El pasado 21 de abril, la Comisión Europea publicó las bases del Reglamento sobre el uso de la Inteligencia Artificial. El objetivo de este nuevo Reglamento sobre la IA es garantizar que los europeos puedan confiar en lo que la IA puede ofrecer, garantizar la tutela de los derechos fundamentales frente a los riesgos que puede comportar el uso de herramientas o sistemas basados en inteligencia artificial.
La combinación del primer marco jurídico sobre la IA de la Historia y de un nuevo plan coordinado con los Estados miembros, garantizará la seguridad y los derechos fundamentales de las personas y las empresas, al tiempo que reforzará la adopción, la inversión y la innovación en materia de IA en toda la UE. Al mismo tiempo, se han elaborado unas nuevas normas sobre maquinaria que utiliza inteligencia artificial, para dar mayor confianza a los usuarios en la nueva y versátil generación de productos.
El planteamiento europeo sobre una IA fiable
Se basa en la elaboración de una normas proporcionadas y flexibles que abordarán los riesgos específicos que plantean los sistemas de IA y fijarán los estándares más altos del mundo.
Las nuevas normas se aplicarán directamente de la misma manera en todos los Estados miembros sobre la base de una definición de IA a prueba de futuro, de manera que se establezcan reglas armonizadas relativas a la introducción en el mercado, la puesta en servicio y el uso de sistemas de IA en el entrono europeo.
El planteamiento acerca de los usos de la IA, de este Reglamento está basado en el análisis del riesgo que el sistema de IA puede comportar para que se produzca una vulneración de los derechos fundamentales en la seguridad de las personas, estableciendo las siguientes 4 categorías: Riesgo inadmisible, Alto Riesgo, Riesgo limitado y Riesgo mínimo.
a) Riesgo inadmisible
Se prohibirán los sistemas de IA que se consideren una clara amenaza para la seguridad, los medios de subsistencia y los derechos de las personas.
Esto abarca los sistemas o las aplicaciones de IA que manipulan el comportamiento humano para eludir la voluntad de los usuarios (por ejemplo, juguetes que utilicen asistencia vocal para incitar a comportamientos peligrosos a los menores) y sistemas que permitan la «puntuación social» por parte de los Gobiernos.
b) Alto riesgo:
La clasificación como alto riesgo conlleva el análisis del potencial lesivo en la salud y la seguridad o los derechos fundamentales de las personas, y las finalidades para las que se contempla su uso.
Los sistemas de IA considerados de alto riesgo abarcan las tecnologías de IA empleadas en:
- Infraestructuras críticas (por ejemplo, transportes), que pueden poner en peligro la vida y la salud de los ciudadanos;
- Formación educativa o profesional, que pueden determinar el acceso a la educación y la carrera profesional de una persona;
- Componentes de seguridad de los productos (ej. aplicación de IA en cirugía asistida por robots);
- empleo, gestión de trabajadores y acceso al trabajo por cuenta propia (ej. programas informáticos de clasificación de CV);
- Servicios públicos y privados esenciales (ej. sistemas de calificación crediticia que priven a los ciudadanos de la oportunidad de obtener un préstamo);
- Aplicación de las leyes, que pueden interferir con los derechos fundamentales de las personas (ej. evaluación de la fiabilidad de las pruebas);
- Gestión de la migración, el asilo y el control de las fronteras (ej. comprobación de documentos);
- Administración de justicia y procesos democráticos
Requisitos previos a la comercialización:
Los sistemas de IA de alto riesgo estarán sujetos a obligaciones estrictas antes de que puedan comercializarse, debiendo garantizar:
- Sistemas adecuados de evaluación y mitigación de riesgos;
- Alta calidad de los conjuntos de datos que alimentan el sistema para minimizar los riesgos y los resultados discriminatorios;
- Registro de la actividad para garantizar la trazabilidad de los resultados;
- Documentación detallada que aporte toda la información necesaria sobre el sistema y su finalidad para que las autoridades evalúen su conformidad;
- Información clara y adecuada al usuario;
- Medidas apropiadas de supervisión humana para minimizar el riesgo;
- Alto nivel de solidez, seguridad y precisión.
Sistemas de identificación biométrica:
En especial, se consideran de alto riesgo y estarán sujetos a requisitos estrictos todos los sistemas de identificación biométrica remota. Su uso en directo en espacios de acceso público con fines policiales está, en principio, prohibido.
Se definen y regulan excepciones (por ejemplo, cuando sea estrictamente necesario para la búsqueda de un menor desaparecido, para prevenir una amenaza terrorista concreta e inminente, o para detectar, localizar, identificar o enjuiciar a un autor o sospechoso de un delito grave).
