El Diario Oficial de la Unión Europea del pasado día 12 de julio publicó el texto definitivo del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) n.° 300/2008, (UE) n.° 167/2013, (UE) n.° 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828. A esta norma, muy esperada, en la jerga comunitaria se le conoce, ya desde sus primeros borradores, como el “Reglamento de Inteligencia Artificial” o incluso como la “Ley de Inteligencia Artificial”. Ahora, a este nombre de uso común, podemos ponerle un identificador numérico, que por la importancia de la norma seguramente todos memorizaremos: el Reglamento 2024/1689.
Esta norma supone un avance de primer orden en la construcción del Derecho algorítmico, que tiene una vertiente laboral de la que ya nos hemos ocupado en algún periscopio ya publicado. Se aplicará junto a otras dos normas ya vigentes (aunque una de ellas no se ha publicado todavía): el Reglamento General de Protección de Datos, que contiene una regulación de las decisiones automatizadas; y la Directiva de Trabajadores de Plataforma. El resultado es un conjunto normativo muy avanzado, técnicamente riguroso y muy oportuno, en la medida en que entrará en vigor en una fase temprana no del desarrollo de la Inteligencia Artificial (IA), pero sí de su aplicación en empresas y administraciones. En el momento de diseñarse se adoptó un enfoque preventivo, propio de esta rama del Derecho Digital. Sin embargo, en el tiempo transcurrido desde entonces, considerable puesto que la tramitación legislativa no ha sido fácil, se han producido una serie de avances en esta tecnología, que han hecho que esta voluntad de anticipación se haya reducido considerablemente.
En esta primera entrega analizaremos cómo afecta el Reglamento de IA a los trabajadores, desde la perspectiva de la utilización por sus empresas de sistemas de IA para la gestión de personas. En uno posterior, nos ocuparemos de otros contenidos de esta norma con impacto en los recursos humanos.
La norma es extensa, como lo es también el Reglamento General de Protección de Datos: tiene ciento ochenta considerandos, ciento trece artículos y trece Anexos. El artículo 1 establece que su objetivo es mejorar el funcionamiento del mercado interior y promover la adopción de una IA centrada en el ser humano y fiable, garantizando al mismo tiempo un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la Carta, incluidos la democracia, el Estado de Derecho y la protección del medio ambiente, frente a los efectos perjudiciales de los sistemas de IA en la Unión, así como prestar apoyo a la innovación. A lo largo del proceso de elaboración de esta norma, la Comisión Europea sostuvo que su objetivo era garantizar el “desarrollo ético” de la IA.
El Reglamento indica en su artículo 1.2 cuál es su contenido:
- Normas armonizadas para la introducción en el mercado, la puesta en servicio y la utilización de sistemas de IA en la Unión;
- Prohibiciones de determinadas prácticas de IA;
- Requisitos específicos para los sistemas de IA de alto riesgo y obligaciones para los operadores de dichos sistemas;
- Normas armonizadas de transparencia aplicables a determinados sistemas de IA;
- Normas armonizadas para la introducción en el mercado de modelos de IA de uso general;
- Normas sobre el seguimiento del mercado, la vigilancia del mercado, la gobernanza y la garantía del cumplimiento;
- Medidas en apoyo de la innovación, prestando especial atención a las pymes, incluidas las empresas emergentes
Resumiendo su articulado, el Reglamento proporciona una lista de definiciones de los conceptos fundamentales en la materia; clasifica los sistemas de IA según su nivel de riesgo; establece marcos regulatorios diferenciados; y construye un marco de administración pública de la IA, incluyendo organismos de control y mecanismos sancionadores.
Se prevé su desarrollo mediante textos normativos de distinta naturaleza, desde directivas a protocolos, incluyendo una delegación a la Comisión para adoptar actos con arreglo a los artículos 290 y 97 del Tratado de Funcionamiento de la Unión Europea. Esto es, se prevé la actualización de sus contenidos regulatorios para hacer frente tanto a los cambios en la tecnología de la IA como a la valoración de los resultados de la normativa introducida en un primer momento.
El Derecho Algorítmico tiene elevado grado de complejidad técnica, por la propia naturaleza de la materia que regula. Por ello, esta norma está llamada a tener una función didáctica, al proporcionar definiciones y terminología actualizadas y precisas sobre la IA. En este sentido el artículo 3 establece la que será la definición canónica de sistema de IA: un sistema basado en una máquina diseñado para funcionar con distintos niveles de autonomía, que puede mostrar capacidad de adaptación tras el despliegue y que, para objetivos explícitos o implícitos, infiere de la información de entrada que recibe la manera de generar información de salida, como predicciones, contenidos, recomendaciones o decisiones, que puede influir en entornos físicos o virtuales.
