Avance histórico hacia el Reglamento de IA: se alcanza un acuerdo provisional

2023-12-27T11:34:00
Unión Europea
Acuerdo político entre el Parlamento Europeo y el Consejo para avanzar hacia la aprobación del texto definitivo del Reglamento de IA.
Avance histórico hacia el Reglamento de IA: se alcanza un acuerdo provisional
27 de diciembre de 2023

La noche del pasado 8 de diciembre, tras 36 horas de muy intensas negociaciones, se logró alcanzar un acuerdo provisional entre el Parlamento Europeo y el Consejo sobre el Reglamento de Inteligencia Artificial (en adelante, el “Acuerdo Provisional”).

Si bien todavía no disponemos del texto definitivo acordado –que debería estar disponible a lo largo de las próximas semanas–, se trata de un enorme avance en las negociaciones que pretenden convertir a la Unión Europea en pionera en el establecimiento de un marco normativo relativo al desarrollo, la comercialización y el uso de sistemas de Inteligencia Artificial (IA).

Desde la primera versión de la propuesta de Reglamento de IA, como hemos venido informando en este Blog desde 2021, han sido varios los aspectos controvertidos que han supuesto dificultades a la hora de lograr el esperado consenso. Los incesantes debates y las negociaciones de los aspectos más polémicos, así como los avances en los sistemas de IA que han ido teniendo lugar desde 2021, han derivado en la publicación de varias versiones del texto, todas ellas encaminadas a intentar lograr un texto definitivo aceptable por todas las partes implicadas.

El objetivo del presente artículo es resumir los principales hitos del Acuerdo Provisional, a la espera del texto definitivo del Reglamento de IA, y con base en la información oficial disponible a día de hoy –esto es, principalmente, las notas de prensa del Parlamento Europeo y del Consejo, y el Q&A publicado por la Comisión Europea.

1.          Definición de “sistema de IA”

Con el propósito de crear una definición de “sistema de IA” que permita distinguir estos sistemas de un software tradicional más simple, en el Acuerdo Provisional se ha acordado alinear la definición de “sistema de IA” con la definición de estos sistemas de la OCDE, en su versión actualizada el pasado mes de noviembre, que es la siguiente (traducción propia): «Un sistema de IA es un sistema basado en una máquina que, con finalidades explícitas o implícitas, infiere, a partir del input que recibe, cómo generar outputs como predicciones, contenido, recomendaciones o decisiones, que pueden influenciar entornos físicos o virtuales. Los distintos sistemas de IA varían en sus niveles de autonomía y adaptabilidad tras su utilización».

Sin perjuicio de lo anterior, hasta que no se salga a la luz el nuevo texto en el que se refleje el Acuerdo Provisional, no podemos asegurar que esta definición vaya a plasmarse de forma idéntica en el Reglamento de IA.

2.          Exclusiones del ámbito de aplicación

Conforme al Acuerdo Provisional, el Reglamento de IA:

  • no se aplicará en áreas que se encuentren fuera del alcance del derecho de la Unión Europea;
  • no se aplicará sobre sistemas que estén diseñados exclusivamente con propósitos militares, de defensa, utilizados para el mero propósito de investigar e innovar o para uso no profesional, y
  • no afectará a las competencias de los Estados miembros en materia de seguridad nacional.

3.          Sistemas de IA prohibidos

El enfoque basado en el riesgo de la Propuesta de Reglamento de IA se ha concretado en el establecimiento de un listado de sistemas y usos de la IA que se consideran inaceptables y, en consecuencia, prohibidos en la UE. Entre estos sistemas prohibidos se incluyen los siguientes:

  • sistemas de categorización biométrica que utilizan características sensibles de las personas (por ejemplo, creencias políticas, religiosas, filosóficas, orientación sexual, raza);
  • sistemas de vigilancia predictiva;
  • sistemas de extracción no dirigida de imágenes faciales de Internet o imágenes de CCTV para crear bases de datos de reconocimiento facial;
  • sistemas de reconocimiento de emociones en el lugar de trabajo y en instituciones educativas;
  • sistemas de puntuación social basada en el comportamiento social o en características personales;
  • sistemas de IA que manipulan el comportamiento humano para eludir su libre albedrío, y
  • sistemas de IA dedicados a explotar las vulnerabilidades de las personas (por su edad, discapacidad, situación social o económica).

