Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Reglamento de Inteligencia Artificial

El 21 de abril de 2021 la Comisión Europea publicó su Propuesta de Reglamento para el desarrollo, la comercialización y la utilización de la inteligencia artificial (IA) de acuerdo con los valores de la Unión Europea, que es el germen de la futura Ley de Inteligencia Artificial. Dejo enlazada aquí la propuesta.

Obviamente es una propuesta, y como tal está sujeta a enmiendas, de forma que realizar un análisis al detalle carece de sentido, pero veo interesante leer la propuesta para advertir las líneas generales que las autoridades comunitarias proponen para la IA.

La propuesta plantea un ámbito de aplicación subjetivo amplio que comprendería a todos los actores de la cadena de valor de la IA y que alcanzaría tanto aquellos sistemas ubicados en la Unión como en un tercer país, siempre que desplieguen sus efectos en la Unión.

Objetivos de la futura Ley de Inteligencia Artificial

La Comisión Europea plantea crear un marco reglamentario sobre la IA con los siguientes objetivos:

  • Convertir a la Unión Europea en un líder mundial en el desarrollo de una IA segura, digna de confianza y ética.
  • Garantizar que los sistemas de IA empleados en la Unión Europea respeten la legislación vigente en materia de derechos fundamentales y valores de la Unión.
  • Mejorar la gobernanza y la aplicación efectiva de dicha legislación. 
  • Garantizar la seguridad jurídica para facilitar la inversión e innovación en IA.
  • Facilitar el desarrollo de un mercado único.
  • Garantizar la libre circulación transfronteriza de bienes y servicios basados en la IA.

La Comisión Europea examinó diversas opciones para alcanzar los objetivos de la propuesta, así, se evaluaron cuatro opciones con distintos grados de intervención reguladora:

  • Opción 1: Un instrumento legislativo de la Unión Europea que establezca un régimen voluntario de etiquetado.
  • Opción 2: Una estrategia sectorial «ad hoc».
  • Opción 3: Un instrumento legislativo horizontal de la Unión Europea basado en los riesgos.
  • Opción 3+: Un instrumento legislativo horizontal de la Unión Europea basado en los riesgos + códigos de conducta para los sistemas de IA que no sean de alto riesgo.
  • Opción 4: Un instrumento legislativo horizontal de la Unión Europea que establezca requisitos obligatorios para todos los sistemas de IA, con independencia del riesgo que conlleven.

La opción preferida es la opción 3+, es decir, un marco regulatorio que únicamente se aplique a los sistemas de IA de riesgo elevado con la posibilidad de que todos los proveedores de sistemas de IA que no sean de «alto riesgo» sigan un código de conducta.

El objetivo y la prioridad es lograr sistemas de IA seguros, transparentes, trazables, no discriminatorios y respetuosos con el medio ambiente, bajo la supervisión de personas, para evitar resultados perjudiciales.

Niveles de riesgo

Se proponen tres niveles de riesgo:

