El Reglamento de Inteligencia Artificial (RIA) es una regulación pionera que establece los principios fundamentales para que las empresas, ya sean proveedores, importadores, distribuidores o responsables del despliegue de IA, cumplan con la normativa vigente. Este Reglamento de IA clasifica los sistemas de inteligencia artificial según su grado de riesgo y prohíbe directamente aquellos que estén relacionados con las siguientes prácticas:
- El uso de técnicas subliminales, manipulativas o engañosas para alterar el comportamiento de una o más personas.
- La explotación de vulnerabilidades para alterar el comportamiento.
- La clasificación o evaluación de personas basada en su comportamiento social durante un período de tiempo, resultando en un trato perjudicial o desfavorable (social scoring).
- Los sistemas que predicen la probabilidad de que una persona cometa un delito se basan únicamente en su perfil o rasgos de personalidad.
- Aquellos que se utilicen para la creación o ampliación de bases de datos de reconocimiento facial a partir de la extracción indiscriminada de imágenes de internet o de circuitos cerrados de televisión.
- Los sistemas que infieren emociones de una persona en el lugar de trabajo o en centros educativos (excepto por razones médicas o de seguridad).
- Los sistemas que clasifiquen individualmente a personas físicas a partir de sus datos biométricos para inferir determinados datos sensibles.
- Sistemas de identificación biométrica remota en tiempo real en espacios de acceso público, salvo en ciertas excepciones.
Sistemas de alto riesgo en el Reglamento de IA
Los sistemas clave regulados por el Reglamento de IA son aquellos considerados de “alto riesgo” debido al impacto potencial en los derechos fundamentales de los individuos, estos sistemas son los clasificados en el artículo 6, en relación con el Anexo III del mismo Reglamento.
Por una parte, serán los que estén destinados a ser utilizados como componente de seguridad de uno de los productos contemplados en la legislación de armonización de la Unión que se indica en el anexo II o es en sí mismo uno de dichos productos. Estos han de someterse a una evaluación de la conformidad realizada por un organismo independiente para su introducción en el mercado o puesta a disposición.
Los sistemas contemplados en el Anexo III abarcan diversas áreas críticas:
- Biometría: Los sistemas de identificación biométrica remota (excluyendo los de verificación de identidad), aquellos de categorización biométrica basada en características sensibles, y los que se utilicen para el reconocimiento de emociones.
- Infraestructuras críticas: Sistemas en materia de seguridad de infraestructuras críticas. Estas infraestructuras engloban las que sean digitales, de tráfico rodado, y de suministros de agua, gas, electricidad y calefacción.
- Educación y formación profesional: Engloba sistemas utilizados para el acceso y admisión a centros educativos, evaluación del aprendizaje, determinación del nivel educativo adecuado o detección de comportamientos prohibidos en exámenes.
- Empleo y gestión de trabajadores: Los utilizados para la contratación y selección de personal, o decisiones laborales como la promoción, rescisión, asignación de tareas y de supervisión.
- Servicios esenciales: involucra aquellos sistemas que generen una evaluación de admisibilidad para asistencia pública, de solvencia y crédito, de riesgos y precios en seguros o los que clasifiquen las llamadas de emergencia.
- Aplicación de la ley: Comprende sistemas evaluadores del riesgo de ser víctima de delitos, de la confiabilidad de las pruebas, de la probabilidad de cometer delitos, o que elaboren perfiles durante investigaciones, así como, polígrafos o herramientas similares, destinados a ser utilizados por las autoridades encargadas en aplicación de la ley.
- Migración, asilo y control fronterizo: Incluye a sistemas que sean utilizados como polígrafos y herramientas similares, o los que en el mismo ámbito evalúen los riesgos de seguridad o salud, examinen las solicitudes de asilo y visado o se dediquen a la detección e identificación de personas en migración.
- Justicia y procesos democráticos: Todos los sistemas que asistan a autoridades judiciales o influyan en elecciones o referendos incluyendo las que infieran en el comportamiento electoral de los votantes.
Obligaciones de los proveedores de Inteligencia Artificial
Las obligaciones de los proveedores, por su parte, son las siguientes:
- Asegurar el cumplimiento de los requisitos establecidos en el RIA.
