IA MADE IN EUROPE

Análisis sobre diversos aspectos del futuro Reglamento Europeo de Inteligencia Artificial.

Inteligencia artificial en europa
FORLOPDagosto 8, 2023/inConsultora RGPD, PUBLICACIONES JURÍDICAS

// Escrito por Jordi Montero (Departamento Jurídico de FORLOPD).

En principio, está previsto que antes de finalizar este año 2023, se apruebe el texto propuesto del nuevo Reglamento Europeo de Inteligencia Artificial (IA), que será de aplicación dos años después de su aprobación.

Desde un punto de vista normativo, nos podemos encontrar con un modelo de regulación Europeo, Americano y Asiático. El modelo europeo no puede renunciar a sus principios. Por ello, desde hace aproximadamente cuatro años, se habla de una IA “made in europe” caracterizada por el cumplimiento normativo, cumplimiento de derechos y cumplimiento de la democracia. Se trata de un modelo preventivo, ético y confiable en el diseño, que incluye la previsión de que la construcción, fabricación y desarrollo de sistemas de Inteligencia Artificial en Europa que, por defecto, cumpla con la normativa con el objetivo de no generar daños.
En este punto difiere con la visión del modelo Americano de carácter no preventivo, que opta por incentivar el desarrollo de la IA sin tener en cuenta los posibles daños o perjuicios que se puedan generar y que, en caso de producirse, se abordarían con posterioridad.

Entre los elemento básicos del futuro reglamento europeo de IA, hay que destacar, en primer lugar, que está pensado para los fabricantes y desarrolladores de sistemas de IA que comercializan sus productos a usuarios y entidades de IA. El reglamento, esencialmente, contiene la regulación de los requisitos necesarios para la fabricación y desarrollo de los sistemas de IA por empresas de la UE y por aquellas empresas no europeas que pretendan comercializar sus sistemas de IA en la UE. Esta cuestión es de gran importancia para comprender el nuevo reglamento. Otra cuestión importante, en palabras del Catedrático de Derecho Constitucional de la Universitat de València y reputado experto en IA, Don Lorenzo Cotino Hueso, es el error que se puede cometer en cuanto a la referencia a los “usuarios” que se hace en el texto propuesto del nuevo reglamento, habida cuenta que no se refiere a consumidores o, como está pensado, por ejemplo, en la normativa de protección de datos en la que se considera al usuario como afectado. Para la propuesta el nuevo reglamento europeo de IA no existen los afectados, solo existe el fabricante y desarrollador del sistema de IA y las empresas o entidades públicas (usuarios) que los adquieren para su utilización sobre las personas. Los afectados (no usuarios) por los sistemas de IA no son mencionados en ninguna ocasión como tampoco posibles mecanismos de garantía o tutela de sus derechos. Por ello parece entenderse como que la perspectiva de los derechos de los afectados queda completada con la regulación de protección de datos. No obstante, habrá que estar pendientes de la versión final del texto que se apruebe. El futuro reglamento de IA también ignora al Reglamento General de Protección de Datos (RGPD), aunque es evidente que ambas normativas tendrán que confluir en el ámbito de la IA. Ello es así desde el momento en el que la aplicación de sistemas de IA sobre las personas físicas afecta a los datos personales de las mismas. Habrá que ver los posibles problemas que puedan surgir de esa confluencia.

protección de datos en la ia

En relación con el ámbito de aplicación territorial, aquellas empresas fabricantes o desarrolladoras de sistemas de IA ubicadas fuera del ámbito UE, tendrán la obligación de cumplir con el reglamento para poder comercializar sus productos en la UE. La misma exigencia será para las empresas establecidas en la UE.

Otra cuestión será establecer la definición de la IA. En el texto actual propuesto, se parte de la definición de la OCDE, “sistemas basados en máquinas diseñados para operar con distintos niveles de autonomía y que pueden, ante unos objetivos explícitos o implícitos, generar resultados tales como predicciones, recomendaciones o decisiones que influyan en entornos físicos o virtuales”. No obstante, no está definida de forma definitiva en el texto propuesto. Esta es una cuestión fundamental, podríamos decir incluso capital, por cuanto determinará que la aplicación del futuro reglamento estará dirigida a los sistemas que sean IA. En los demás casos, podrá tratarse de un simple software o un sistema automatizado pero si no es un sistema de IA no se aplicará el reglamento y no se tendrá que cumplir con la normativa.