  • Riesgo Inaceptable: Se plantea la prohibición de aquellos sistemas de IA capaces de manipular el comportamiento humano, predecir información respecto a colectivos o grupos para identificar sus vulnerabilidades, los sistemas de identificación biométrica remota en espacios de acceso público y la videovigilancia masiva por las autoridades en dichos espacios, aunque caben excepciones en base al cumplimiento de la ley, autorización judicial o administrativa.
  • Riesgo Alto: Se incluyen componentes de seguridad aplicables a sectores regulados como el suministro de agua, electricidad, gas y calefacción e infraestructuras críticas como el tráfico rodado, pues un fallo puede poner en peligro la vida y la salud de las personas a gran escala y alterar de manera apreciable el desarrollo habitual de las actividades sociales y económicas. Los sistemas de IA pertenecientes a los siguientes ámbitos específicos deberán registrarse en una base de datos para ser evaluados antes de su comercialización y a lo largo de su ciclo de vida:
    1. Identificación biométrica y categorización de personas físicas.
    2. Gestión y explotación de infraestructuras críticas.
    3. Educación y formación profesional.
    4. Empleo, gestión de trabajadores y acceso al autoempleo.
    5. Acceso y disfrute de servicios privados esenciales y servicios y prestaciones públicas.
    6. Aplicación de la ley de gestión de la migración, el asilo y el control de fronteras.
    7. Asistencia en la interpretación jurídica y aplicación de la ley.
  • Riesgo limitado: No suponen un alto riesgo para los derechos y las libertades de las personas, por su menor sofisticación o capacidad de intrusión, como los asistentes virtuales o chatbot. Deben cumplir unos requisitos mínimos de transparencia que permitan a los usuarios tomar decisiones con conocimiento de causa. Tras interactuar con las aplicaciones, el usuario puede decidir si desea seguir utilizándolas o no. Los usuarios deben ser conscientes de cuándo están interactuando con una IA. Esto incluye los sistemas que generan o manipulan contenidos de imagen, audio o vídeo (deepfakes).

Los proveedores de sistemas de IA con funciones como reconocimiento de imágenes y voz, generación de audio y vídeo, detección de patrones y respuestas a preguntas, como ChatGPT, habrán de sujetarse al procedimiento de verificación previsto para las actividades de alto riesgo, garantizando que sus usuarios estén informados de que interactúan con un sistema de IA, deberán revelar que el contenido ha sido generado por IA, debiendo publicar resúmenes de los datos protegidos por derechos de autor utilizados para el entrenamiento, evitando que generen contenidos ilegales. 

Las empresas y las autoridades públicas que desarrollen o utilicen aplicaciones de IA que entrañen un riesgo alto tienen que garantizar los derechos fundamentales de las personas, tales como el derecho a la dignidad humana, el respeto de la vida privada y familiar y a la protección de datos personales, a la no discriminación y la igualdad entre hombres y mujeres, a la libertad de expresión y de reunión, a la tutela judicial efectiva y a un juez imparcial, a la presunción de inocencia y los derechos de la defensa y el principio general de buena administración.

A los anteriores derechos fundamentales, se unen otros que afectan a colectivos que merecen una especial protección como son menores, discapacitados, consumidores y trabajadores. El derecho a un nivel elevado de protección del medio ambiente y la mejora de su calidad también es pertinente, en particular en lo que respecta a la salud y la seguridad de las personas. 

Cuando el desarrollo y el uso de tecnología de IA implique un riesgo alto para las derechos y libertades de las personas, se imponen una serie de restricciones a la libertad de empresa y a la libertad de las artes y de las ciencias, con vistas a garantizar que se respeten los derechos fundamentales y los fines de interés general. Por tanto, las empresas y autoridades públicas deberán implantar, documentar y mantener un sistema de gestión de riesgos asociado a los sistemas de IA de alto riesgo. Además, dichos sistemas serán sometidos a pruebas destinadas a determinar cuáles son las medidas de gestión de riesgos más adecuadas. No obstante, cabe la posibilidad de esquivar esa catalogación de riesgo cuando los sistemas de IA estén supervisados por un ser humano.

Cuando el nivel sea de riesgo bajo, las empresas y autoridades públicas tendrán que cumplir unas obligaciones mínimas de información, si bien podrán adoptar un código de conducta para garantizar la fiabilidad de sus sistemas de IA. En todo caso, habrá actividades que estarán expresamente prohibidas (artículo 5 de la propuesta).

Conclusión

El Reglamento de Inteligencia Artificial viene a completar el marco que se inició con el Reglamento General de Protección de Datos, y que ha continuado, entre otros, con el Reglamento de Servicios Digitales, el Reglamento de Mercados Digitales, el Reglamento de Gobernanza de Datos y el próximo Reglamento de Datos de Salud, actualmente en tramitación. 

A falta de otros referentes en el mundo, dicha norma podría convertirse en un estándar global como lo es el Reglamento General de Protección de Datos. 

