EscucharCon el auge del desarrollo, uso y aplicación de la Inteligencia Artificial (IA) y sus repercusiones en prácticamente todas las esferas de la sociedad moderna, independientemente del grado de desarrollo de un país o región, surgen la necesidad de crear un marco normativo que resguarde derechos y obligaciones de los involucrados.
Aunque la Organización para la Cooperación y Desarrollo Económicos (OCDE) ya había lanzado en 2019 un conjunto de directrices y políticas intergubernamentales sobre IA, es el Consejo de Europa el que toma una acción más concreta de regulación y en marzo de 2024 aprobó el Reglamento de Inteligencia Artificial, fundamentado en principios de fiabilidad, transparencia y ética.
El indicado reglamento consta de 12 títulos y 85 artículos. La mayor parte de lo dispuesto por el mismo aplicará 24 meses después de su entrada en vigor, y se espera que su proceso de aprobación (que incluye consultas a nivel nacional dirigidas hacia los países miembros) tome entre 6 y 24 meses. No obstante, ciertas disposiciones específicas contarán con un plazo reducido para entrar en vigor, incluyendo las relacionadas con sistemas catalogados como “prohibidos”.
Dicho reglamento define un sistema de inteligencia artificial como “aquel que opera con elementos de autonomía y que, basándose en datos y entradas obtenidos de humanos o máquinas, infiere como alcanzar unos objetivos propuestos, usando para ello técnicas basadas en el aprendizaje-máquina o en lógica y conocimiento, y genera como salida contenidos, predicciones, recomendaciones o decisiones que influyen en el entorno con el que el sistema interactúa”.
Asimismo, se define al proveedor como “la persona física o jurídica o entidad pública que desarrolla o para quien se desarrolla un sistema de IA y lo pone en servicio o lo comercializa bajo su nombre o marca, mediando un pago o no”.
El alcance de esta normativa abarca a proveedores de sistemas de IA que se pongan en servicio o comercialicen dentro de la UE, o cuya salida se utilice en la UE independientemente del origen; y a usuarios, definidos como “la persona física o jurídica, pública o privada, bajo cuya autoridad se utilice el sistema”.
Resulta interesante que el mismo reglamento establece excepciones a su ámbito de aplicación, tratándose de autoridades de terceros países o de organizaciones internacionales cuando utilicen sistemas IA, en el ámbito de la cooperación policial o judicial con la UE o sus estados miembros. Tampoco se aplica a los sistemas de uso militar o utilizados en el contexto de la seguridad nacional.
Clasificación
El objetivo principal de dicha ley es garantizar un entorno seguro y ético para el desarrollo y despliegue de la IA en la UE. Es menester destacar el énfasis que hace el reglamento con un enfoque de clasificación de los sistemas sobre la base de potencial de riesgo, en cuatro grupos:
- Sistemas de riesgo inaceptable
- Sistemas de alto riesgo
- Sistemas de riesgo limitado
- Sistemas de riesgo mínimo
Los sistemas de IA considerados de riesgo inaceptable son aquellos que podrían causar un daño significativo o infringir derechos fundamentales, como aquellos que manipulen el comportamiento humano, sistemas de vigilancia masiva y sistemas que permiten realizar una eventual discriminación social. Estos sistemas son totalmente prohibidos por la ley.
Los sistemas considerados como de riesgo alto son aquellos que pueden impactar significativamente los derechos y seguridad de los ciudadanos, tales como sistemas de transporte y energía, herramientas de reclutamiento y evaluación de desempeño, reconocimiento facial, dispositivos médicos o sistemas para la educación. Este tipo de sistemas de riesgo alto están sujetos a estrictos requisitos de transparencia, supervisión y seguridad, y para esa supervisión y monitoreo se han creado organismos encargados de esas tareas como veremos adelante.
Los sistemas cuyos riesgos son considerados como de un nivel limitado, serán aquellos que interactúan directamente con humanos, tales como asistentes virtuales o plataformas con sistemas de IA que proporcionen información y recomendaciones. Este tipo de sistemas, deben de operarse en cumplimiento de ciertas obligaciones de transparencia para garantizar que los usuarios estén informados sobre su uso.
Los riesgos más leves serán los que presenten un riesgo casi nulo para propiciar una violación de los derechos fundamentales del ser humano, tales como filtros de spam, sistemas utilizados en videojuegos y automatizaciones básicas.
El reglamento también establece un marco de gobernanza para la supervisión de los sistemas de IA en la UE. Esto incluye la creación de un Comité Europeo de Inteligencia Artificial, que supervisará la implementación de la legislación y proporcionará orientación sobre cuestiones relacionadas con la IA.
Existirán al menos una autoridad nacional notificante y al menos una autoridad de supervisión de mercado como autoridades nacionales competentes para los propósitos del reglamento. Las autoridades de supervisión de mercado están encargadas de monitorear y vigilar el correcto funcionamiento, ya en mercado, de sistemas de IA de alto riesgo, identificando amenazas sobrevenidas, incidentes u otras situaciones que exijan tomar medidas sobre los sistemas de IA de alto riesgo.
Régimen sancionatorio
Para asegurar el cumplimiento de la legislación, este reglamento establece sanciones severas ante la violación de su articulado. Las multas pueden alcanzar hasta los 35 millones de euros, o bien 7 % de facturación global anual de la empresa que sea infractora, el elemento que sea mayor será el aplicable. Estas sanciones marcan la pauta y sirven de punta de lanza para enviar un mensaje directo respecto a la seriedad e importancia que le está dando la UE a la regulación de la IA.
Sandboxes
Un aspecto interesante que contiene el reglamento es la posibilidad de adoptar medidas de apoyo e innovación a través de sandboxes. Es decir, las autoridades nacionales pueden crear sandboxes regulatorios para desarrollar, entrenar, probar y validar sistemas IA bajo su guía, supervisión y soporte.
Se basará en un plan específico en el cual, los participantes que lo respetan y se sujetan a la guía de las autoridades, estarán exentos de sanciones administrativas por infracciones legales relativas al sistema supervisado en el sandbox.
Dentro del sandbox, y cumpliendo las condiciones que se establecen, se podrán tratar datos personales obtenidos para otros propósitos si son imprescindibles para el desarrollo de sistemas de interés público sustancial, por ejemplo, en salud, medio ambiente, sostenibilidad energética, movilidad, calidad del servicio público y seguridad de infraestructuras críticas.
Si bien la aplicación de esta ley es en el contexto europeo, es previsible que su impacto se extienda más allá de sus fronteras, ya que estamos ante la primera regularización normativa que permite proteger los derechos fundamentales y la seguridad de los ciudadanos ante el uso de sistemas de inteligencia artificial, pero también sienta un precedente mundial respecto a la implementación de esta normativa, que servirá para marcar la pauta de áreas de mejora para otras leyes que sin duda se promoverán a nivel global.
Hernán Pacheco, socio director de EY Law para Centroamérica, Panamá y República Dominicana.