4.          Excepciones para asegurar el cumplimiento de la ley

Ya en la propuesta inicial de Reglamento de IA se estableció como práctica prohibida el uso de sistemas de IA de identificación biométrica remota en tiempo real en espacios de acceso público. Finalmente, el Acuerdo Provisional ha incluido importantes excepciones a esta prohibición, en aras de asegurar el cumplimiento de la ley, con sujeción a la obtención de una autorización judicial previa (o, en ciertos casos de urgencia, en las 24 horas siguientes), además de otras cautelas, y en relación con una lista de delitos tasados.

En este sentido, sí se permiten los sistemas de IA de identificación biométrica remota en tiempo real en espacios públicos si nos encontramos ante uno de los supuestos siguientes:

  • uso para fines de aplicación de la ley en relación con 16 delitos concretos (entre los que se encuentran, por ejemplo, el terrorismo, la explotación sexual de menores, el asesinato, el tráfico de drogas, etc.);
  • búsqueda específica de víctimas, secuestros, tráfico y explotación sexual y personas desaparecidas, y/o
  • la prevención del riesgo para la vida o la salud física de las personas o la respuesta a una amenaza presente o prevista de ataque terrorista.

Asimismo, solamente se permiten los sistemas de IA de identificación biométrica a posteriori (no en tiempo real) para utilizarse en la búsqueda específica de una persona condenada o sospechosa de haber cometido un crimen grave, y con autorización judicial o administrativa, y notificación a las autoridades de protección de datos y de vigilancia del mercado.

5.          Obligaciones para los sistemas de alto riesgo

En relación con los sistemas de IA clasificados como de alto riesgo, como consecuencia del potencial daño que pueden ocasionar a la salud, la seguridad, los derechos fundamentales, el medioambiente, la democracia y al estado de derecho, el Acuerdo Provisional ha precisado y clarificado las obligaciones.

En este sentido, los Eurodiputados han conseguido incluir finalmente una evaluación de impacto en los derechos fundamentales, entre otros requisitos, aplicable también a los sectores de banca y seguros. Los sistemas utilizados para influenciar los resultados electorales y el comportamiento de los votantes, también se han clasificado como sistemas de alto riesgo. Asimismo, los ciudadanos tendrán el derecho a presentar quejas sobre los sistemas de IA y a recibir explicaciones sobre decisiones basadas en sistemas de alto riesgo que impacten en sus derechos.

6.          Sistemas de IA de propósito general y modelos fundacionales

En el Acuerdo Provisional, se ha abordado la regulación específica de sistemas de IA de propósito general y de los modelos fundacionales, que finalmente deberán adherirse a las obligaciones de transparencia que inicialmente se propusieron por el Parlamento Europeo.

Concretamente, por lo que refiere a los modelos fundacionales (esto es, sistemas capaces de llevar a cabo de forma competente un gran rango de tareas distintas como, por ejemplo, generar videos, imágenes, conversar en lenguaje lateral, o programar código), el Acuerdo Provisional ha establecido que:

  • deberán cumplir con obligaciones de transparencia específicas, con anterioridad a su comercialización, y que
  • los modelos fundacionales de alto impacto (entendidos como aquellos que han sido entrenados con ingentes cantidades de datos, de complejidad avanzada, capacidades y rendimiento superior a la media, que pueden ocasionar riesgos sistémicos en la cadena de valor) deberán someterse a un régimen de obligaciones más estricto.

7.          Órganos de gobierno

  • Los Estados miembros tendrán un papel clave para asegurar el cumplimiento de las disposiciones del Reglamento de IA a través de sus autoridades nacionales competentes en la supervisión de la aplicación e implementación, así como de la supervisión del mercado (en España, la futura Agencia Española de Supervisión de la Inteligencia Artificial).
  • Asimismo, los Estados miembros también deberán designar a una autoridad nacional competente para que represente a su país en el llamado “European Artificial Intelligence Board” (en adelante, “AI Board”).
  • La Comisión Europea creará una Oficina de la Inteligencia Artificial (“AI Office”).
  • Adicionalmente, se crearán: (i) un consejo asesor, compuesto por una selección equilibrada de interesados, incluyendo a la industria, start-ups, PYMES, sociedad civil y académicos, con la función de asesorar y aportar conocimientos técnicos al AI Board y a la Comisión Europea, y (ii) un panel científico de expertos independientes, que dará apoyo a la implementación y aplicación del Reglamento de IA en relación con los modelos y sistemas de propósito general, y al que los Estados miembros tendrán acceso.

