El Parlamento Europeo ha aprobado hoy en sesión plenaria, el texto (casi) final del Reglamento sobre Inteligencia Artificial. A falta de algunas ligeras correcciones lingüísticas, el Reglamento se publicará en el Diario Oficial de la UE, con toda seguridad en torno al mes de mayo.

Dicho Reglamento es el primer marco jurídico en el mundo aplicable a la IA, que aborda sus riesgos y aspira a proporcionar a los desarrolladores e implementadores de IA requisitos y obligaciones claros en relación con sus usos específicos.

Mediante este Reglamento se pretende garantizar que los europeos puedan confiar en lo que la IA puede ofrecerles. Si bien la mayoría de sistemas de IA plantean un riesgo limitado o nulo y pueden contribuir a afrontar muchos retos sociales, determinados sistemas de IA plantean grandes retos que afectan a múltiples agentes económicos y sociales, especialmente desde una perspectiva de la protección de los derechos vinculados a la Propiedad Intelectual.

En este sentido alertaba la Association Littéraire et Artistique Internationale (ALAI) el pasado 17 de febrero, acerca de los desafíos sociales y económicos existenciales que plantea la inteligencia artificial (IA) y que afectan, en particular, a los creadores -ya sean autores o artistas-, y el complejo equilibrio entre la profunda innovación vinculada a la IA y las exigencias de transparencia normativa, la protección de los secretos empresariales y la defensa de los derechos vinculados a la Propiedad Intelectual.

Falta comprobar cómo, durante la implementación práctica los próximos años de este Reglamento, sus preceptos interactuarán con los principios establecidos en la Convención de Berna, de respeto de los derechos de los autores y que, en ausencia de la intervención creativa y determinante de un humano, ninguna producción resultante de un sistema automático de tratamiento de datos puede pretender ser sujeto de derechos basados en dicho Convenio. El reconocimiento de la autoría y la obtención de las debidas autorizaciones de los titulares de derechos para el uso de obras con el fin de nutrir los sistemas de IA con «datos de entrenamiento» son otras de las cuestiones afectadas por la IA, y que queda por ver cómo se verán afectadas a la práctica por este Reglamento.

¿Qué roles se establecen en relación con la IA?

El Reglamento estructura sus obligaciones alrededor de 7 roles, a los que se aplicarán las normas de una forma u otra:

  • El Deployer o implementador: organización o empresa usuaria de la IA, a quien le aplicará el Reglamento tanto si se trata de una organización europea como si, siendo extracomunitaria, use la IA en la UE.
  • El Provider o proveedor: El desarrollador (o quien encargue el desarrollo) del sistema de IA, introduciéndolo en el mercado o poniéndolo a disposición de terceros bajo su nombre o marca.
  • El Importer o importador: quien introduzca en el mercado europeo bajo su nombre o marca sistemas de IA, desarrollados por él mismo o por terceros.
  • El Distributor o distribuidor: el tercero, distinto del importador y del proveedor, que pueda comercializar sistemas de IA en la UE.
  • Authorised representative o agente: quien, sin ser proveedor, importador o distribuidor, lleve a cabo actividades comerciales vinculadas a sistemas de IA en la UE.
  • Product Manufacturer o fabricante del producto: quien integre sistemas de IA con sus propios servicios y/o lo introduzca en el mercado de la UE bajo su nombre y marca.
  • Operator o operador: cualquiera de los anteriores.

¿Qué sistema de gestión de riesgos deberán implementar las compañías que usen IA?

Al igual que otras normas europeas, el Reglamento sobre IA actúa eminentemente como una legislación de protección de los consumidores, adoptando un «enfoque basado en el riesgo» de los productos o servicios que utilizan IA. Cuanto más arriesgada sea una aplicación de IA, mayor será el escrutinio al que se la someta.

Los sistemas de riesgo limitado, como los sistemas de recomendación de contenidos o los filtros de spam, deberán, principalmente, informar que funcionan mediante IA. Se prevé que la mayoría de los sistemas de IA entren en esta categoría.

Los sistemas de IA de riesgo mínimo representan la mayoría de las soluciones de IA. Están sujetos a una supervisión reglamentaria menor, lo que a su vez fomenta la innovación y el crecimiento en este campo. La Ley de IA de la UE fomenta el uso libre de estas tecnologías de IA de bajo riesgo, siempre de acuerdo con las obligaciones de información aplicables a los sistemas de riesgo limitado.

Los sistemas considerados de riesgo inaceptable, entre otros, que establezcan de puntuación social basados en el comportamiento o las características personales, sistemas que exploten vulnerabilidades como la discapacidad o las circunstancias económicas, etc., estarán prohibidos.

Los sistemas considerados de alto riesgo, esto es, los que generen un riesgo relevante a la seguridad y derechos fundamentales de los ciudadanos en áreas sensibles, estarán sujetos a normas estrictas que se aplicarán antes de que entren en el mercado de la UE, y de las que los Deployers o implementadores serán los principales obligados, principalmente:

  • Garantizar la implementación de medidas técnicas y organizativas adecuadas que garanticen la supervisión humana de los sistemas de IA y que estos actúen de acuerdo con las instrucciones de uso contenidas en el Reglamento de IA.
  • Hacer seguimiento de los sistemas de IA, especialmente para evitar que supongan por su evolución un riesgo para los derechos y libertades de los ciudadanos.
  • Establecer sistemas de guardado de los resultados de los sistemas de IA de alto riesgo, al menos durante seis meses.
  • Cumplir con los requisitos de información, registro y de protección de datos (especialmente, la elaboración de una Evaluación de Impacto en la Protección de Datos ex. arts. 35 y 36 del RGPD).

El incumplimiento del Reglamento irá vinculado a un régimen sancionador que, en su rango máximo, prevé multas de hasta 35 millones de euros o el 7% de la facturación global de la compañía infractora.

Las medidas entrarán en vigor por fases y los países deberán vedar los sistemas de IA prohibidos seis meses después de que el Reglamento entre en vigor. Las disposiciones para los sistemas de IA de uso general, como los chatbots, empezarán a aplicarse a mediados de 2025. A mediados de 2026 estará en vigor el conjunto completo de normas, incluidos los requisitos para los sistemas de alto riesgo.

En cuanto a la aplicación, cada país de la UE designará su propio organismo de control de la IA, al que los ciudadanos podrán denunciar si creen que han sido víctimas de un incumplimiento de las normas. En 2023, España ya anunció la creación de la Agencia para la Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña.

Desde Santiago Mediano Abogados estamos a vuestra disposición en caso de precisar cualquier aclaración o información adicional al respecto.

Javier Berrocal
jberrocal@santiagomediano.com

José Antonio Torrado
jatorrado@santiagomediano.com

Guillem Valencia
gvalencia@santiagomediano.com

Alex Sleiman
asleiman@santiagomediano.com