Uno no debería empezar la casa por el tejado, pero déjenme que les adelante, que el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de Inteligencia Artificial) no me convence. Dejo enlazado aquí el texto que contó con un amplio respaldo entre los eurodiputados (523 votos a favor, 46 en contra y 49 abstenciones).
El Reglamento de Inteligencia Artificial establece un marco jurídico uniforme en la Unión Europea para el desarrollo, la comercialización y la utilización de la inteligencia artificial a través de un enfoque basado en el riesgo para los derechos fundamentales de los interesados.
Su objetivo es mejorar el funcionamiento del mercado interior, así como apoyar la innovación, promoviendo la adopción de sistemas de IA confiables, seguros, transparentes, trazables y no discriminatorios, asegurando un nivel elevado de protección de la salud, la seguridad y los derechos humanos, así como la libre circulación transfronteriza de bienes y servicios basados en la IA. Para lograr dicho objetivo, el Reglamento establece normas armonizadas para la introducción en el mercado, la puesta en servicio y la utilización de sistemas de IA en la Unión.
El Reglamento entró en vigor el 1 de agosto de 2024, esto es, 20 días después de su publicación en el Diario Oficial de la Unión Europea el 12 de julio de 2024, aunque su aplicación será escalonada, así, la mayoría de sus preceptos no serán aplicables hasta el 2 de agosto de 2026, aunque algunas secciones comenzarán a aplicarse antes, como los Capítulos I y II, que serán efectivos desde el 2 de febrero de 2025; el Capítulo III, Sección 4, el Capítulo V, el Capítulo VII y el Capítulo XII y el artículo 78, que serán aplicables a partir del 2 de agosto de 2025, con la excepción del artículo 101; y el artículo 6, apartado 1, y las obligaciones correspondientes, que serán aplicables a partir del 2 de agosto de 2027.
Resumir en un artículo una norma tan compleja y detallada como es el Reglamento de Inteligencia Artificial es imposible. De modo que, intentaré trazar las líneas generales para facilitarles la lectura de la norma, destacando aquellos aspectos que resultan más relevantes.
El Reglamento plantea en el Capítulo I un ámbito de aplicación subjetivo amplio, que comprende a todos los actores de la cadena de valor de la inteligencia artificial (IA):
- Los proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA o que introduzcan en el mercado modelos de IA de uso general en la Unión, con independencia de si dichos proveedores están establecidos o ubicados en la Unión o en un tercer país.
- Los responsables del despliegue de sistemas de IA que estén establecidos o ubicados en la Unión.
- Los proveedores y responsables del despliegue de sistemas de IA que estén establecidos o ubicados en un tercer país, cuando los resultados de salida generados por el sistema de IA se utilicen en la Unión.
- Los importadores y distribuidores de sistemas de IA.
- Los fabricantes de productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con su propio nombre o marca.
- Los representantes autorizados de los proveedores que no estén establecidos en la Unión.
- Las personas afectadas que estén ubicadas en la Unión.
El Reglamento establece una serie de supuestos en los que no será de aplicación, a saber:
- A los ámbitos que queden fuera del ámbito de aplicación del Derecho de la Unión. En todo caso, no afectará a las competencias de los Estados miembros en materia de seguridad nacional, independientemente del tipo de entidad a la que los Estados miembros hayan encomendado el desempeño de tareas en relación con dichas competencias.
- A los sistemas de IA que se utilicen exclusivamente con fines militares, de defensa o de seguridad nacional, independientemente del tipo de entidad que lleve a cabo estas actividades.
- A las autoridades públicas de terceros países ni a las organizaciones internacionales que utilicen sistemas de IA en el marco de acuerdos o de la cooperación internacionales con fines de garantía del cumplimiento del Derecho y cooperación judicial con la Unión o con uno o varios Estados miembros, siempre que ofrezcan garantías suficientes con respecto a la protección de los derechos y libertades fundamentales de las personas.
- A los sistemas de IA, incluidos sus resultados de salida, desarrollados y puestos en servicio específicamente con la investigación y el desarrollo científicos como única finalidad.
- A ninguna actividad de investigación, prueba o desarrollo relativa a sistemas o modelos de IA antes de su introducción en el mercado o puesta en servicio. Las pruebas en condiciones reales no estarán cubiertas por esa exclusión.
- A los sistemas de IA divulgados con arreglo a licencias libres y de código abierto, a menos que se introduzcan en el mercado o se pongan en servicio como sistemas de IA de alto riesgo o como sistemas de IA que entren en el ámbito de aplicación del artículo 5 o del artículo 50.
- A las personas físicas que utilicen sistemas de IA en el ejercicio de una actividad puramente personal de carácter no profesional.
