Seleccionar página

El reglamento de inteligencia artificial ha llegado: ¿Tu organización está lista para cumplirlo?

por | Ago 8, 2024 | Pyme, RGPD

Publicación reglamento inteligencia Artificial

El pasado 12 julio se publicó, en el Diario Oficial de la Unión Europea, el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial, popularmente conocido como RIA.

Aunque durante los últimos años, a raíz del rápido desarrollo que ha tenido la inteligencia artificial, las autoridades europeas han emitido diferentes resoluciones, dictámenes con recomendaciones y directrices a tener en cuenta en el desarrollo e implementación de este tipo de tecnología, lo cierto es que no existía un cuerpo normativo propiamente dicho que estableciese unas obligaciones claras para los actores intervinientes en esta tecnología. Por ello, la publicación del RIA, tras varios años de un largo proceso legislativo, en el que han participado y debatido los representantes de los principales sectores implicados en este tipo de tecnología, supone un hito normativo que marcará un antes y un después dentro de la inteligencia artificial (IA) a nivel mundial.

 

Finalidad y objeto del RIA

 La finalidad y objeto de este reglamento, tal y como viene detallado en su artículo 1, sería: 

“mejorar el funcionamiento del mercado interior y promover la adopción de una inteligencia artificial (IA) centrada en el ser humano y fiable, garantizando al mismo tiempo un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la Carta, incluidos la democracia, el Estado de Derecho y la protección del medio ambiente, frente a los efectos perjudiciales de los sistemas de IA (en lo sucesivo, «sistemas de IA») en la Unión así como prestar apoyo a la innovación”

Este primer artículo del RIA ya pone de manifiesto el reto al que se enfrenta esta normativa, que no es otro de intentar armonizar el imparable desarrollo tecnológico, con el respeto a los derechos fundamentales de las personas, sin menoscabar, ni entorpecer la innovación tecnológica y las ventajas que puede aportar este tipo de tecnología bien aplicada.

Para conseguir cumplir este ambicioso objetivo, a lo largo de su extenso y complejo articulado se van desarrollando todos los principios, normas y requisitos que deberán cumplir tanto los diferentes modelos de IA, como los sistemas de IA que se desarrollen a partir de esos modelos, de manera que, tal y como veremos un poco más adelante, tanto los diferentes tipos de modelos y sistemas de IA, como los diferentes roles intervinientes en toda esta tecnología cumplan con sus obligaciones.

 

Impacto del RIA en las empresas y organizaciones

Para dimensionar el impacto que va a tener esta norma en el día a día de muchas empresas y organizaciones solamente hay que tener en cuenta todos los sectores empresariales en los que ya existen, hoy en día, herramientas de IA a pleno rendimiento, las cuales se deberán adaptar a los requisitos marcados por el RIA. Este es el caso del sector financiero, con la banca y las compañías aseguradoras como principales exponentes del uso de la IA, pero también de sectores como el sanitario, el educativo, el de selección de personal o el de la justicia en los que cada vez se encuentran con más asiduidad herramientas de IA en funcionamiento que facilitan multitud de tareas y trabajos de su día a día.

El RIA llega para mejorar el uso que se hace de este tipo de herramientas y sobre todo establecer unos requisitos legales que se deberán cumplir para poder emplearlas de manera correcta y acorde a esta nueva normativa.

Como el RGPD hizo en su día, el RIA es una norma que se basa en el enfoque del riesgo, regulando las llamadas líneas rojas o usos prohibidos para la IA, debido a los riesgos que puede suponer para las personas este tipo de usos, pero permitiendo el resto de los modelos y sistemas de IA siempre que cumplan con una serie de requisitos técnicos específicos para cada tipo de modelo o sistema de IA. Según este enfoque del riesgo, el RIA reconoce cuatro categorías:

  • Prácticas de IA prohibidas o de riesgo inaceptable (Artículo 5 RIA).
  • Sistemas de IA de alto riesgo (Artículo 6 RIA).
  • Modelos de IA de propósito o uso general sin riesgo sistémico (Artículo 51 RIA).
  • Modelos de IA de propósito o uso general con riesgo sistémico (Artículo 51 RIA).

Para cualquier empresa u organización, que esté usando IA en su día a día o tenga previsto incorporarla, será vital categorizar el tipo de sistema o modelo de IA que van a utilizar para dimensionar mejor las obligaciones que se tendrán que cumplir en ese modelo o sistema de IA.

En definitiva, el espíritu de esta normativa es continuar disfrutando de las ventajas y beneficios que ofrece este tipo de tecnología, sin menoscabar los derechos fundamentales de las personas afectadas por la tecnología, lo que impondrá a las empresas y organizaciones que quieran hacer uso de este tipo de tecnología una serie de requisitos legales en función del tipo de IA que vayan a emplear.