Actualización (06.12.2022)

Posición común del Consejo sobre el Reglamento de Inteligencia Artificial

Actualización (14.06.2023)

El Parlamento Europeo ha aprobado por mayoría absoluta (499 votos a favor, 28 en contra y 93 abstenciones) su posición sobre la Propuesta inicial de Reglamento de Inteligencia Artificial. Haciendo clic aquí pueden consultar el «briefing» elaborada por el grupo de expertos del Parlamento Europeo.

Actualización (08.12.2023)

Los eurodiputados llegan a un acuerdo provisional con el Consejo sobre la Propuesta de Ley de Inteligencia Artificial.

Los colegisladores acordaron prohibir:

  • Los sistemas de categorización biométrica cuando empleen características sensibles, como creencias políticas, religiosas, filosóficas, orientación sexual, raza.
  • La extracción no dirigida de imágenes faciales de Internet o imágenes de CCTV para crear bases de datos de reconocimiento facial.
  • El reconocimiento de emociones en el lugar de trabajo y en instituciones educativas.
  • La puntuación social basada en comportamiento social o características personales.
  • Los sistemas de IA que manipulan el comportamiento humano para eludir su libre albedrío.
  • Los sistemas de IA que exploten las vulnerabilidades de las personas (por su edad, discapacidad, situación social o económica).

Los negociadores acordaron una serie de salvaguardias y excepciones para el uso de sistemas de identificación biométrica (RBI) en espacios públicos con fines policiales, sujetos a autorización judicial previa y para listas de delitos estrictamente definidas. 

Los RBI en tiempo real cumplirían con condiciones estrictas y su uso estaría limitado, en tiempo y ubicación, para los fines de:

  • Búsquedas selectivas de víctimas (secuestro, trata, explotación sexual).
  • Prevención de una amenaza terrorista específica y presente, o
  • Localización o identificación de una persona sospechosa de haber cometido uno de los delitos específicos mencionados en el reglamento (por ejemplo, terrorismo, trata, explotación sexual, asesinato, secuestro, violación, robo a mano armada, participación en una organización criminal, delitos medioambientales).

Para los sistemas de IA clasificados como de alto riesgo se incluye una evaluación obligatoria del impacto sobre los derechos fundamentales, entre otros requisitos, aplicable también a los sectores bancario y de seguros. Los sistemas de inteligencia artificial utilizados para influir en el resultado de las elecciones y el comportamiento de los votantes también se clasifican como de alto riesgo. Los ciudadanos tendrán derecho a presentar quejas sobre los sistemas de IA y recibir explicaciones sobre las decisiones basadas en sistemas de IA de alto riesgo que afecten a sus derechos.

Los sistemas de IA de propósito general (GPAI) y los modelos GPAI en los que se basan tendrán que cumplir una serie de requisitos de transparencia. Éstos incluyen la elaboración de documentación técnica, el cumplimiento de la ley de derechos de autor de la UE y la difusión de resúmenes detallados sobre el contenido utilizado para la formación.

Para los modelos GPAI de alto impacto con riesgo sistémico, los negociadores del Parlamento lograron asegurar obligaciones más estrictas. Si estos modelos cumplen ciertos criterios, tendrán que realizar evaluaciones de modelos, evaluar y mitigar riesgos sistémicos, realizar pruebas contradictorias, informar a la Comisión sobre incidentes graves, garantizar la ciberseguridad e informar sobre su eficiencia energética. Los eurodiputados también insistieron en que, hasta que se publiquen normas armonizadas de la UE, las GPAI con riesgo sistémico pueden depender de códigos de práctica para cumplir con la regulación.

El incumplimiento de las normas podrá dar lugar a multas que van desde 35 millones de euros o el 7 % del volumen de negocios global hasta 7,5 millones o el 1,5 % del volumen de negocios, dependiendo de la infracción y el tamaño de la empresa.

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).