El Capítulo I concluye con una serie de definiciones que resultan muy útiles, sobre todo cuando no se está familiarizado con la terminología empleada en torno a la inteligencia artificial.
El Reglamento inicia el Capítulo II estableciendo una serie de prohibiciones de uso de la IA, por el elevado riesgo que representan para los seres humanos.
Queda terminantemente prohibida la introducción en el mercado, la puesta en servicio o la utilización de los sistemas o modelos de IA, que se refieren a continuación, cuando provoquen, o sea razonablemente probable que provoquen, perjuicios considerables a una persona, a otra persona o a un colectivo de personas.
- Sistemas de IA que se sirvan de técnicas subliminales que trasciendan la conciencia de una persona y de técnicas deliberadamente manipuladoras o engañosas con el efecto de alterar de manera sustancial el comportamiento de una persona física o un colectivo de personas, mermando de manera apreciable su capacidad para tomar una decisión informada, haciendo que tomen una decisión que de otro modo no habrían tomado.
- Sistema de IA que exploten las vulnerabilidades de una persona o un determinado colectivo de personas derivadas de su edad o discapacidad, o de una situación social o económica específica, con la finalidad o el efecto de alterar de manera sustancial el comportamiento de dicha persona o de una persona que pertenezca a dicho colectivo.
- Sistemas de IA destinados a evaluar o clasificar a personas físicas o colectivos de personas durante un período determinado de tiempo, atendiendo a su comportamiento social o a sus características personales o de su personalidad conocidas, inferidas o predichas, de forma que la puntuación ciudadana resultante provoque: un trato perjudicial o desfavorable hacia ellos en contextos sociales que no guarden relación con los contextos donde se generaron o recabaron los datos originalmente o un trato perjudicial o desfavorable hacia ellos que sea injustificado o desproporcionado con respecto a su comportamiento social o la gravedad de este.
- Sistemas de IA destinados a realizar evaluaciones de riesgos de personas físicas con el fin de valorar o predecir el riesgo de que una persona cometa un delito, basándose únicamente en la elaboración del perfil de la persona o en la evaluación de los rasgos y características de su personalidad; esta prohibición no se aplicará a los sistemas de IA utilizados para apoyar la valoración humana de la implicación de una persona en una actividad delictiva que ya se base en hechos objetivos y verificables directamente relacionados con una actividad delictiva.
- Sistemas de IA que creen o amplíen bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales de Internet o de circuitos cerrados de televisión.
- Sistemas de IA para inferir las emociones de una persona física en los lugares de trabajo y en los centros educativos, excepto cuando el sistema de IA esté destinado a ser instalado o introducido en el mercado por motivos médicos o de seguridad.
- Sistemas de IA basados en la categorización biométrica que clasifiquen individualmente a las personas físicas sobre la base de sus datos biométricos para deducir o inferir su raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, vida sexual u orientación sexual; esta prohibición no incluye el etiquetado o filtrado de conjuntos de datos biométricos adquiridos lícitamente, basados en datos biométricos ni la categorización de datos biométricos en el ámbito de la garantía del cumplimiento del Derecho.
- Sistemas de IA de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho, salvo y en la medida en que dicho uso sea estrictamente necesario para alcanzar alguno de los siguientes objetivos:
- La búsqueda selectiva de víctimas concretas de secuestro, trata de seres humanos o explotación sexual de seres humanos y de personas desaparecidas.
- La prevención de una amenaza específica, importante e inminente para la vida o la seguridad física de las personas o de una amenaza real y actual o real y previsible de un atentado terrorista.
- La localización o identificación de una persona física sospechosa de haber cometido un delito a fin de llevar a cabo una investigación o un enjuiciamiento penal o ejecutar una sanción penal por alguno de los delitos referidos en el Anexo II del Reglamento, siempre que en el Estado miembro de que se trate se castigue con una pena o una medida de seguridad privativas de libertad cuya duración máxima sea de al menos cuatro años.
El uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho para cualquiera de los supuestos antes mencionados, exige la existencia de garantías y condiciones necesarias y proporcionadas en relación con el uso de conformidad con el Derecho nacional que autorice el mismo y, en particular, en lo que respecta a las limitaciones temporales, geográficas y personales.
Para empezar a utilizar dichos sistemas se exige que la autoridad garante del cumplimiento del Derecho, en el que vaya a utilizarse dicho sistema, haya completado una evaluación de impacto relativa a los derechos fundamentales de las personas, registrando el sistema en la base de datos de la Unión creada al efecto, de conformidad con el artículo 49. No obstante, en casos de urgencia debidamente justificados, podrán empezar a utilizar el sistema sin que se haya efectuado el registro, siempre y cuando se complete sin demora indebida.