 

reglamento inteligencia arificial

 

Entrada en vigor

La entrada en vigor de esta norma se ha producido 20 días después de su publicación en el DOUE, es decir, es decir, ha entrado en vigor el pasado 1 de agosto, pero este reglamento tiene la peculiaridad de que no se comienza a aplicar en su totalidad de inmediato, sino que comenzará a ser exigible de manera paulatina.

Las principales fechas a tener en cuenta, en lo relativo a la aplicación de esta normativa son la siguientes:

  • A los 3 meses de su entrada en vigor (noviembre de 2024): Los estados miembros deben haber designado las autoridades encargadas de supervisar y hacer respetar las obligaciones del Derecho de la Unión en materia de derechos fundamentales.
  • A los 6 meses de su entrada en vigor (febrero de 2025): Serán exigibles las obligaciones relativas a las prohibiciones sobre IA de riesgo inaceptable
  • A los 9 meses de su entrada en vigor (mayo de 2025): Se deberán haber elaborado los códigos de buenas prácticas para los modelos de IA de uso general. Estos códigos se deben entregar en la Oficina de IA de cada estado miembro.
  • A los 12 meses de su entrada en vigor (agosto de 2025): Se comienza a aplicar la parte del RIA dedicada a las autoridades notificantes y organismos notificados, el capítulo relativo a los modelos de IA de uso general y al marco de gobernanza de la IA, así como el relativo al régimen sancionador del RIA.
  • A los 18 meses de su entrada en vigor (febrero de 2026): Se publicará por parte de la Comisión Europea, en consonancia con lo regulado por el RIA, un listado exhaustivo con ejemplos prácticos de uso de sistemas de IA que sean de riesgo alto y de sistemas de IA que no sean de riesgo alto.
  • A los 24 meses de su entrada en vigor (agosto de 2026): El RIA se vuelve plenamente aplicable en todos sus capítulos a los sistemas de IA de riesgo alto. Además, las autoridades de control competentes en cada Estado Miembro deberán estar operativas y establecidas.
  • A los 36 meses de su entrada en vigor (agosto de 2027): El RIA expande su aplicación, finalmente, a los sistemas de IA de alto riesgo no prescritos en su Anexo III, consiguiendo una aplicación plena del reglamento a todos los sistemas de IA que existan en este momento.

 

Roles o sujetos obligados por el RIA

 Dentro de las definiciones del artículo 3 del RIA encontramos las que definen los diferentes roles que se pueden encontrar dentro de un proyecto de IA y que serían los sujetos obligados a cumplir con esta normativa.

La determinación del rol que nuestra empresa u organización puede desempeñar dentro de un proyecto de IA resulta fundamental, puesto que, en función del rol que se pueda llegar a tener, las obligaciones de cumplimiento serán diferentes, lo que puede suponer más o menos esfuerzo para nuestra organización.

Los roles que vienen definidos por el RIA para cualquier proyecto de IA serían los siguientes:

  • Proveedor: Será cualquier persona física o jurídica o autoridad, órgano u organismo qde otra índole que desarrolle un sistema de IA o un modelo de IA de uso general para introducirlo en el mercado. Un ejemplo de proveedor sería Chat GPT o Dall-e.
  • Responsable del despliegue: Será toda persona física o jurídica, autoridad pública, agencia u organismo que utilice un sistema de IA bajo su autoridad, salvo que el sistema se utilice para actividades personales, no profesionales. Este es el rol que más habitualmente podrá tener nuestra empresa u organización, cuando aborda un proyecto de IA, ya que lo más habitual es desarrollar una herramienta de IA en base a un modelo de IA facilitado por un proveedor.
  • Representante autorizado: Sería la persona física o jurídica, ubicada en el territorio de la UE, que haya sido designada -siempre que acepte previamente dicha designación- por un proveedor ubicado fuera de la UE para que cumpla las obligaciones y lleve a cabo las acciones exigidas por el RIA en nombre del proveedor. Se encargaría de regularizar las obligaciones del proveedor del sistema o modelo de IA dentro de la UE para poder comercializarlo dentro del mercado económico europeo.
  • Importador: Aquella persona física o jurídica establecida dentro del territorio de la UE que introduce en el mercado un sistema de IA que lleve el nombre o marca comercial de una persona física o jurídica establecida en un tercer país.
  • Distribuidor: Aquellas personas físicas o jurídicas, distintas del proveedor y del importador, que comercialicen un sistema de IA en el mercado de la UE.
  • Proveedor posterior: Aquellos proveedores que comercializan o ponen en servicio un sistema de IA que incorpora un modelo de IA de uso general, con independencia de que sea un modelo propio o de un tercero.

