El pasado viernes, 12 de julio de 2024, se publicó en el Diario Oficial de la Unión Europea (DOUE) el Reglamento de Inteligencia Artificial (“RIA”) por el que se regula por primera vez el uso de la Inteligencia Artificial (“IA”) en la Unión Europea (“UE”), estableciendo un nuevo marco jurídico con obligaciones para todos los operadores de sistemas de IA.
El RIA establece un marco de aplicación que engloba a todas aquellas organizaciones establecidas en la UE e, incluso, aquellas que –no estando establecidas en la UE– utilicen sistemas de IA en el mercado comunitario.
Se considera “Sistema de IA” aquel sistema basado en máquinas para funcionar con distintos niveles de autonomía y con capacidad de adaptación tras su comercialización que, a partir de la información que recibe, es capaz de generar información, como contenidos, predicciones, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales.
El RIA parte de un enfoque basado en el riesgo a partir de la afectación, que los distintos sistemas de IA puedan implicar, para los derechos fundamentales y libertades en el marco de la UE. Así, se definen distintos niveles de riesgo:
- “Riesgo Inadmisible”: Conjunto limitado de usos especialmente nocivos de la IA contrarios a los valores de la UE y que se entienden prohibidos (salvo situaciones muy excepcionales). Nos referimos, entre otros, a sistemas caracterizados por manipular cognitivamente el comportamiento de las personas, evaluar o puntuar socialmente o identificar a sujetos en tiempo real y en espacios públicos a partir de datos biométricos.
- “Alto Riesgo”: Sistemas de IA que pueden tener un impacto potencialmente negativo en la seguridad de las personas o en sus derechos fundamentales y que, en consecuencia, deben ser objeto de una estricta regulación. Estamos hablando de sistemas que operen en productos cubiertos por la legislación europea armonizada y que estén sujetos a evaluación de conformidad por parte de un organismo independiente y otros enumerados específicamente en el Anexo III del RIA (identificación biométrica, reconocimiento de emociones, relacionados con la educación y formación profesional, entre otros).Los sistemas de Alto Riesgo son los que tienen la carga regulatoria más elevada, y sus obligaciones, entre otras, se concretan en (i) la implementación de un Sistema de Gestión de Riesgos; (ii) la implementación de un Sistema de Gobernanza de datos (para asegurar buenas prácticas en su recolección y evitar sesgos, entre otros); (iii) Obligaciones de transparencia (documentación técnica actualizada o instrucciones de uso); (iv) Registro de Actividad del sistema (registro de los “logs” para detectar situaciones de riesgo); (v) Supervisión humana (para minimizar los riesgos a la salud, seguridad y derechos fundamentales); y (vi) Asegurar que el sistema cumple en ciberseguridad, precisión y robustez.
- “Riesgo Limitado”: Sistemas de IA con un impacto limitado en las personas o en sus derechos fundamentales, sujetos a un régimen de transparencia que tiene como objetivo que el ciudadano tenga conocimiento en todo momento que está interactuando, o un determinado contenido es resultado de un sistema de IA.Nos referimos a los conocidos chatbots tales como Chat-GPT, Gemini, etc. y otros sistemas de IA que tienen capacidad de manipulación de imágenes, vídeos, sonido, entre otros.A estos sistemas se les va a exigir un nivel de transparencia mayor, exigiendo que las imágenes, vídeos o sonidos que producen contengan un indicativo de que es producto de un sistema de IA, o en los casos de los chatbots un aviso que indique que no se está interactuando con un humano.
- “Riesgo Bajo”: Sistemas de IA con un impacto bajo en la seguridad de las personas o en sus derechos fundamentales. Podrán desarrollarse, comercializarse y utilizarse con arreglo a la legislación vigente, sin obligaciones adicionales. De todos modos, los proveedores podrán aplicar los requisitos de la ley y adherirse a Códigos de Conducta de forma totalmente voluntaria.Nos referimos, por ejemplo, a Sistemas de IA como los incorporados a los sistemas de correo electrónico para clasificar nuestros correos (Spam, Promociones, Social, etc) o videojuegos que incorporen la IA para un mejor funcionamiento, entre otros.
En este nuevo e importante contexto normativo, ¿cómo Font os puede ayudar en el cumplimiento y adaptación a las nuevas obligaciones previstas en el RIA?
- En primer lugar, a través de una auditoría de los sistemas de IA utilizados (o que se deseen utilizar) en toda la organización ya que el RIA contiene obligaciones específicas y distintas en función de si la entidad tiene la condición de desarrollador, proveedor, importador o si simplemente se utiliza el sistema de IA.
- Posteriormente, depurar todos los sistemas que el RIA establece como de “riesgo inadmisible” y que, en consecuencia están prohibidos, ya que dicha obligación será plenamente aplicable solamente 6 meses después de la aplicación del RIA.
- Constituir un Comité de la IA, a poder ser en el marco del Área o Comité de Compliance o de Ética, para poder supervisar, analizar e implementar correctamente todas las obligaciones exigidas por el RIA, y para ayudar de forma continuada en su posterior actualización.
- Finalmente, sensibilizar al personal en la utilización de la IA en el seno de la organización y, especialmente, a todos los departamentos relacionados con el uso de las tecnologías, el cumplimiento normativo y proceso productivo de la empresa.
Cabe señalar que el RIA entrará en vigor 20 días después de su publicación en el DOUE, y será plenamente aplicable 24 meses después de su entrada en vigor con una aplicación escalonada para las distintas obligaciones.
Por ello, aunque haya margen de tiempo para la adaptación de una organización al RIA, entendemos que es urgente empezar a llevar a cabo las acciones referidas anteriormente, debido a su especial complejidad.
En este sentido, debemos recordar que las sanciones por el incumplimiento del RIA podrán alcanzar, en el peor de los casos, hasta los 35 millones de euros o el 7% del volumen de negocio global del ejercicio anterior.
Contacta con nosotros para saber más.