La idea del futuro nuevo reglamento de IA es establecer distintas categorías de sistemas de IA en relación con el riesgo que genere su utilización. Habrán sistemas de IA cuya utilización estará directamente prohibida en la UE, y se perseguirá el uso de los mismos. Dentro de este grupo se encuentran los sistemas de IA de identificación biométrica, en tiempo real, en espacios de acceso público y con fines policiales. No estarán prohibidos cuando la identificación no sea en tiempo real, que no sea público y de carácter no policial, tampoco cuando no lo esté por estar así establecido en legislaciones nacionales tasadas y cuando exista autorización judicial. No obstante, en opinión del catedrático Don Lorenzo Cotino Hueso, debería prohibirse esta identificación tanto en ámbitos públicos como privados y no necesariamente sólo los que sean en tiempo real, también aquellos que categorizan y clasifican. Otros sistemas de IA prohibidos por el reglamento serán aquellos que desplieguen técnicas subliminales más allá de la conciencia humana para distorsionar materialmente el comportamiento de una persona de manera que cause o pueda causar a esa persona o a otra un daño físico o psicológico, o que exploten cualquier vulnerabilidad de un grupo específico de personas debido a su edad, discapacidad física o mental, con el fin de distorsionar materialmente el comportamiento de una persona. También estarán prohibidos los llamados sistemas de crédito social (social scoring), como los que existen en China, realizados por parte de las autoridades públicas o en su nombre para la evaluación o clasificación de la fiabilidad de las personas físicas en función de su comportamiento social, de sus características personales o de personalidad conocidas o previstas y que tienen como consecuencia los tratamientos perjudiciales o desfavorables hacia los ciudadanos, o el acceso o no a determinados derechos en función del resultado de la evaluación.

Los sistemas de IA que directamente no estén prohibidos en el reglamento, supondrán un segundo grupo y se denominarán sistemas de IA de “Alto Riesgo”. Estos sistemas, a diferencia de los prohibidos, podrán fabricarse, desarrollarse y ser utilizados siempre que cumplan con todos los requisitos establecidos en el reglamento. Aproximadamente el 90% del contenido del reglamento está destinado a la regulación de estos sistemas de IA de alto riesgo. Se determinan los que son y todas las obligaciones preventivas que han de cumplir para la obtención del marcado, sello o certificación CEE que permita su comercialización y utilización en la UE. Ejemplos de sistemas de IA de alto riesgo establecidos en el nuevo reglamento serán ; máquinas, juguetes, ascensores, equipos y sistemas de protección para uso en atmósferas potencialmente explosivas, equipos radioeléctricos, equipos a presión, equipo de embarcaciones de recreo, instalaciones de transporte por cable, aparatos que queman combustibles gaseosos, productos sanitarios y productos sanitarios para diagnóstico in vitro que estén equipados o contengan IA. También aquellos sistemas de IA destinados a utilizarse para evaluar la solvencia de personas físicas o establecer su clasificación crediticia o aquellos que se utilicen para la evaluación de riesgos y la fijación de precios, en relación con las personas físicas en el caso de los seguros de vida y de salud. En estos dos últimos casos la excepción será cuando sean sistemas de IA puestos en servicio por proveedores que sean microempesas y pequeñas empresas, tal y como se se definen en el anexo de la Recomendación 2003/361/CE de la Comisión, para su uso propio.

A todos aquellos sistemas de IA que no se clasifiquen en sistemas prohibidos o sistemas de alto riesgo, el resto, no estarán obligados al cumplimiento de las obligaciones establecidas en el reglamento. No de manera obligatoria. No obstante se desarrollará un sistema de autorregulación, sellos y certificaciones de calidad, cuya obtención será voluntaria por los fabricantes y desarrolladores de sistemas de IA y que determinarán el grado de cumplimiento con la normativa del reglamento, proporcionado en su comercialización garantías a la ciudadanía, a los usuarios y consumidores finales. Se tratará de un modelo de nuevo marco normativo caracterizado por la autoevaluación de los estándares de conformidad. Los fabricantes y desarrolladores tendrán que autoevaluarse sobre el cumplimiento de los estándares de fabricación de sus productos a los efectos de acreditar el cumplimiento de las normas armonizadas y las especificaciones técnicas para la fabricación y desarrollo de sistemas de IA en la UE.

Si tiene dudas a la hora de implantar un sistema con  Inteligencia Artificial en Europa, y necesita un análisis de riesgos para determinar si cumple con la normativa, desde FORLOPD podemos ayudarle. Póngase en contacto con nosotros y le informaremos sin compromiso.

Entradas relacionadas:

Proctoring o supervisión en los exámenes online menores y protección de datosMenores y protección de datos Geolocalización por móvil en el trabajoGEOLOCALIZACIÓN POR MÓVIL Premiados Gala verano GVC Novedades de la LOPD/GDD videovigilanciaVideovigilancia y la normativa en protección de datos Tratamiento datos Personales con el nuevo R.G.P.D (Parte I)Tratamiento datos Personales con el nuevo R.G.P.D (Parte I) Los nuevos derechos del RGPD Part.2