizadas en la Unión Europea para propiciar el desarrollo de un marco normativo que permita consolidar el liderazgo tecnológico a la vez que se garantiza el cumplimiento de los valores y derechos fundamentales de la Unión.

Las finalidades perseguidas por la Comisión son:

  1. Asegurar que los sistemas basados en IA utilizados en la Unión son seguros y garantizan el respeto a los derechos fundamentales.
  2. Aportar seguridad jurídica para facilitar la innovación y la inversión en IA.
  3. Reforzar la gobernanza y la aplicación de la normativa vigente en relación con los requisitos de seguridad y conformidad de sistemas basados en IA.
  4. Facilitar el desarrollo de un mercado único para la IA segura (trustworthy AI).

En este sentido, la Comisión propone una aproximación basada en el riesgo, procurando evitar obstaculizar el desarrollo y la implementación de soluciones en las que se utiliza la Inteligencia Artificial. La propuesta hace referencia también a la promoción de sandboxes regulatorios sobre IA tanto a nivel europeo como a nivel de los Estados Miembros con el fin de favorecer la innovación.

Conviene destacar que la propuesta establece que las normas establecidas en el Reglamento serán aplicables a los proveedores de sistemas de IA independientemente de si se encuentran en la Unión Europea o en un tercer Estado. En este sentido, el Reglamento será aplicable tanto a instituciones públicas como instituciones privadas en la medida en que sean proveedores de sistemas de IA, quedando al margen lo relativo a instituciones de naturaleza militar.

Se establecen los siguientes niveles de riesgo y requisitos independientes para cada uno de ellos:

  1. Riesgo inaceptable – prácticas prohibidas
  2. Alto riesgo (High Risk) – prácticas relacionadas con; (i) el acceso y seguridad aplicable a los servicios mínimos (relacionados con suministros e infraestructuras críticas); (ii) el acceso o toma de decisiones sobre el acceso de una persona a una institución educativa; (iii) las decisiones relacionadas con el ámbito laboral (proceso de selección, monitorización y evaluación de trabajadores); (iv) sistemas de scoring de personas que determinen, por ejemplo, el acceso a servicios de telecomunicaciones o servicios financieros y, entre otros; (v) el uso de sistemas de IA por parte de las fuerzas y cuerpos de seguridad del Estado y otros fines relacionados con la administración de justicia.
  3. Riesgo mínimo o despreciable (Low or Minimal Risk) – prácticas relacionadas con deep fakes o chat bots.

Las prácticas prohibidas son, en principio, las siguientes:

  1. La comercialización, puesta en servicio o utilización de un sistema de IA que despliegue técnicas subliminales más allá de la conciencia de una persona para distorsionar materialmente el comportamiento de una persona de manera que cause o pueda causar a esa persona o a otra un daño físico o psicológico.
  2. La comercialización, puesta en servicio o utilización de un sistema de IA que explote cualquiera de las vulnerabilidades de un grupo específico de personas debido a su edad, discapacidad física o mental, con el fin de distorsionar materialmente el comportamiento de una persona perteneciente a ese grupo de manera que cause o pueda causar a esa persona o a otra un daño físico o psicológico.
  3. La comercialización, puesta en servicio o utilización de sistemas de IA por parte de las autoridades públicas o en su nombre para la evaluación o clasificación de la confianza de las personas físicas basándose en su comportamiento social o características personales.

Se proponen restricciones y excepciones en relación con a determinados usos de los sistemas de identificación biométrica a distancia con fines de seguridad pública.

La propuesta de Reglamento introduce también el European Artificial Intelligence Board, una figura análoga al actual Comité Europeo de Protección de Datos, en su respectivo ámbito de competencia.  Este nuevo comité persigue la aplicación fluida, eficaz y armonizada del Reglamento, contribuyendo a la cooperación efectiva de las autoridades nacionales de supervisión y la Comisión, proporcionando asesoramiento y expertise.

A nivel nacional, los Estados miembros deberán designar una o varias autoridades nacionales competentes.

Se establecen obligaciones de transparencia que aplicarán a los sistemas de IA que; (i) interactúen con seres humanos; (ii) se utilicen para detectar emociones o; (iii) generen o manipulen contenidosdeep fakes«).

Cuando las personas interactúen con un sistema de IA o se detecten sus emociones o características por medios automatizados, deberán ser informadas de esta circunstancia. Si un sistema de IA se utiliza para generar o manipular contenidos de imagen, audio o vídeo que se asemejan sensiblemente a los contenidos auténticos, deberá existir la obligación de revelar que el contenido se genera por medios automatizados, sin perjuicio de excepciones con fines legítimos (libertad de expresión).

En cuanto a la responsabilidad se establece que “es razonable que una persona física o jurídica concreta, definida como proveedor, asuma la responsabilidad de la comercialización o puesta en servicio de un sistema de IA de alto riesgo, independientemente de que esa persona física o jurídica sea la que diseñó o desarrolló el sistema”. En este sentido, conviene destacar el sistema de sanciones que sigue el precedente del RGPD, en función de la gravedad y el precepto infringido, las sanciones podrán ser de:

  1. 30.000.000 de euros o un 6% del volumen de negocio total anual global.
  2. 20.000.000 de euros o un 4% del volumen de negocio total anual global.
  3. 10.000.000 de euros o un 2% del volumen de negocio total anual global.

En el caso de instituciones públicas las sanciones podrán ser de hasta 250.000 euros o de hasta 500.000 euros, en función de la gravedad y los preceptos infringidos.

El Reglamento entrará en vigor, una vez aprobado y publicado en el Diario Oficial de la Unión Europea, a los veinte días de su publicación – si bien está previsto que no será aplicable hasta que transcurran 24 meses desde esa fecha.

Esta propuesta de la Comisión representa una importante iniciativa legislativa que puede servir como referencia a nivel global como ya ocurrió con el RGPD en 2016 y que se suma al nuevo marco regulatorio que se encuentra en tramitación (Digital Markets Act, Digital Services Act y Data Governance Act). 

Rahul Uttamchandani | CLO | L-A

¿Comenzamos?

Cuéntanos un poco sobre tu negocio y te contactaremos en menos de 24 horas.