Red Seguridad 103

red seguridad cuarto trimestre 2023 105 opinión sistemas que impidan la generación de contenidos ilegales, etcétera. 4. La nueva normativa establece una serie de obligaciones en función del nivel riesgo de la IA, que se evaluará según el propio riesgo que puede su- poner el uso de la tecnología para la seguridad, la salud y los derechos fun- damentales de una persona. En con- creto, los sistemas de IA se clasifican en cuatro niveles: inaceptable, alto, limitado y mínimo. 5. Los sistemas con un riesgo inacepta- ble son aquellos que se consideran una amenaza para las personas, y serán prohibidos. Algunos ejemplos serían la manipulación cognitiva, la puntuación social o los sistemas de identificación biométrica en tiempo real y a distan- cia. Pero existen algunas excepciones a esta calificación; por ejemplo, los sistemas de identificación biométrica a distancia a posteriori , en los que la identificación se produce tras un re- traso significativo. Se permitirán para perseguir delitos graves y solo cuando haya previa aprobación judicial. 6. En cuanto a los sistemas de IA de riesgo alto, en la última versión se pro- pone la ampliación de la clasificación para incluir los daños a la salud, la se- guridad, los derechos fundamentales o el medio ambiente. Estos sistemas deberán cumplir con una serie de obli- gaciones para garantizar que aquellos que se utilicen en la UE sean seguros y respeten tanto los derechos funda- mentales de las personas como los valores y garantías de la Unión. Algu- nas de las obligaciones previstas son: realizar evaluaciones de riesgo duran- te todo el ciclo de vida, ser aprobados mediante procedimientos adecuados antes de su uso, ser supervisados por personas físicas, etcétera. 7. Los sistemas de IA de riesgo limitado deben ser transparentes y permitir a los usuarios tomar decisiones informa- das. Eso significa que deben estar in- formados de que están interactuando con una IA, salvo en aquellas situacio- nes en las que resulte evidente. Esto in- cluye los sistemas de IA que generan o manipulan contenidos de imagen, au- dio o vídeo (por ejemplo, deepfakes ). 8. El régimen sancionador también ha sufrido cambios relevantes en la últi- ma versión (en lugar de tres niveles de sanciones, ahora habrá cuatro). Las multas más altas podrán ser de has- ta 40 millones de euros o, si es una empresa, hasta el siete por ciento del volumen de negocio total anual glo- bal del ejercicio financiero anterior. Además, el texto propone que los pro- veedores, distribuidores, importadores o cualquier otro tercero no puedan repartirse la carga de las sanciones y costas procesales a través de cláusu- las contractuales. Avances nacionales El Ministerio de Asuntos Económicos y Transformación Digital ha publicado un borrador del Real Decreto que crea un espacio controlado de pruebas. Esta sandbox es el primer espacio de prue- bas para determinar cómo implementar los requisitos aplicables a los sistemas de IA de riesgo alto, según lo previsto en la propuesta de Reglamento. Este Real Decreto entrará en vigor al día siguiente de su publicación en el Boletín Oficial del Estado y se prevé que tenga una vigencia de 36 meses (o del tiempo necesario que permita que se adopten las normas de aplicación comunes de la UE para la creación y funcionamiento de es- tos entornos aislados controlados). Además, en agosto, el Consejo de Mi- nistros aprobó el estatuto de la Agencia Española de Supervisión de la Inteligen- cia Artificial (AESIA). Esto refleja el com- promiso de nuestro país con la transfor- mación digital, en línea con la Agenda Digital 2026 y la Estrategia Nacional de Inteligencia Artificial, que busca un de- sarrollo inclusivo, sostenible y centrado en la ciudadanía. La AESIA, adscrita al Ministerio de Asuntos Económicos y Transformación Digital, convierte a España en el primer país europeo con una entidad de super- visión de IA, anticipándose a la entrada en vigor del Reglamento Europeo de In- teligencia Artificial, que requerirá a los Estados miembros designar una autori- dad de supervisión en la materia.