La inteligencia artificial (IA) está transformando todos los aspectos de nuestra vida cotidiana y el ámbito empresarial. Consciente de los beneficios y riesgos asociados con esta tecnología, la Unión Europea ha adoptado un enfoque regulatorio pionero mediante el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024. A partir del 1 de agosto de 2024, este reglamento establece un marco normativo para garantizar el desarrollo y uso seguro y ético de la IA. En este artículo, exploraremos los aspectos clave del Reglamento de Inteligencia Artificial (RIA), su objetivo principal, las categorías de riesgo para los sistemas de IA, y las implicaciones para desarrolladores y usuarios empresariales.
Objetivos Principales del Reglamento
El artículo 1 del RIA menciona los objetivos principales del mismo:
Mejorar el funcionamiento del mercado interior mediante el establecimiento de un marco jurídico uniforme, en particular, para el desarrollo, la introducción en el mercado, la puesta en servicio y la utilización de sistemas de inteligencia artificial en la Unión.
Promover la adopción de una IA centrada en el ser humano y fiable, de conformidad con los valores y los principios de funcionamiento de la Unión.
Asegurar un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la Carta de los Derechos Fundamentales de la Unión Europea, incluidos la democracia, el Estado de Derecho y la protección del medio ambiente, protegiendo frente a los efectos perjudiciales de los sistemas de IA en la Unión.
Brindar apoyo a la innovación, en particular, a las pequeñas y medianas empresas (pymes), incluidas las empresas emergentes.
Garantizar la libre circulación transfronteriza de mercancías y servicios basados en la IA, impidiendo que los Estados miembros impongan restricciones al desarrollo, la comercialización y la utilización de sistemas de IA, a menos que el propio RIA lo autorice expresamente.
Ámbito de Aplicación
El Reglamento, marcado por el principio de extraterritorialidad, se aplicará a:
Los proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA o modelos de IA de uso general en la Unión, independientemente de si están establecidos o ubicados en la Unión o en un tercer país.
Los responsables del despliegue de sistemas de IA establecidos o ubicados en la Unión.
Los proveedores y responsables del despliegue de sistemas de IA establecidos o ubicados en un tercer país, cuando los resultados de salida generados por el sistema de IA se utilicen en la Unión.
Los importadores y distribuidores de sistemas de IA.
Los fabricantes de productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con su propio nombre o marca.
Los representantes autorizados de los proveedores que no estén establecidos en la Unión.
Las personas afectadas ubicadas en la Unión.
Extraterritorialidad significa que las normas del RIA se aplican no solo dentro de la UE, sino también a entidades y personas fuera de ella que deseen operar en el mercado europeo o cuyos productos y servicios sean utilizados en la Unión. Esto garantiza una protección uniforme de los derechos y la seguridad de los ciudadanos europeos, independientemente del origen de los sistemas de IA que utilicen.
El Reglamento incluye excepciones materiales a su aplicación, como las competencias de los Estados en materia de seguridad nacional, los usos militares, de defensa o seguridad nacional, y aquellos sistemas de IA desarrollados exclusivamente para la investigación y el desarrollo científicos, así como los sistemas de IA de código abierto que no sean de alto riesgo.
Clasificación de Riesgos
El RIA adopta un enfoque basado en el riesgo, clasificando los sistemas de IA en cuatro categorías principales:
Sistemas de IA de riesgo inaceptable: Incluyen usos prohibidos que representan una amenaza directa a la seguridad pública, la privacidad y los derechos fundamentales, aunque existen excepciones para el uso de sistemas de identificación biométrica remota "en tiempo real" en espacios públicos con fines de cumplimiento del Derecho.
Sistemas de IA de alto riesgo: Aquellos que pueden tener un impacto significativo en los derechos fundamentales de las personas, incluyendo infraestructuras críticas, educación, empleo, servicios públicos esenciales, seguridad, migración, justicia y procesos democráticos. Este tipo de sistemas se encuentran identificados en el Anexo III del RIA.
Sistemas de IA de riesgo limitado: Incluyen sistemas de propósito general, como chatbots, donde los usuarios deben ser informados de que están interactuando con una IA y el contenido generado por IA debe ser identificable.
Sistemas de IA de riesgo mínimo: No están regulados específicamente y su uso es libre, como en el caso de videojuegos con IA o filtros de spam.
Supervisión Humana y Transparencia
El RIA establece que los sistemas de IA de alto riesgo deben ser diseñados y desarrollados de modo que puedan ser vigilados efectivamente por personas físicas, para prevenir o minimizar los riesgos para la salud, la seguridad o los derechos fundamentales.
La transparencia es un eje central del RIA, requiriendo que los sistemas de IA se desarrollen y utilicen de manera trazable y explicable. Los usuarios deben ser conscientes de que están interactuando con una IA y deben ser informados adecuadamente sobre las capacidades y limitaciones del sistema, así como sobre sus derechos.
Impacto en el Sector Público y Privado
El RIA afectará tanto al sector privado como al público. En el sector público, las entidades deberán cumplir con las obligaciones impuestas por el reglamento, especialmente en el uso de sistemas de IA de alto riesgo, adoptando medidas técnicas y organizativas adecuadas y asignando la supervisión humana a personas competentes y con la formación necesaria.
Innovación y Apoyo a las PYMEs
El RIA promueve la innovación responsable mediante la creación de sandboxes regulatorios, espacios controlados donde las empresas pueden probar nuevas tecnologías de IA bajo la supervisión de autoridades competentes. También fomenta el desarrollo de espacios comunes de datos europeos para ofrecer acceso fiable y responsable a datos de alta calidad para entrenar, validar y probar sistemas de IA.
Régimen Sancionador
El reglamento establece sanciones significativas para el incumplimiento, con multas que pueden alcanzar hasta 35 millones de euros o el 7% del volumen de negocios anual total del infractor. Las sanciones serán efectivas, proporcionadas y disuasorias, teniendo en cuenta los intereses de las pymes y su viabilidad económica.
Gobernanza y Evaluación
La gobernanza del RIA se estructura a través del Comité Europeo de IA y la Oficina de IA, que supervisarán la aplicación y cumplimiento del reglamento. En España, se ha creado la Agencia Española de Supervisión de Inteligencia Artificial (AESIA) para cumplir con estas funciones. La Comisión Europea evaluará el funcionamiento de la Oficina de IA y su eficacia en 2028.
Conclusión
El Reglamento (UE) 2024/1689 representa un compromiso firme con la protección de los derechos fundamentales y la seguridad de los ciudadanos, al tiempo que fomenta la innovación responsable en la inteligencia artificial. Este marco legal pionero establece una base sólida para la gobernanza de la IA, promoviendo un desarrollo tecnológico ético y sostenible en Europa y más allá.
