Las claves de la primera regulación de inteligencia artificial de Europa

Claudio Soto, desde Europa.

Sin muchos aspavientos y opacada mediáticamente por la tramitación de la Ley de Amnistía española, hace pocos días el Consejo y el Parlamento de Unión Europea, con sede en Bruselas, Bélgica, aprobaron el reglamento que regulará el uso de la inteligencia artificial en el continente, convirtiéndose así en la primera normativa de este tipo en el mundo.

La legislación, que venía discutiéndose hace al menos unos 3 años atrás, terminó por cuajar el fin de semana pasado, cuando en sesiones de largo aliento, la comisión y la presidencia acodaron dar una salida a este tema, a través del un reglamento que, en lo sustancial, tiene por objeto garantizar que los sistemas de inteligencia artificial (IA) introducidos en el mercado europeo y utilizados en su ámbito geográfico sean seguros y respeten los derechos fundamentales. La histórica propuesta —señalan en Bruselas— también tiene por objeto estimular la inversión y la innovación.

Las idea matriz del Reglamento —que aún se mantiene como provisional, pues debe votarse por los Estados miembros— es regular la IA en la medida que esta tenga la capacidad de dañar a la sociedad, siguiendo un enfoque basado en los riesgos. Es decir, a mayor riesgo, normas más estrictas. Al ser la primera propuesta legislativa de este tipo en el mundo, puede establecer un referente mundial para regular la IA en otras jurisdicciones, como hizo en su momento el Reglamento General de Protección de Datos (RGPD).

Las claves

Lo primero que hace el Reglamento es definir su alcance. Para ello se buscará que el sistema de IA establezca unos criterios suficientemente claros para distinguirla de los sistemas de software más sencillos, armonizando el enfoque propuesto por la OCDE. Se aclara además que el Reglamento no se aplicará fuera del Derecho de la UE y que, en cualquier caso, no debe afectar a las competencias de los Estados miembros en materia de seguridad nacional. Además, el Reglamento de IA no se aplicará a los sistemas utilizados exclusivamente con fines militares o de defensa. Del mismo modo, el acuerdo establece que el Reglamento no se aplicará a los sistemas de IA utilizados únicamente con fines de investigación e innovación.

El acuerdo también establece unos criterios de protección, en particular una clasificación de sistemas de alto riesgo, con el fin de garantizar que no se incluyan sistemas de IA que probablemente no acarrearán violaciones graves de los derechos fundamentales. Así, por ejemplo, los sistemas de IA que solo tienen un riesgo limitado estarían sujetos a obligaciones de transparencia muy leves, como la divulgación de que el contenido se hubiera generado mediante IA (es el caso de la fotografía, creaciones musicales, etc.), de modo que los usuarios puedan tomar decisiones fundadas sobre su uso posterior.

Se aclara en Bruselas que algunos usos de la inteligencia artificial entrañan riesgos que se consideran inaceptables, por lo que su uso en la UE quedará prohibido. Algunas prácticas que el acuerdo provisional prohíbe son: la manipulación cognitiva conductual, el rastreo indiscriminado de imágenes faciales sacadas de internet o de circuitos cerrados de televisión, el reconocimiento de emociones en los lugares de trabajo y en las instituciones de enseñanza, la puntuación ciudadana, la categorización biométrica para deducir datos sensibles, como la orientación sexual o las creencias religiosas, y algunos casos de vigilancia policial predictiva de personas.

Actuación de las policías

Uno de los puntos, siempre sensibles en la UE, son las normas que rigen la actuación policial. En este caso, teniendo en cuenta la necesidad de preservar su capacidad para utilizar la IA en sus labores esenciales, se acordaron varias modificaciones en la propuesta original de la Comisión. Estas modificaciones, que están sujetas a las salvaguardias oportunas, tienen por objeto reflejar la necesidad de respetar la confidencialidad de los datos operativos delicados relativos a sus actividades.

Por ejemplo, se ha introducido un procedimiento de emergencia que permite a los organismos policiales desplegar en caso de urgencia una herramienta de IA de alto riesgo que no haya superado el procedimiento de evaluación de la conformidad. Sin embargo, también se ha introducido un mecanismo específico para asegurar que los derechos fundamentales de las personas estén suficientemente protegidos frente a cualquier posible uso indebido de los sistemas de IA.

En lo que respecta al uso de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público, en el marco de las actuaciones policiales se permitirá excepcionalmente su empleo. El acuerdo transaccional establece salvaguardias adicionales y limita estas excepciones a los casos de víctimas de determinados delitos, de prevención de amenazas reales, presentes o previsibles, como los atentados terroristas, y de búsqueda de personas sospechosas de los delitos más graves.

Gobernanza, sanciones y transparencia

A raíz de las nuevas normas sobre IA de uso general y la evidente necesidad de garantizar su cumplimiento, se crea una oficina de IA en la Comisión, que se encargará de supervisar estos modelos de IA más avanzados, de contribuir a fomentar las normas y las prácticas de ensayo y de garantizar el cumplimiento de las normas comunes en todos los Estados miembros. Un panel científico de expertos independiente asesorará a la oficina de IA sobre los modelos de uso general, contribuyendo al desarrollo de metodologías para evaluar las capacidades de los modelos fundacionales, asesorando en lo que se refiere a la designación y la aparición de modelos de gran impacto y supervisando los posibles riesgos materiales de seguridad.

Las multas por infracciones del Reglamento de Inteligencia Artificial se han fijado como un porcentaje del volumen de negocios anual global de la empresa infractora en el ejercicio financiero anterior o un importe predeterminado, si este fuera superior. Estas se elevarían a 35 millones de euros, es decir, el 7 % por las infracciones de aplicaciones de IA prohibidas, 15 millones de euros o el 3 % por el incumplimiento de las obligaciones del Reglamento de Inteligencia Artificial y 7,5 millones de euros o el 1,5 % por la presentación de información inexacta. Sin embargo, el acuerdo provisional establece límites más proporcionados a las multas administrativas que pueden imponerse a las pymes y las empresas emergentes en caso de infracción de las disposiciones del Reglamento de Inteligencia Artificial.

El acuerdo también deja claro que una persona física o jurídica puede presentar una reclamación ante la autoridad de vigilancia del mercado pertinente en relación con el incumplimiento del Reglamento de Inteligencia Artificial y esperar que dicha reclamación se tramite de conformidad con los procedimientos específicos de dicha autoridad.

El acuerdo provisional establece una evaluación del impacto en los derechos fundamentales antes de que un sistema de IA de alto riesgo sea introducido en el mercado por sus implementadores. El acuerdo provisional también prevé un refuerzo de la transparencia en relación con el uso de sistemas de IA de alto riesgo. Concretamente, se han modificado algunas de las disposiciones de la propuesta de la Comisión para indicar que determinados usuarios de un sistema de IA de alto riesgo que sean entidades públicas estarán obligados a registrarse en la base de datos de la UE de sistemas de IA de alto riesgo.

Además, las nuevas disposiciones hacen hincapié en la obligación de los usuarios de un sistema de reconocimiento de emociones de informar a las personas físicas a las que se exponga a un sistema de este tipo.

Puedes acceder a más información aquí.

 
También te puede interesar:
— La inteligencia artificial en la fiscalización de los impuestos
— GLTHday: “La inteligencia artificial es un tsunami que alcanzará todo el sector legal”
— Perú promulga ley de inteligencia artificial