Una vez enumerados los roles o sujetos obligados por el RIA, resulta fundamental, si nuestra organización o empresa se encuentra involucrada en un proyecto de IA, determinar en qué rol se encuadraría, puesto que en función del rol que se llegue a desempeñar las obligaciones legales pueden ser más gravosas o livianas, tal y como se ha explicado anteriormente. Incluso en muchos proyectos de IA se podría dar la situación que una misma organización ostente varios roles dentro del proyecto o se encuentre en una situación difusa entre varios de los roles descritos, de ahí la importancia de realizar un correcto análisis previo al respecto.

 

Régimen sancionador del RIA

Uno de los aspectos de este nuevo reglamento, que más expectación ha suscitado, es el régimen sancionador que trae aparejado. Antes de nada, hay que tener presente que, al tratarse de un Reglamento de la UE, el RIA es una norma de aplicación directa, que no necesita trasposición a la legislación española, por lo que una vez se vayan cumpliendo los distintos hitos  temporales, de entrada progresiva en aplicación marcados por el propio RIA, las distintas obligaciones impuestas a los sujetos obligados se irán activando y, en paralelo, el riesgo de ser sancionados por incumplir esta normativa también irá aumentando.

Es importante matizar que las cuantías sancionadoras marcadas por esta normativa son elevadas, siguiendo, en cierto modo, el esquema sancionador fijado por el RGPD en el año 2016.

Así el RIA fija tres niveles sancionadores:

  1. Sanciones de hasta 35.000.000 € o de hasta el 7% del volumen de negocios mundial total. Este nivel solamente se aplicará en caso de saltarse la prohibición de las prácticas de inteligencia artificial, es decir, aplicar IA con el objetivo o mediante técnicas específicamente prohibidas dentro del RIA en su artículo 5.
  2. Sanciones de hasta 15.000.000 € o de hasta el 3% del volumen de negocios mundial total, por el incumplimiento de cualquier de las obligaciones impuestas por el RIA a modelos o sistemas de IA tanto de propósito general como de modelos o sistemas de riesgo alto que no entren dentro de los sistemas prohibidos fijados por el RIA en su artículo 5.
  3. Sanciones de 7.500.000 € o de hasta el 1% del volumen de negocios mundial total. Aplicable en el caso de que se suministre información incompleta o engañosa a los organismos notificados y a las autoridades nacionales competentes en respuesta a una solicitud de información.

A pesar de que de entrada parece un régimen sancionador muy llamativo a nivel de importes sancionadores, hay que tener en cuenta que, tal y como ha venido pasando con las sanciones impuestas por incumplir el RGPD durante estos últimos años, el propio RIA, en su artículo 99.7, establece una serie de criterios que pueden llegar a atenuar o agravar los importes sancionadores que finalmente se puedan llegar a imponer por incumplir esta normativa, por lo que habrá que estar atentos a las primeras sanciones que, en un futuro, se impongan por incumplir el RIA para ver los criterios que se tomarán en cuenta por las autoridades competentes para modular las sanciones.

 

Inteligencia artificial cumplir con el reglamento

 

Interacción con el RGPD

Para ir terminando con esta aproximación inicial al RIA, hay que tener en cuenta que se trata de una normativa totalmente diferente del RGPD, el cual se pueden llegar a aplicar de manera conjunta y complementaria a cualquier proyecto de IA, siempre y cuando este llegue a tratar datos personales, por lo que, si nos encontramos con un sistema de IA en el que se llegan a tratar datos personales en alguna de las fases del proyecto, en la práctica, este proyecto tendrá que cumplir con la doble normativa europea: RIA+RGPD.

Por ello, volverá a ser un aspecto clave del cumplimiento normativo, tal y como se ha comentado en la parte de roles de IA de este artículo, determinar muy bien, dentro de cada fase del proyecto de IA, los roles de protección de datos que se puedan dar en el propio proyecto: responsables de tratamiento, encargados de tratamiento y/o corresponsables de tratamiento, ya que la determinación de estos roles fijará quién tiene que cumplir con las obligaciones y requisitos fijados por la normativa de protección de datos que pueden llegar a subyacer dentro del propio proyecto como son, entre otras: cumplir con el deber de transparencia e información sobre el tratamiento de datos personales, determinar la legitimación del tratamiento, realizar las EIPD que sean preceptivas o firmar contratos de tratamiento de datos por encargado.

 

En definitiva la entrada en vigor del RIA ha traído consigo un nuevo reto para todas las empresas y organizaciones, tanto para las que ya hayan implantado o desplegado un sistema de IA, de manera previa al RIA, como para las que hayan proyectado hacerlo en los próximos meses, puesto que se tendrá que cumplir con los objetivos inicialmente marcados dentro del proyecto de IA, de manera simultánea al cumplimiento de la nueva normativa europea de IA para no encontrarnos en una situación de incumplimiento que pueda provocar la imposición de una sanción económica dura.

 

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Abrir chat
1
💬 ¿Necesitas ayuda?
Hola 👋
¿En qué podemos ayudarte?
Sólo consultas comerciales. Para solicitar soporte accede al área de clientes.