Opinión
Andrea Fernández, Secure&IT
Andrea Fernández Consultora de Derecho TIC y Protección de Datos Secure&IT

Ocho claves sobre la regulación de la IA en la Unión Europea

Inteligencia Artificial

El interés por los últimos avances en inteligencia artificial (IA) crece de manera exponencial. El uso de sistemas como ChatGPT o la automatización de procesos son claros ejemplos. De hecho, Europa se encuentra en las etapas finales de la aprobación de un Reglamento sobre IA, un nuevo marco jurídico diseñado para abordar no solo los aspectos técnicos, sino también cuestiones éticas y desafíos de aplicación en diversos sectores.

Este reglamento presta especial atención a la calidad de los datos, la seguridad, la transparencia, la privacidad, la no discriminación y la supervisión humana. El objetivo es garantizar que la IA utilizada en Europa cumpla con los más altos estándares, en consonancia con los valores y derechos fundamentales de la Unión Europea (UE).

En abril de 2021, la Comisión Europea presentó la propuesta de Reglamento y, dos años después, el Parlamento Europeo adoptó su posición sobre el texto. Ahora comienzan las conversaciones sobre su forma final en el Consejo, y el objetivo es alcanzar un acuerdo a finales de este año. Una vez entre en vigor, el Reglamento será de aplicación directa en todos los Estados miembros de la Unión Europea sin necesidad de normas de transposición.

¿Qué aspectos hay que tener en cuenta sobre el Reglamento de Inteligencia Artificial?

Pero ¿qué aspectos hay que tener en cuenta?:

  1. Aplica a proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA en la Unión, con independencia de si están establecidos en la UE o en un tercer país. También a los usuarios de sistemas de IA que se encuentren en la Unión y a los proveedores y usuarios de sistemas de IA ubicados en un tercer país cuando la información de salida generada por el sistema se utilice en la UE. No se aplicará a los sistemas de IA utilizados exclusivamente con fines militares, ni cuando las autoridades públicas utilicen estos sistemas en el marco de acuerdos internacionales con fines de cumplimento legal y cooperación judicial con la Unión o con los Estados miembros.
  2. El texto incorpora nuevas definiciones de términos relevantes como: «modelo fundacional» (a los que pertenecen ChatGPT, Bard o LLaMA), «sistema de inteligencia artificial», «riesgo significativo», «identificación biométrica», «ultrafalsificación» (deepfake) o «espacio controlado de pruebas» (sandbox), entre otros.
  3. Entre las novedades introducidas en la última versión, cabe destacar la regulación específica y completa sobre los modelos fundacionales (eficiencia energética y medioambiental, gestión de calidad y riesgos, inscripción en un registro europeo…) y los requisitos específicos que se prevén para los sistemas de IA generativa, como la obligación de revelar que los contenidos han sido generados por IA, diseñar sistemas que impidan la generación de contenidos ilegales, etcétera.
  4. La nueva normativa establece una serie de obligaciones en función del nivel riesgo de la IA, que se evaluará según el propio riesgo que puede suponer el uso de la tecnología para la seguridad, la salud y los derechos fundamentales de una persona. En concreto, los sistemas de IA se clasifican en cuatro niveles: inaceptable, alto, limitado y mínimo.
  5. Los sistemas con un riesgo inaceptable son aquellos que se consideran una amenaza para las personas, y serán prohibidos. Algunos ejemplos serían la manipulación cognitiva, la puntuación social o los sistemas de identificación biométrica en tiempo real y a distancia. Pero existen algunas excepciones a esta calificación; por ejemplo, los sistemas de identificación biométrica a distancia a posteriori, en los que la identificación se produce tras un retraso significativo. Se permitirán para perseguir delitos graves y solo cuando haya previa aprobación judicial.
  6. En cuanto a los sistemas de IA de riesgo alto, en la última versión se propone la ampliación de la clasificación para incluir los daños a la salud, la seguridad, los derechos fundamentales o el medio ambiente. Estos sistemas deberán cumplir con una serie de obligaciones para garantizar que aquellos que se utilicen en la UE sean seguros y respeten tanto los derechos fundamentales de las personas como los valores y garantías de la Unión. Algunas de las obligaciones previstas son: realizar evaluaciones de riesgo durante todo el ciclo de vida, ser aprobados mediante procedimientos adecuados antes de su uso, ser supervisados por personas físicas, etcétera.
  7. Los sistemas de IA de riesgo limitado deben ser transparentes y permitir a los usuarios tomar decisiones informadas. Eso significa que deben estar informados de que están interactuando con una IA, salvo en aquellas situaciones en las que resulte evidente. Esto incluye los sistemas de IA que generan o manipulan contenidos de imagen, audio o vídeo (por ejemplo, deepfakes).
  8. El régimen sancionador también ha sufrido cambios relevantes en la última versión (en lugar de tres niveles de sanciones, ahora habrá cuatro). Las multas más altas podrán ser de hasta 40 millones de euros o, si es una empresa, hasta el siete por ciento del volumen de negocio total anual global del ejercicio financiero anterior. Además, el texto propone que los proveedores, distribuidores, importadores o cualquier otro tercero no puedan repartirse la carga de las sanciones y costas procesales a través de cláusulas contractuales.

El Reglamento de IA establece una serie de obligaciones en función del nivel de riesgo

Avances en el ámbito nacional

El Ministerio de Asuntos Económicos y Transformación Digital ha publicado un borrador del Real Decreto que crea un espacio controlado de pruebas. Esta sandbox es el primer espacio de pruebas para determinar cómo implementar los requisitos aplicables a los sistemas de IA de riesgo alto, según lo previsto en la propuesta de Reglamento.

Este Real Decreto entrará en vigor al día siguiente de su publicación en el Boletín Oficial del Estado y se prevé que tenga una vigencia de 36 meses (o del tiempo necesario que permita que se adopten las normas de aplicación comunes de la UE para la creación y funcionamiento de estos entornos aislados controlados). Además, en agosto, el Consejo de Ministros aprobó el estatuto de la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA). Esto refleja el compromiso de nuestro país con la transformación digital, en línea con la Agenda Digital 2026 y la Estrategia Nacional de Inteligencia Artificial, que busca un desarrollo inclusivo, sostenible y centrado en la ciudadanía.

La AESIA, adscrita al Ministerio de Asuntos Económicos y Transformación Digital, convierte a España en el primer país europeo con una entidad de supervisión de IA, anticipándose a la entrada en vigor del Reglamento Europeo de Inteligencia Artificial, que requerirá a los Estados miembros designar una autoridad de supervisión en la materia.