Idiomas

¿Ha llegado el futuro? Visión general del proyecto de Reglamento de la UE sobre Inteligencia Artificial

Publicaciones: julio 23, 2022

Volver al resumen

Autores

Portrait Madina Dumanova Madina Dumanova

Guías de expertos relacionadas

El 21 de abril de 2021, la Comisión de la UE publicó una propuesta de Reglamento sobre Inteligencia Artificial (proyecto de Reglamento sobre IA, propuesta de Reglamento)[1] Como parte de la "estrategia europea para los datos"[2], el proyecto de Reglamento sobre IA pretende establecer una norma de referencia para regular la IA en la Unión[3].[3] Aunque por el momento se está debatiendo la propuesta de Reglamento y hay varios miles de propuestas de modificación, se espera que se adopte en otoño de 2022[4]. Una vez adoptado, el Reglamento sobre IA entrará en vigor veinte días después de su publicación y dejará un periodo de transición de 24 meses para que todas las organizaciones que proporcionen o utilicen sistemas de IA dentro de la UE apliquen las medidas y obligaciones respectivas.

Este artículo ofrece una visión general del proyecto de Reglamento sobre IA y sus implicaciones para las organizaciones de todo el mundo.

Ámbito de aplicación

El proyecto de Reglamento sobre IA tendrá un alcance extraterritorial similar al del RGPD, y se aplicará a (art. 2)

  • los proveedores que comercialicen en la UE o pongan en servicio sistemas de IA en la UE;
  • los usuarios de sistemas de IA en la UE; y
  • los proveedores y usuarios de sistemas de IA cuyos resultados se utilicen en la UE.

El proyecto de Reglamento sobre IA define el término "proveedor" como una persona que desarrolla un sistema de IA o que hace desarrollar un sistema de IA con vistas a comercializarlo o ponerlo en servicio bajo su propio nombre o marca (art. 3). Cabe señalar que se considerará proveedor a todo distribuidor, importador, usuario u otro tercero que (Art. 28)

  1. comercializa un sistema de IA con su propio nombre o marca;
  2. modifica la finalidad prevista de un sistema de IA existente; o
  3. introduce modificaciones sustanciales en el sistema de IA.

El término "usuario" se define como una persona que utiliza un sistema de IA bajo su autoridad, excepto cuando el sistema de IA se utiliza en el curso de una actividad personal no profesional (art. 3).

En particular, el proyecto de Reglamento sobre IA prevé un marco regulador horizontal[5]. Los reglamentos, leyes, estándares, normas, etc. existentes sobre tecnologías se aplican en la mayoría de los casos a industrias específicas y no abordan la aplicación de estas tecnologías a través de sistemas de hardware y software. El Reglamento propuesto intentará regular la IA de forma horizontal y, por tanto, independientemente de los casos de uso[6].

Definición de IA

La propuesta de Reglamento no establece una definición de IA. En su lugar, ofrece una definición de los sistemas de IA (artículo 3):

"[S]istema de inteligencia artificial" (sistema de IA): software desarrollado con una o más de las técnicas y enfoques enumerados en el anexo I y que puede, para un conjunto determinado de objetivos definidos por el ser humano, generar resultados tales como contenidos, predicciones, recomendaciones o decisiones que influyan en los entornos con los que interactúan".

La lista de técnicas y enfoques del anexo I incluye enfoques de aprendizaje automático, lógicos y basados en el conocimiento, así como enfoques estadísticos.

La definición excesivamente amplia de los sistemas de IA en el proyecto de Reglamento sobre IA ha suscitado críticas de diversas partes interesadas. Aunque aún está por ver cómo será la versión final del borrador del Reglamento sobre IA, algunos estados propusieron una definición más estrecha de inteligencia artificial, con dos requisitos adicionales: que el sistema sea capaz de "aprender, razonar o modelar implementado con las técnicas y enfoques", y que también sea un "sistema generativo", que influya directamente en su entorno[7].

Tipos de sistemas de IA y requisitos de cumplimiento pertinentes

El proyecto de Reglamento sobre IA divide los sistemas de IA en cuatro categorías: sistemas de IA de riesgo inaceptable, sistemas de IA de alto riesgo, sistemas de IA con obligaciones de transparencia y sistemas de IA de riesgo mínimo.

