Propuesta de reglamento de la UE sobre inteligencia artificial

2021-06-03T16:28:00
Unión Europea

Tal y como hemos venido informando en anteriores entradas, el pasado 21 de abril fue publicada la versión definitiva de la esperada propuesta de Reglamento (UE) de la Comisión Europea sobre el marco jurídico aplicable a los sistemas de Inteligencia Artificial (IA). Dicha propuesta regula los sistemas de IA de alto riesgo y contiene, además, reglas de transparencia armonizadas para aquellos sistemas dirigidos a interactuar con personas físicas para generar o manipular imágenes, sonidos o contenidos de video.

Propuesta de reglamento de la UE sobre inteligencia artificial
3 de junio de 2021

Tal y como hemos venido informando en anteriores entradas, el pasado 21 de abril fue publicada la versión definitiva de la esperada propuesta de Reglamento (UE) de la Comisión Europea sobre el marco jurídico aplicable a los sistemas de Inteligencia Artificial (IA). Dicha propuesta regula los sistemas de IA de alto riesgo y contiene, además, reglas de transparencia armonizadas para aquellos sistemas dirigidos a interactuar con personas físicas para generar o manipular imágenes, sonidos o contenidos de video.

Considerando todos los beneficios económicos y sociales que pueden derivarse del uso de la IA, la Comisión Europea intenta promover el uso y el desarrollo de estos sistemas de IA de forma segura y ética, al establecer una serie de reglas con la finalidad de mitigar ciertos riesgos y consecuencias negativas.

Es importante destacar que el reglamento propone un ámbito de aplicación subjetivo y territorial amplio que comprendería a todos los actores dentro de la cadena de valor de la IA (es decir, proveedores, importadores, distribuidores) y alcanzaría tanto aquellos ubicados en la UE como los empleados en un tercer país, (siempre y cuando, en este último caso, desplieguen los efectos en la UE).

La regulación propuesta divide los sistemas de IA en torno a cuatro niveles de riesgo, a los que le impone más o menos obligaciones en función de su categorización:

Clasificación:

1. Sistemas de IA prohibidos. Se recoge una serie de sistemas de IA, listados de forma tasada y periódicamente revisados, cuyo uso estaría prohibido por implicar un riesgo inadmisible para la seguridad, la vida y los derechos fundamentales. Dicho listado incluye sistemas tales como aquellos capaces de manipular el comportamiento humano, predecir información respecto a colectivos o grupos para identificar sus vulnerabilidades o circumstancias especiales, o aquellos que impliquen la identificación biométrica o la videovigilancia masiva en directo por parte de las autoridades en espacios públicos. Respecto a estos últimos, solo se permiten para el cumplimiento de la ley, bajo autorización judicial o administrativa. No obstante, esta autorización puede ser solicitada con posterioridad a su implementación en casos de “extrema urgencia”, lo que puede reabrir de nuevo el debate.

2. Sistemas de IA de alto riesgo. Se listan otros sistemas de IA, que si bien no están prohibidos, suponen un “alto riesgo” para los derechos y libertades de los individuos y, por consiguiente, deben estar sujetos a ciertas obligaciones reforzadas que garanticen su uso legal, ético, robusto y seguro. Este listado también está tasado y está sujeto a revisión periódica en un futuro para adaptarlo a las nuevas tecnologías. Los sistemas comprendidos en esta categoría incluyen componentes de seguridad aplicables a sectores regulados o infraestructuras críticas tales como el transporte aéreo, vigilancia de vehículos a motor, transporte ferroviario, etc. También se incluirían sistemas de identificación y categorización biométrica, selección de personal, control de fronteras o sistemas dirigidos a verificar el cumplimiento de la ley o evaluación de la situación crediticia de las personas, entre otros.

3. Sistemas de IA de riesgo medio/bajo. Sistemas que no suponen un alto riesgo para los derechos y libertades. Incluyen determinadas tecnologías de menor sofisticación o capacidad de intrusión tales como asistentes virtuales como chatbots.

4. Resto de sistemas de IA. Estos últimos, en principio, no estarían sujetos a ninguna obligación en particular, pudiendo los agentes de la cadena elegir si desean adherirse a sistemas voluntarios de cumplimiento. Por consiguiente, estos sistemas quedarían, en principio, fuera del ámbito de aplicación del reglamento.