Uno de las actuaciones más relevantes del Reglamento es la clasificación que hace de los sistemas de IA desde el punto de vista del riesgo que suponen para las personas. Entre éstas destacan la de prácticas prohibidas y las de sistemas de alto riesgo.
El artículo 5 identifica ocho prácticas de IA consideradas prohibidas. De entre estas se identifican dos que pueden tener su impacto en la gestión de personas: las que se usan para inferir las emociones de una persona física en los lugares de trabajo y en los centros educativos (salvo los que estén justificados por motivos médicos o de seguridad); y los sistemas de categorización biométrica que clasifiquen individualmente a las personas físicas sobre la base de sus datos biométricos para deducir o inferir, entre otros datos, su raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, vida sexual u orientación sexual.
Estas prohibiciones deben aplicarse en un plazo de seis meses después de su entrada en vigor. El resto de los mandatos del Reglamento tiene un plazo de dos años.
El siguiente nivel es el de los sistemas de IA de alto riesgo, en el que se concentran los mandatos de interés desde la perspectiva laboral. En concreto se considerará de alto riesgo un sistema cuando reúna estas dos condiciones:
- Que el sistema de IA esté destinado a ser utilizado como componente de seguridad de un producto que entre en el ámbito de aplicación de los actos legislativos de armonización de la Unión enumerados en el anexo I, o que el propio sistema de IA sea uno de dichos productos, y
- Que el producto del que el sistema de IA sea componente de seguridad, o el propio sistema de IA como producto, deba someterse a una evaluación de la conformidad de terceros para su introducción en el mercado o puesta en servicio con arreglo a los actos legislativos de armonización de la Unión enumerados en el anexo I.
Junto a ello, se considerarán igualmente como de alto riesgo una serie de sistemas enumerados en el Anexo III del Reglamento, listado que podrá ser modificado por la Comisión mediante un acto delegado en determinadas circunstancias. Son los siguientes:
a) Sistemas de IA destinados a ser utilizados para la contratación o la selección de personas físicas, en particular para publicar anuncios de empleo específicos, analizar y filtrar las solicitudes de empleo y evaluar a los candidatos
b) Sistemas de IA destinados a ser utilizados para tomar decisiones que afecten a las condiciones de las relaciones de índole laboral o a la promoción o rescisión de relaciones contractuales de índole laboral, para la asignación de tareas a partir de comportamientos individuales o rasgos o características personales o para supervisar y evaluar el rendimiento y el comportamiento de las personas en el marco de dichas relaciones
Como se observa, encontramos en este nivel de riesgo los dos grandes espacios de las relaciones laborales que están utilizando instrumentos de IA: de un lado, la fase de entrada en la empresa (screening de currículos, targeting de candidatos, selección); de otro, la de gestión de las plantillas (promoción, retribución, ascenso, despido, movilidad…).
También se clasifican como de alto riesgo los sistemas vinculados con la educación y formación profesional y los utilizados para la gestión de la migración, asilo y gestión del control fronterizo.
Que un sistema de IA sea considerado de alto riesgo tiene múltiples consecuencias, entre éstas la necesidad de implantar un sistema de gestión de riesgos, elaboración de una documentación técnica, prácticas de gobernanza y gestión de datos adecuadas, nivel de transparencia suficiente, registro automático de acontecimientos, supervisión humana, precisión, solidez y ciberseguridad.
En el artículo 86 del Reglamento se reconoce un derecho que es fundamental en toda la regulación de los sistemas de IA: el derecho a recibir una explicación de decisiones tomadas de impacto individual. Esto supone que toda persona que se vea afectada por una decisión que el responsable del despliegue adopte basándose en los resultados de un sistema de IA de alto riesgo que figure en el anexo III, y que produzca efectos jurídicos o le afecte considerablemente del mismo modo, de manera que considere que tiene un efecto perjudicial para su salud, su seguridad o sus derechos fundamentales, tendrá derecho a obtener de este responsable explicaciones claras y significativas acerca del papel que el sistema de IA ha tenido en el proceso de toma de decisiones y los principales elementos de la decisión adoptada.