Además, todo uso estará supeditado a la concesión de una autorización previa por parte de una autoridad judicial o una autoridad administrativa independiente cuya decisión sea vinculante del Estado miembro en el que vaya a utilizarse dicho sistema, que se expedirá previa solicitud motivada y de conformidad con las normas detalladas del Derecho nacional. No obstante, en casos de urgencia debidamente justificada, se podrá empezar a utilizar tal sistema sin autorización, siempre que se solicite esta sin demora indebida y a más tardar en un plazo de veinticuatro horas. Si se rechaza dicha autorización, el uso se interrumpirá con efecto inmediato y todos los datos recabados, así como los resultados y la información de salida generados por dicho uso, se desecharán y suprimirán inmediatamente.
Al margen de las prohibiciones de uso, el Reglamento establece diferentes niveles de riesgo: riesgo inaceptable, que se corresponden con las prohibiciones de uso; riesgo alto; y riesgo distinto al nivel alto.
El Capítulo III se refiere a los sistemas de IA de alto riesgo, distinguiendo dos categorías:
- Sistemas de IA destinados a ser utilizado como componente de seguridad de un producto que entre en el ámbito de aplicación de los actos legislativos de armonización de la Unión enumerados en el anexo I, o que el propio sistema de IA sea uno de dichos productos.
- Que el producto del que el sistema de IA sea componente de seguridad con arreglo a la letra a), o el propio sistema de IA como producto, deba someterse a una evaluación de la conformidad de terceros para su introducción en el mercado o puesta en servicio con arreglo a los actos legislativos de armonización de la Unión enumerados en el anexo I.
Además de los referidos sistemas de IA de alto riesgo, también se considerarán de alto riesgo los sistemas de IA contemplados en el anexo III, por ejemplo: infraestructuras críticas (suministros de agua, gas, calefacción y electricidad y tráfico rodado); educación y formación profesional; gestión del empleo y acceso al autoempleo; servicios públicos y privados esenciales como sanidad o banca; gestión de la migración, asilo y control fronterizo; administración de justicia y procesos democráticos. Se considerarán siempre de alto riesgo cuando el sistema de IA efectúe la elaboración de perfiles de personas físicas.
Los sistemas de IA contemplados en el anexo III no se considerarán de alto riesgo cuando el riesgo no plantee un perjuicio a la salud, la seguridad o los derechos fundamentales de las personas físicas, también al no influir sustancialmente en el resultado de la toma de decisiones. En estos casos, el proveedor estará obligado a documentar su evaluación antes de que dicho sistema sea introducido en el mercado o puesto en servicio. Además, estará sujeto a la obligación de registro. El proveedor facilitará la documentación de la evaluación a las autoridades nacionales competentes, si fuera requerido.
Los sistemas de IA de alto riesgo se diseñarán y desarrollarán de modo que puedan ser vigilados de manera efectiva por personas físicas durante el período que estén en uso, lo que incluye dotarlos de herramientas de interfaz humano-máquina adecuadas. El Reglamento dedica el artículo 14 a desarrollar –con detalle– cómo, cuándo y por qué cabe la supervisión humana.
El Capítulo V se dedica a regular los «Modelos de IA de uso general», estableciendo las reglas de clasificación (art. 51), procedimiento (art. 52), obligaciones de los proveedores de modelos de IA de uso general (art. 53), representantes autorizados de los proveedores de modelos de IA de uso general (art. 54) y obligaciones de los proveedores de modelos de IA de uso general con riesgo sistémico (art. 55). También se ocupa de regular los «Códigos de buenas prácticas» (art. 56).
El Capítulo VI regula las «Medidas de apoyo a la innovación». Los artículos 57 a 61 se ocupan de los «espacios controlados de pruebas para la IA» que serán diseñados para desarrollar, entrenar, probar y validar sistemas de inteligencia artificial con el soporte y supervisión de los organismos de gobernanza nacionales.
El Capítulo VII se ocupa de la «Gobernanza». A escala de la Unión, se crea la «Oficina de IA» (art. 64), el «Consejo Europeo de Inteligencia Artificial» (arts. 65 y 66) y «Foro consultivo» (art. 67), además del reconocimiento de un «Grupo de expertos científicos independientes» (art. 68). A escala nacional, los Estados miembro designarán, al menos, una autoridad notificante y autoridad de vigilancia (art. 70), si bien se pueden realizar por una sola autoridad. En el caso de España se ha designado como autoridad única para ejercer dichas funciones a la «Agencia Española de Supervisión de la Inteligencia Artificial» (AESIA).