- Garantizar un nivel de transparencia del sistema.
- Contar con un sistema de gestión de calidad.
- Conservar la documentación sobre el sistema a disposición de las autoridades, así como los archivos de registro que estén bajo su control.
- Realizar una evaluación de conformidad, y una declaración UE de conformidad, además de colocar el marcado CE.
- Registrar el sistema en la base de datos de la UE de alto riesgo.
- Implementar las medidas correctoras suficientes.
Obligaciones de las empresas que utilicen sistemas de Inteligencia Artificial
Las empresas que utilizan sistemas de IA de alto riesgo deben cumplir con una serie de obligaciones que entrarán en vigor próximamente y que requerirán adaptación. Estas obligaciones incluyen:
- Implementar medidas técnicas y organizativas para asegurar el uso adecuado de los sistemas conforme a las instrucciones de uso.
- Asignar la supervisión humana a personas cualificadas.
- Garantizar que los datos de entrada sean relevantes y representativos para el propósito del sistema, siempre que se tenga control sobre estos datos.
- Monitorear el funcionamiento del sistema e informar sobre riesgos e incidentes al proveedor, importador, distribuidor y a la autoridad de vigilancia del mercado.
- Mantener registros generados por el sistema si están bajo su control.
- Notificar a los trabajadores ya sus representantes legales antes de implementar un sistema de IA de alto riesgo en el lugar de trabajo.
- Informar a las personas afectadas por decisiones tomadas o asistidas por sistemas de IA.
- Colaborar con las autoridades competentes.
- Asegurar que su personal y otros responsables del uso y operación de los sistemas de IA tengan suficiente conocimiento sobre IA.
- Realizar evaluaciones de impacto en casos específicos.
Sanciones económicas
El incumplimiento de alguna de las cuestiones mencionadas, tanto de obligaciones como en materia de uso de sistemas de IA prohibidos, conllevaran una serie de sanciones.
Por incumplimiento de las obligaciones específicas, las multas podrán alcanzar los 15.000.000 EUR o el 3% del volumen de negocios mundial anual, lo que sea superior.
Mientras que, por prácticas prohibidas de IA, podrá llegar hasta 35.000.000 EUR o el 7% del volumen de negocios mundial anual, lo que sea superior.
Asimismo, aportar información inexacta o engañosa también puede conllevar multas que alcancen los 7.500.000 EUR o el 1% del volumen de negocios mundial anual, lo que sea superior.
Para estas sanciones se tendrán en cuenta diversas consideraciones como la naturaleza, gravedad, duración de la infracción, número de personas afectadas, nivel de daños, cooperación con autoridades entre otros factores.
En cuanto a PYMES y empresas emergentes, las multas pueden ser menores según su porcentaje de ingresos.
Plazos, entrada en vigor y próximos pasos
En cuanto a la entrada en vigor, este Reglamento está a la espera de su publicación en el DOUE para empezar a contar los dos años para que sea plenamente aplicable, salvo algunas excepciones como la aplicación tras 6 meses de la entrada en vigor de las disposiciones generales y las relativas a las prácticas prohibidas (títulos I y II), o la aplicación tras 12 meses después de la entrada en vigor, de las sanciones reguladas (Capítulo XII), entre otras.
Existen cuestiones que todavía no han sido reguladas y que tendrán que ser concretadas posteriormente, pudiendo ver que el próximo paso que sigue a este Reglamento es la Directiva del Parlamento Europeo y del Consejo relativa a la adaptación de las normas de responsabilidad civil extracontractual a la inteligencia artificial (Directiva sobre la responsabilidad en materia de IA)
Cómo adaptarse a la nueva regulación de IA
España ya es un ejemplo de cómo los países miembros de la UE están implementando y adaptando el marco del RIA, habilitando a nivel nacional el “Sandbox Regulatorio”, lo que hace que veamos más cerca la necesidad de adaptación.
En eDefense, somos especialistas en Derecho de las Nuevas Tecnologías e Inteligencia Artificial, y estamos al día con las regulaciones que tu empresa necesita. Te ayudaremos a cumplir con los objetivos de la nueva regulación, asegurando transparencia y confianza en tu negocio. ¡No dudes en contactarnos!