Su uso estará sujeto a la autorización de un órgano judicial u otro organismo independiente y a los límites adecuados desde el punto de vista de la duración, el alcance geográfico y las bases de datos exploradas.
c) Riesgo limitado:
En esta categoría se incluyen sistemas de IA que interactúan con personas, sistemas utilizados para detectar emociones o, como en el caso de los robots conversacionales, para realizar asociaciones mediante categorías basadas en datos biométricos.
A los proveedores de estos Sistemas de IA se les exige el cumplimiento de obligaciones específicas de transparencia, con el fin de que los usuarios sean conscientes de que están interactuando con una máquina para poder tomar una decisión informada de continuar o no.
d) Riesgo mínimo o nulo:
La propuesta de Reglamento permite el uso gratuito de aplicaciones tales como videojuegos basados en la IA o filtros de correo spam. La inmensa mayoría de los sistemas de IA entra en esta categoría. El proyecto de Reglamento no interviene aquí, ya que estos sistemas de IA solo representan un riesgo mínimo o nulo para los derechos o la seguridad de los ciudadanos.
Gobernanza
En términos de gobernanza, la Comisión propone que las autoridades nacionales de vigilancia del mercado controlen las nuevas normas, mientras que la creación de un Comité Europeo de Inteligencia Artificial facilitará su aplicación e impulsará la creación de regulación en materia de IA. Además, se proponen códigos de conducta voluntarios para la IA que no entrañe un alto riesgo, así como espacios controlados de pruebas para facilitar la innovación responsable.
Sujetos obligados
- Los prestadores que introducen en el mercado o ponen en servicio sistemas de IA en la Unión,
- Los usuarios de sistemas de IA situados en la Unión;
- Los prestadores y usuarios de sistemas de IA que están situados en un tercer país cuando el resultado producido por el sistema se utiliza en la Unión.
Sin perjuicio de la regulación que recoge esta nueva norma y la clasificación en función del riesgo que para los derechos fundamentales puede comportar, resulta igualmente aplicable lo establecido en el RGPD y demás normativa comunitaria, normativa de consumidores y usuarios, seguridad de productos y servicios, salud, transporte o responsabilidad por productos entre otras.
Régimen sancionador
De conformidad con los términos y condiciones contemplados en el Reglamento, los Estados Miembro establecerán las normas sobre sanciones, incluidas las multas administrativas, aplicables a las infracciones del Reglamento.
Estarán sujetas a multas administrativas de hasta 30.000.000 euros o, si el infractor es una empresa, hasta el 6% del volumen de negocios total anual mundial del ejercicio financiero anterior, el que sea mayor, las siguientes infracciones:
- Incumplimiento de la prohibición de las prácticas de inteligencia artificial a que se refiere el artículo 5;
- Incumplimiento del sistema de inteligencia artificial de los requisitos establecidos en el artículo 10.
El incumplimiento del sistema de IA respecto de cualquier requisito u obligación del Reglamento, distintos de los establecidos en los artículos 5 y 10, estarán sujetos a multas administrativas de hasta 20.000.000 euros o, si el infractor es una empresa, hasta el 4% de su facturación anual total del ejercicio anterior, a nivel mundial.
El suministro de información incorrecta, incompleta o engañosa a los organismos notificados y las autoridades nacionales competentes en respuesta a una solicitud estarán sujetas a procedimientos administrativos con multas de hasta 10.000.000 euros o, si el infractor es una empresa, hasta el 2% del total de su volumen de negocio anual mundial del ejercicio anterior.
En todo caso, se tendrán en cuenta las circunstancias específicas y, en concreto:
- La naturaleza, gravedad y duración de la infracción y sus consecuencias;
- Si ya se han aplicado multas administrativas por otros mercados, autoridades de vigilancia al mismo operador por la misma infracción.
- El tamaño y la cuota de mercado del operador que comete la infracción;
El Supervisor Europeo de Protección de Datos podrá imponer multas administrativas a la Unión, instituciones, agencias y organismos incluidos en el ámbito de aplicación del Reglamento.
Igualmente, se tendrá en cuenta:
- La naturaleza, gravedad y duración de la infracción y sus consecuencias;
- La cooperación con el Supervisor Europeo de Protección de Datos con el fin de remediar la infracción y mitigar los posibles efectos adversos de la infracción,
- Cualquier infracción anterior similar por parte de la institución, agencia u organismo de la Unión.
Próximos pasos:
El Parlamento Europeo y los Estados miembros tendrán que adoptar las propuestas de la Comisión sobre un planteamiento europeo en materia de inteligencia artificial y de maquinaria en el procedimiento legislativo ordinario.
Una vez adoptados, los Reglamentos serán directamente aplicables en toda la UE. Paralelamente, la Comisión seguirá colaborando con los Estados miembros a efectos de la ejecución de las medidas anunciadas en el plan coordinado.