Marco normativo: Reglamento Europeo de Inteligencia Artificial
Primero que todo tenemos que saber que el uso de la IA aparece regulado en el Reglamento Europeo de Inteligencia Artificial que es la primera norma legal integral que regula el desarrollo, comercialización y uso de sistemas de inteligencia artificial en la Unión Europea.
Su objetivo es garantizar que la IA sea segura, transparente, respetuosa con los derechos fundamentales y compatible con la protección de datos personales.
¿A quién afecta la normativa?
La norma afecta a:
• Proveedores de sistemas de IA.
• Empresas que desarrollan herramientas basadas en IA.
• Organizaciones que utilizan sistemas de IA en su actividad empresarial.
• Importadores, distribuidores y responsables de comercialización de sistemas de IA.
• Empresas establecidas fuera de la UE cuyos sistemas produzcan efectos en territorio europeo.
Por tanto, no solo afecta a quienes crean IA, sino también a quienes la utilizan en sus procesos internos o en la prestación de servicios.
Clasificación de los sistemas de IA según su nivel de riesgo
La normativa clasifica los sistemas de IA en cuatro niveles de riesgo y las prohibiciones y obligaciones van en función del riesgo:
1. Riesgo inaceptable (prohibido)
Quedan prohibidas determinadas prácticas por considerarse contrarias a los derechos fundamentales, entre ellas:
Manipulación subliminal de personas.
Explotación de vulnerabilidades de menores o colectivos vulnerables.
Sistemas de puntuación social («social scoring»).
Determinados usos de identificación biométrica masiva en espacios públicos.
2. Sistemas de alto riesgo
Son los que pueden afectar significativamente a derechos fundamentales, seguridad o acceso a servicios esenciales.
Ejemplos: Selección y contratación de personal, Evaluación de trabajadores, Educación y formación, Servicios financieros, Infraestructuras críticas, Sanidad, Administración de justicia.
Estos sistemas deberán cumplir requisitos estrictos de:
Gestión de riesgos, Calidad y gobernanza de datos, Supervisión humana, Documentación técnica, Registro de actividades, Transparencia y Ciberseguridad.
3. Riesgo limitado
Incluye sistemas que interactúan con personas, como:
Chatbots, Asistentes virtuales o Generadores de contenidos.
En estos casos deberá informarse claramente al usuario de que está interactuando con una IA.
4. Riesgo mínimo
Aplicaciones de bajo impacto, como:
Filtros antispam, Herramientas de productividad.
No tienen obligaciones específicas adicionales.
Obligaciones sobre IA generativa
Los modelos de IA de propósito general (como los grandes modelos de lenguaje utilizados para generar textos, imágenes o código) deberán:
• Facilitar documentación técnica adecuada.
• Cumplir con la normativa de derechos de autor.
• Publicar información sobre los datos utilizados para entrenamiento cuando sea exigible.
• Implementar medidas de gestión de riesgos cuando sean considerados modelos con riesgo sistémico.
Relación entre el AI Act y la normativa de protección de datos
El AI Act no sustituye al Reglamento General de Protección de Datos.
Las empresas deberán seguir cumpliendo simultáneamente con el RGPD, la LOPDGDD y la normativa sectorial aplicable.
En muchos casos será necesario realizar:
• Evaluaciones de Impacto en Protección de Datos (EIPD).
• Evaluaciones de conformidad de IA.
• Análisis de riesgos específicos relacionados con derechos fundamentales.
Obligaciones para empresas usuarias
Las organizaciones que utilicen sistemas de IA deberán:
• Garantizar que los sistemas se utilizan conforme a las instrucciones del proveedor.
• Supervisar el funcionamiento de la IA.
• Formar adecuadamente a empleados y usuarios.
• Mantener registros cuando proceda.
• Verificar que los sistemas de alto riesgo cumplen los requisitos legales.
Régimen sancionador
Las sanciones pueden alcanzar hasta:
35 millones de euros o el 7% del volumen de negocio mundial anual, para las infracciones más graves.
15 millones de euros o el 3% del volumen de negocio mundial anual para determinadas obligaciones de cumplimiento.
7,5 millones de euros o el 1,5% del volumen de negocio mundial anual para otras infracciones.
Se aplicará el importe que resulte más elevado.
Calendario de aplicación
La aplicación es progresiva:
• 1 de agosto de 2024: entrada en vigor del Reglamento.
• Febrero de 2025: aplicación de las prohibiciones relativas a sistemas de riesgo inaceptable.
• Agosto de 2025: aplicación de gran parte de las obligaciones para modelos de IA de propósito general.
• Agosto de 2026: aplicación general de la mayoría de obligaciones del Reglamento.
Algunas obligaciones específicas para determinados sistemas de alto riesgo tendrán plazos adicionales.
Recomendaciones para las empresas
• Identificar todas las herramientas de IA utilizadas en la organización.
• Clasificar cada sistema según su nivel de riesgo.
• Revisar contratos con proveedores de IA.
• Evaluar el impacto sobre la privacidad y los derechos fundamentales.
• Implantar políticas internas de uso de IA.
• Formar a empleados y directivos.
• Mantener evidencias documentales del cumplimiento normativo.
Conclusión
El Reglamento Europeo de Inteligencia Artificial supone un cambio relevante en la gestión del cumplimiento normativo. Las empresas que utilicen herramientas de IA deberán adoptar medidas de gobernanza, control y transparencia similares a las ya existentes en materia de protección de datos, con el fin de garantizar un uso responsable y legal de estas tecnologías.
| Para más información… |