El Capítulo VIII se dedica a la «Base de datos de la UE para sistemas de IA de alto riesgo» que afecta a las actividades incluidas en el anexo III. Esa base de datos estará gestionada por la Comisión Europea y será de acceso público.
El Capítulo IX se dedica a regular la vigilancia poscomercialización, intercambio de información sobre incidentes graves y vigilancia del mercado.
El Capítulo X se ocupa de los «Códigos de conducta» cuyo objetivo principal es fomentar que los proveedores de sistemas de IA que no son de alto riesgo cumplan, de manera voluntaria, los requisitos obligatorios para los sistemas de alto riesgo.
Los Códigos de conducta podrán ser elaborados por proveedores o responsables del despliegue de sistemas de IA particulares, por las organizaciones que los representen o por ambos, también con la participación de cualquier parte interesada y sus organizaciones representativas, como, por ejemplo, las organizaciones de la sociedad civil y el mundo académico. Dichos Códigos podrán comprender uno o varios sistemas de IA en función de la similitud de la finalidad prevista de los distintos sistemas.
La Oficina de IA y los Estados miembros tendrán en cuenta los intereses y necesidades de las PYMES, incluidas las empresas emergentes, a la hora de fomentar y facilitar la elaboración de Códigos de conducta.
El Capítulo XI se refiere a la delegación de poderes en favor de la Comisión para realizar actos delegados en las condiciones establecidas en el Reglamento. El artículo 98 se refiere al procedimiento de comité.
El Capítulo XII se refiere a las sanciones. El artículo 100 se ocupa de las multas administrativas a instituciones, órganos y organismos de la Unión y el artículo 101 a proveedores de modelos de IA de uso general.
El Capítulo XIII se ocupa de las Disposiciones finales, entre ellas, en el artículo 113 a la entrada en vigor y aplicación del Reglamento.
Finalmente, acompañan al Reglamento varios anexos: el Anexo I se ocupa de la Lista de actos legislativos de armonización de la Unión; el Anexo II de la Lista de los delitos a que se refiere el artículo 5, apartado 1, párrafo primero, letra h), inciso iii); el Anexo III de los sistemas de IA de alto riesgo a que se refiere el artículo 6, apartado 2; el Anexo IV a la Documentación técnica a que se refiere el artículo 11, apartado 1; el Anexo V de la Declaración UE de conformidad; el Anexo VI al Procedimiento de evaluación de la conformidad fundamentado en un control interno; el Anexo VII a la Conformidad fundamentada en la evaluación del sistema de gestión de la calidad y la evaluación de la documentación técnica; el Anexo VIII a la Información que debe presentarse para la inscripción en el registro de sistemas de IA de alto riesgo de conformidad con el artículo 49; el Anexo IX a la Información que debe presentarse para la inscripción en el registro de los sistemas de IA de alto riesgo enumerados en el anexo III en relación con las pruebas en condiciones reales de conformidad con el artículo 60; el Anexo X a los Actos legislativos de la Unión relativos a sistemas informáticos de gran magnitud en el espacio de libertad, seguridad y justicia; el Anexo XI a la Documentación técnica a que se refiere el artículo 53, apartado 1, letra a) — documentación técnica para proveedores de modelos de IA de uso general; el Anexo XII a la Información sobre transparencia a que se refiere el artículo 53, apartado 1, letra b) — documentación técnica de los proveedores de modelos de IA de uso general para los proveedores posteriores que integren el modelo en su sistema de IA y el Anexo XIII a los Criterios para la clasificación de los modelos de IA de uso general con riesgo sistémico a que se refiere el artículo 51.
Conclusión
Decía, al inicio, que esta norma no me convence y es que, en unos casos, peca de ser extremadamente rígida, por ejemplo, en el aspecto documental y, en otros, de demasiada flexibilidad, por ejemplo, en lo que a los sistemas de inteligencia artificial que no son de alto riesgo se refiere, que no están exentos de controversias por sesgos inadvertidos o discriminaciones, como los chatbots conversacionales que no reconocen determinados dialectos o acentos menos comunes o los algoritmos de recomendación que pueden favorecer determinado contenido por sesgos en los datos de entrenamiento.
Asimismo, el sistema de autocontrol previsto, a través de los códigos de conducta, para los sistemas distintos a los de alto riesgo, tampoco me convence, pues la adhesión es voluntaria. El marco ético de los códigos de conducta, a falta de otros controles más efectivos, debería ser obligatorio y vinculante.
Estados Unidos y China nos llevan años de adelanto, en lo que a la inversión en la inteligencia artificial se refiere. Europa está muy lejos de ambos países. Esperemos que el Reglamento no desincentive a los inversores privados, porque nos jugamos mucho.