Sistemas de IA de riesgo inaceptable (art. 5): Por ejemplo, se consideran sistemas de riesgo inaceptable las prácticas de IA que contravienen los valores de la UE y suponen una clara amenaza para la seguridad, los medios de vida y los derechos fundamentales de las personas. Estos sistemas no están permitidos por el proyecto de Reglamento sobre IA.

Sistemas de IA de alto riesgo (artículo 6): Las siguientes categorías de sistemas de IA entran en esta categoría:

  1. Sistemas de identificación biométrica;
  2. Infraestructuras críticas que puedan poner en peligro la vida y la salud de los ciudadanos;
  3. Sistemas educativos o de formación profesional, que pueden determinar el acceso a la educación y el curso profesional de la vida de alguien;
  4. Componentes de seguridad de los productos;
  5. Empleo, gestión de trabajadores y acceso al autoempleo;
  6. Servicios públicos y privados esenciales;
  7. Aplicación de la ley, administración de justicia y procesos democráticos;
  8. Gestión de la migración, el asilo y el control de fronteras.

Los proveedores de sistemas de IA de alto riesgo están sujetos a las siguientes obligaciones sustantivas:

  1. Crear y aplicar un sistema adecuado de gestión y mitigación de riesgos (art. 9);
  2. Gestionar diligentemente los datos y la gobernanza de los datos, incluida la formación y las pruebas de los sistemas de IA de alto riesgo que utilicen datos (art. 10);
  3. Crear y proporcionar a los usuarios documentación técnica (Art. 11);
  4. Proporcionar un registro detallado a las autoridades (arts. 12 y 20);
  5. Facilitar a los usuarios información clara y adecuada (Art. 13);
  6. Proporcionar un nivel adecuado de supervisión humana (Art. 14);
  7. Velar por la exactitud, la solidez y la ciberseguridad (art. 15);
  8. Implantar un sistema adecuado de gestión de la calidad (Art. 17);
  9. Llevar a cabo un seguimiento postcomercialización del funcionamiento de los sistemas de IA de alto riesgo (art. 61).

Los proveedores de sistemas de IA de alto riesgo también deben cumplir las siguientes obligaciones de procedimiento:

  1. Los proveedores deben garantizar que sus sistemas de IA de alto riesgo completan la denominada "evaluación de conformidad" antes de que puedan ofrecerse en el mercado o ponerse en servicio (Art. 19). La conformidad de los sistemas de identificación biométrica debe realizarla el "organismo notificado" pertinente (anexo VII). Para todos los demás tipos de sistemas de IA de alto riesgo, los proveedores pueden llevar a cabo una autoevaluación (Anexo VI);
  2. Una vez que el sistema de IA de alto riesgo haya superado la evaluación de conformidad, los proveedores deberán redactar la declaración escrita de conformidad (art. 48), adjuntar un marcado CE de conformidad a la documentación del sistema de IA de alto riesgo (art. 49) y registrar el sistema de IA de alto riesgo en la base de datos de la UE (art. 51);
  3. Los proveedores deben informar a la autoridad competente en un plazo de 15 días de cualquier "incidente grave" o "funcionamiento incorrecto" del sistema de IA de alto riesgo (art. 62).

A diferencia de los proveedores, los usuarios de sistemas de IA de alto riesgo están sujetos a requisitos limitados. Por extensión, tienen que garantizar que utilizan los sistemas de IA de alto riesgo de acuerdo con las instrucciones para su uso y supervisar el funcionamiento de los sistemas de IA de alto riesgo y mantener un registro de los registros generados por los sistemas de IA de alto riesgo (art. 29).

Sistemas de IA con obligaciones de transparencia (art. 52): Los chatbots o bots de suplantación de identidad entran en esta categoría. Los proveedores de estos sistemas deben garantizar que están diseñados y desarrollados de tal manera que las personas físicas estén informadas de que están interactuando con un sistema de IA.

Sistemas de IA de riesgo mínimo (artículo 69): Los videojuegos con IA o los filtros de spam entran en esta categoría. No existen requisitos de cumplimiento para estos sistemas de IA. La gran mayoría de los sistemas de IA utilizados actualmente en la UE pueden definirse como sistemas de IA de riesgo mínimo.