8.          Medidas de soporte a la innovación: entornos controlados

Con la intención de crear un ecosistema que sea más favorable a la innovación, especialmente para las PYMES –quienes pueden verse amenazadas por cantidad de obligaciones que impone el Reglamento de IA y por la fuerza de los grandes gigantes tecnológicos–, se ha se ha establecido que las autoridades nacionales deberán promover la creación de entornos controlados regulatorios y de pruebas (conocidos como “Sandboxes”), en los que se podrán desarrollar y entrenar los nuevos sistemas de IA, antes de su comercialización en el mercado.

9.          Régimen de sanciones

Las sanciones por incumplimiento del Reglamento de IA se han revisado y fijado de la forma siguiente tras el Acuerdo Provisional:

  • Entre 35 millones de euros o el 7% del volumen de facturación anual mundial de la compañía en el ejercicio financiero anterior por incumplimientos relacionados con prácticas prohibidas o incumplimientos relacionados con requisitos relativos a los datos.
  • Entre 15 millones de euros o el 3% del volumen de facturación anual mundial de la compañía en el ejercicio financiero anterior por incumplimientos de otros requisitos u obligaciones del Reglamento de IA, incluyendo la infracción de las normas relativas a los modelos de IA de propósito general.
  • Entre 7,5 millones de euros o el 1,5% del volumen de facturación anual mundial de la compañía en el ejercicio financiero anterior por el suministro de información incorrecta, incompleta o engañosa a cuerpos y autoridades competentes nacionales en respuesta a una solicitud.

Como criterio de modulación de las sanciones, se prevé que, en el caso de las PYMES, las autoridades deberán tener en cuenta la cuantía menor de los dos importes indicados en cada uno de los puntos anteriores, mientas que para otro tipo de compañías se tendrá en cuenta la cantidad más elevada de las dos.

Asimismo, con el fin de disponer de unos criterios uniformes en todos los Estados miembros a la hora de imponer sanciones, la Comisión Europea, junto con el AI Board, emitirá unas guías para ello.

Como puede observarse, este sistema sancionador replica –aunque con cuantías distintas– el régimen establecido en el Reglamento Europeo de Protección de datos (Reglamento (UE) 2016/679 del parlamento Europeo y del Consejo de 27 de abril de 2016). No obstante, en este caso parece que se desean establecer criterios más uniformes y pautas a nivel europeo que orienten a las autoridades nacionales a la hora de determinar la multa correspondiente a cada tipo de incumplimiento.

10.       Próximos pasos:

a)   Revisión técnica, votaciones parlamentarias y aprobación del texto final del Reglamento de IA

El texto acordado en el Acuerdo Provisional está siendo objeto de revisión por parte de juristas y lingüistas y deberá publicarse en las próximas semanas. Conforme a lo establecido en el artículo 74.4 del Reglamento interno del Parlamento Europeo, deberá publicarse antes de las reuniones de las comisiones parlamentarias de Libertades Civiles, Justicia y Asuntos Internos (“LIBE”) y de Mercado Interno y Protección de Consumidores (“IMCO”), que lo someterán a votación en sesiones agendadas para los próximos 22 de enero y 24 de enero, respectivamente.

b)  Adopción formal, entrada en vigor y momento de aplicación

Tras la votación favorable en las comisiones parlamentarias LIBE e IMCO, el texto será adoptado por el Parlamento Europeo y el Consejo de la Unión Europea y entrará en vigor tras 20 días de su publicación en el Diario Oficial de la Unión Europea.

A pesar de lo anterior, el Reglamento de IA no será de aplicación directa e inmediata en el momento en que entre en vigor, sino que, como es habitual en otros reglamentos, existirá un período transitorio de 2 años desde su entrada en vigor hasta el inicio de su aplicación directa. Lo anterior nos sitúa en una previsible aplicación directa del Reglamento en 2026.

Sin perjuicio de lo anterior, el Acuerdo Provisional sobre el Reglamento de IA ha previsto que ciertas disposiciones tengan aplicación directa en un plazo más breve, que son: (i) las relativas a los sistemas de IA prohibidos, con un plazo de 6 meses, y (ii) las relativas a los sistemas de IA de propósito general, con un plazo de 12 meses desde la entrada en vigor. Asimismo, se ha fijado un plazo más amplio de 36 meses tras la entrada en vigor, en relación con las obligaciones aplicables a determinados sistemas de IA de alto riesgo.

27 de diciembre de 2023