A continuación, hacemos un resumen de las principales obligaciones para cada una de las anteriores categorías de sistemas de IA:

Principales obligaciones:

1. Sistemas de IA prohibidos:

Estos sistemas implican de partida un riesgo inadmisible. No obstante, y en particular, los consistentes en sistemas de identificación biométrica en remoto y en tiempo real en espacios públicos, se permitirían excepcionalmente para el cumplimiento de la ley y, en este caso, bajo autorización judicial o administrativa. Dicha autorización podría ser solicitada con posterioridad a su implementación en casos de “extrema urgencia”, cuestión que ha suscitado un gran debate.

2. Sistemas de IA de alto riesgo:

Estos sistemas de IA podrían permitirse siempre y cuando sean sometidos a una evaluación de conformidad y gestión del riesgo que suponen durante toda su vida útil. Cada operador de la cadena de valor estaría sometido a una serie de obligaciones específicas. Por ejemplo, estas obligaciones comprenderían:

  • Gobernanza de datos: es decir, que los datos empleados revistan ciertos estándares de calidad, supervisión examinación de sesgos, etc.
  • Seguridad y supervisión humana: En última instancia siempre tendrá que haber una persona con capacidad de control para mitigar eventuales riesgos.
  • Deberes de transparencia: es decir, que se describan las características del funcionamiento del sistema y la identidad y datos del proveedor.
  • Inscripción en una base de datos a nivel europeo: La inscripción deberá llevarse a cabo con carácter previo a la puesta a disposición en el mercado.
  • Superación del test de conformidad y obtención de la certificación correspondiente: Serán aprobadas especificaciones técnicas con las que habrá que cumplir.

3. Sistemas de IA de riesgo medio/bajo:

Estos sistemas únicamente estarían sometidos a un conjunto de normas de transparencia dirigidas a garantizar que su funcionamiento y características son conocidos por los usuarios, así como las implicaciones inherentes al empleo de estos sistemas.

4. Resto de sistemas de IA:

De mantenerse la redacción propuesta, estos sistemas estarían sujetos a sistemas voluntarios de autorregulación, como la adhesión a códigos de conducta voluntarios. Esta propuesta de dejar abierta la regulación de los sistemas comprendidos en esta categoría está siendo objeto de discrepancia por parte de sectores que abogan por una mayor regulación, incluso en el caso de sistemas de menor sofisticación y que actualmente representan el gran bloque de sistemas existentes en el mercado.

Régimen sancionador:

De no cumplirse con las anteriores obligaciones, se prevén multas que oscilan entre los siguientes límites:

  • Incumplimiento relativo a prácticas prohibidas y las obligaciones de gobernanza de datos de los sistemas de IA de alto riesgo: hasta 30 millones de euros o el 6% del volumen de negocio anual total a escala mundial del ejercicio financiero anterior;
  • Incumplimiento de cualquier otro requisito u obligación: hasta 20 millones de euros o el 4% del volumen de negocio anual total a escala mundial del ejercicio financiero anterior;
  • Suministro de información incorrecta, incompleta o engañosa a los organismos y/o autoridades nacionales: hasta 10 millones de euros o el 2% del volumen de negocio anual total a escala mundial del ejercicio financiero anterior.

Esta propuesta de Reglamento será revisada y debatida por el Parlamento Europeo y el Consejo, que podrán sugerir enmiendas. Una vez aprobado, el Reglamento será de aplicación directa en todos los países de la UE, lo que debe permitir una aplicación homogénea.

Esta propuesta tiene en cuenta las recomendaciones del Parlamento Europeo del 20 de octubre de 2020, en lo que constituyo el primer paquete de un posible marco regulatorio sobre IA, consistente en tres resoluciones con recomendaciones a la Comisión Europea en los ámbitos de la ética, la PI y la responsabilidad civil, sobre el que os comentamos en esta otra entrada de blog.

Veremos cómo esta propuesta de reglamento se va desarrollando y los cambios que vaya sufriendo hasta su aprobación final. Sin duda, será uno de los temas más relevantes de este 2021 y al que continuaremos prestando especial atención.

Autores: Claudia Morgado y Adaya Esteban

3 de junio de 2021