Sanciones

El incumplimiento de las obligaciones impuestas por el proyecto de Reglamento sobre IA da lugar a multas cuantificadas en función del tipo de infracción (art. 71).

El infractor (proveedor y/o usuario en su caso) podrá ser sancionado con multas administrativas de hasta 30.000.000 euros o, si el infractor es una empresa, de hasta el 6 % de su volumen de negocios total anual a nivel mundial correspondiente al ejercicio anterior, si esta cifra es superior, por los dos tipos de infracciones siguientes

  • la comercialización, puesta en servicio o utilización de prácticas de IA de riesgo inaceptable (artículo 5);
  • incumplimiento de los requisitos de gobernanza de datos del sistema de IA de alto riesgo (artículo 10.4).

Por el incumplimiento de otros requisitos y obligaciones distintos de los mencionados, el infractor podrá ser sancionado con multas administrativas de hasta 20.000.000 de euros o, si el infractor es una empresa, de hasta el 4 % de su volumen de negocios total anual a escala mundial correspondiente al ejercicio financiero anterior, si esta cifra es superior.

El proyecto de Reglamento AI también prevé sanciones por no facilitar información correcta, completa o exacta a los organismos notificados y a las autoridades nacionales competentes en respuesta a cualquier solicitud. En tal caso, los infractores se expondrán a multas administrativas de hasta 10.000.000 de euros o, si el infractor es una empresa, de hasta el 2 % de su volumen de negocios total anual a escala mundial correspondiente al ejercicio financiero anterior, si esta cifra es superior.

Implicaciones para las empresas

El proyecto de Reglamento sobre IA pone el listón muy alto para las obligaciones de cumplimiento de las industrias en el ámbito de la IA en todos los sectores económicos. Una encuesta mundial realizada por McKinsey muestra que muchas organizaciones están muy por detrás de los posibles requisitos de cumplimiento del próximo Reglamento, ya que sólo el 38% de ellas están abordando activamente los riesgos de cumplimiento normativo en el campo de la IA[8]. En este sentido, las organizaciones afectadas deben prepararse para las regulaciones que seguramente seguirán y adoptar un programa de cumplimiento estratégico para sus sistemas de IA. Esto requerirá el conjunto de habilidades y recursos necesarios, lo que dará lugar a un mayor papel de los profesionales del cumplimiento. Se espera que las empresas amplíen sus equipos de cumplimiento y contraten a más profesionales con esta formación específica. También aumentará la necesidad de asesoramiento jurídico externo.

Recursos

  1. Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas sobre la inteligencia artificial (acto sobre inteligencia artificial) y se modifican determinados actos legislativos de la Unión, COM (2021) 206 final de 21 de abril de 2021- 2021/0106 (COD).
  2. "A European Strategy for Data" (Shaping Europe's digital future, 2022) https://digital-strategy.ec.europa.eu/en/policies/strategy-data consultado el 14 de julio de 2022.
  3. A European Approach To Artificial Intelligence' (Shaping Europe's digital future, 2022) https://digital-strategy.ec.europa.eu/en/policies/european-approach-artificial-intelligence consultado el 14 de julio de 2022.
  4. 'Europe's Artificial Intelligence Debate Heats Up | CEPA' (CEPA, 2022) https://cepa.org/europes-artificial-intelligence-debate-heats-up/ consultado el 14 de julio de 2022.
  5. Proyecto de Reglamento sobre IA (n 1) Exposición de motivos. Apartado 1.1.
  6. Patrick Glauner, "An Assessment of the AI Regulation Proposed by the European Commission", de próxima publicación en Sepehr Ehsani, Patrick Glauner, Philipp Plugmann y Florian M. (eds.), The Future Circle of Healthcare: AI, 3D Printing, Longevity, Ethics, and Uncertainty Mitigation (Springer 2022) 4. Propuesta de Reglamento del Parlamento Europeo propuesta por la Comisión Europea
  7. Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas sobre inteligencia artificial (Ley de Inteligencia Artificial) y se modifican determinados actos legislativos de la Unión, 29 de noviembre de 2021-2021/0106(COD).
  8. 5. "The State of AI In 2020" (Global Survey The State of AI in 2020, 2022) https://www.mckinsey.com/business-functions/quantumblack/our-insights/global-survey-the-state-of-ai-in-2020 consultado el 14 de julio de 2022.
Volver al resumen