El Diario Oficial de la Unión Europea (DOUE) ha publicado el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de Inteligencia Artificial). El reglamento no será aplicable con carácter general hasta el 2 de agosto de 2026, pero algunas previsiones del mismo son aplicables en plazos distintos.
La Inteligencia Artificial ha llegado para quedarse, y supuestamente para mejorar nuestra vida. Por ello, es obligatorio que la Unión Europea lo regule, debido a las implicaciones que puedan llegar a tener.
La normativa ha sido publicada como el Reglamento 2024/1689, por el que se establecen normas armonizadas en materia de inteligencia artificial. La normativa es extensa, y enfatiza en el control de obligaciones y en fomentar tecnologías sostenibles.
Entrada en vigor
Es cierto que la normativa no se aplicará hasta el 2 de agosto de 2026, pero determinadas prácticas de la IA estarán ya prohibidas desde febrero de 2025, además de que habrá sistema de gobernanza de la IA en Europa, arsenal sancionador por incumplimiento, y organismos reguladores de la IA.
- Las prohibiciones de determinadas prácticas relacionadas con la IA serán ya aplicables a partir del 2 de febrero de 2025.
- Las previsiones relativas a los organismos notificados, a los sistemas de IA generales pero que implican riesgos sistémicos, al sistema de gobernanza de la IA en Europa y buena parte del arsenal sancionador serán aplicables a partir del 2 de agosto de 2025 (con lo que la base organizativa estará ya lista para cuando sea exigible el conjunto más sustancial de obligaciones).
- Será aplicable a partir del 2 de agosto de 2027 la regulación de ciertos sistemas de IA de alto riesgo (los que sean componentes de seguridad de ciertos productos o constituyan en sí mismos dichos productos caracterizados por requerirse una evaluación de seguridad para su comercialización o puesta en servicio -por ejemplo, máquinas, juguetes, ascensores o productos sanitarios-).
Protección de datos
No debemos olvidar que la IA es un riesgo brutal a nivel de protección de datos. Al fin y al cabo, las IA «aprenden», pero la gran pregunta es si aprenden respetando protección de datos o no. No es lo mismo que una IA utilice los datos de todos los usuarios para «saber cosas», que no los utilice.
Si no los utiliza, la IA será menos efectiva, pero será más respetuosa con la normativa europea. Su aplicación objetiva es la definición de lo que debemos entender como inteligencia artificial, y deja fuera pocas cosas.
Ámbito de aplicación objetivo
En cuanto al ámbito de aplicación objetivo, el Reglamento parte de una amplia definición de lo que se ha de entender por IA y deja fuera de su ámbito de aplicación sólo algunas manifestaciones concretas de estos sistemas
Queda fuera la aplicación de la IA para fines militares, también los sistemas que vaya a tener como finalidad desarrollo científico. Por consiguiente, se trata de regular los sistemas de IA, para fines comerciales y de servicios, pero queda fuera la investigación científica, militar, seguridad nacional, etc.
Mecanismos de control
Como mecanismos de control, hay tres niveles de riesgo definidos por el Reglamento. Tenemos el Riesgo inadmisible, que es lo que quedará prohibido y que va contra la UE y su normativa. Por ejemplo, sería la puntuación social, las técnicas subliminales, el aprovechar la vulnerabilidad de las personas, categorizarlas biométricamente o reconocer emociones, sobre todo si no es en ámbito privado.
Luego tenemos el alto riesgo, que incluiría todos los sistemas con IA que implican juguetes, ascensores, vehículos de motor, etc. y también los sistemas de seguros de vida y salud, clasificación crediticia de las personas, promoción, despido de personal, etc.
En cuanto al alto riesgo hay mucha clasificación y es muy extenso, debido a la materia que es muy abstracta. Por último, tenemos el riesgo bajo, que son los límites donde la IA puede desarrollarse tranquilamente, pero por supuesto con arreglo a la normativa vigente, y sometido a régimen de obligaciones de información. Podrán adherirse a códigos de conducta de la UE.
Conviene tener en cuenta que los sistemas generales de IA, como CHAT GPT o GEMINI, entrañan riesgos sistémicos, pueden causar accidentes graves, ser utilizados indebidamente, ser utilizados para ciberataques, etc.
Estructura administrativa de control y régimen sancionador
Se diseña una estructura administrativa de control y régimen sancionador, de hecho, en España ya tenemos la AGENCIA ESPAÑOLA DE SUPERVISIÓN DE INTELIGENCIA ARTFICIAL (Real Decreto 729/2023, de 22 de agosto), que debe inspeccionar, comprobar y sancionar en caso de mal uso.
A nivel europeo, la OFICINA EUROPEA DE INTELIGENCIA ARTIFICIAL será el organismo de control al que corresponden importantes funciones.
Atención. Las multas por infracciones del Reglamento de Inteligencia Artificial se han fijado como un porcentaje del volumen de negocios anual global de la empresa infractora en el ejercicio financiero anterior o un importe predeterminado, si este fuera superior, y pueden llegar hasta los 35 millones de euros o el 7 % del volumen de negocios anual total a escala mundial del infractor durante el ejercicio financiero anterior, si este importe fuera superior.
Pueden ponerse en contacto con este despacho profesional para cualquier duda o aclaración que puedan tener al respecto.
Un cordial saludo,
José María Quintanar Isasi