Implicaciones y desafíos del nuevo Reglamento Europeo de Inteligencia Artificial
Conoce las normas, riesgos y oportunidades para la innovación con la última actualización de la Unión Europea.
El Reglamento de Inteligencia Artificial de la Unión Europea (RIA), publicado el 12 de julio de 2024, representa un hito en la legislación tecnológica al definir pautas precisas para el desarrollo, implementación y utilización de la inteligencia artificial (IA) en Europa.
La regulación excesiva de la inteligencia artificial en Europa podría desincentivar la creación de nuevas empresas y la innovación en la región, afectando negativamente su competitividad global. Con una inversión privada en IA ya considerablemente inferior a la de EE.UU. y China, imponer demasiadas obligaciones a los/as operadores/as de sistemas de IA podría crear barreras de entrada al mercado, dificultando aún más el crecimiento de la industria tecnológica en Europa.
Además, estas regulaciones podrían hacer que los servicios de IA extranjeros eviten el mercado europeo debido a los altos costos de cumplimiento, reduciendo las opciones disponibles y frenando la adopción de nuevas tecnologías. Dado el vertiginoso ritmo de avance en el campo de la IA, existe también el riesgo de que las normativas se queden desactualizadas rápidamente, lo que podría estancar aún más el desarrollo tecnológico en Europa. Por lo tanto, es crucial encontrar un equilibrio entre la regulación y el fomento de la innovación para mantener la relevancia de Europa en la revolución tecnológica.
En este sentido, el RIA no solo incluye mecanismos de control y regulación, sino que también incorpora medidas de fomento. Entre ellas se encuentran la regulación de espacios controlados para pruebas y las iniciativas que apoyan a las pymes en el desarrollo de sistemas de IA, con el objetivo de promover un desarrollo de estas tecnologías que sea socialmente sostenible.
El nuevo reglamento tiene como objetivo asegurar un desarrollo de la IA que sea ético y seguro, reduciendo riesgos y fomentando la innovación. El RIA se aplica tanto a los actores de la cadena de valor como a los/as responsables de despliegue (usuarios/as con fines profesionales) de sistemas de IA, adoptando un enfoque basado en el riesgo. Clasifica los sistemas de IA en tres niveles según su impacto potencial en los derechos y libertades de los/as ciudadanos/as:
- Riesgo Inadmisible: Esta categoría abarca un conjunto limitado de prácticas que están prohibidas por infringir derechos fundamentales. Entre estas prácticas prohibidas se encuentran, por ejemplo, el uso de técnicas subliminales para influir en las personas de manera que actúen en contra de sus propios intereses, así como la puntuación social con fines tanto públicos como privados.
Alto Riesgo: Esta categoría comprende una selección limitada de sistemas de IA, divididas en dos categorías
- Productos o componentes de seguridad de productos contemplados en la legislación de armonización de la Unión que indica el anexo I, cuando estos deban pasar una evaluación de conformidad de terceros para su introducción en el mercado o puesta en servicio. Ejemplos de estos productos son: ascensores, máquinas, productos sanitarios y juguetes.
- Sistemas específicos enumerados en el anexo III. Incluye sistemas de IA que formen parte de los siguientes ámbitos: evaluación crediticia de personas; procesos de selección, promoción o despido de empleados/as; educación y formación profesional; administración de justicia; servicios de vida y salud; entre otros.
El reglamento establece ciertas obligaciones para los sistemas de IA considerados de alto riesgo. Estas obligaciones consisten en implementar mecanismos para identificar y mitigar riesgos; llevar a cabo prácticas adecuadas de gobernanza y gestión de datos; proporcionar información clara sobre el funcionamiento y las limitaciones del sistema; mantener una documentación técnica detallada para evaluar la conformidad; garantizar una supervisión humana adecuada; permitir el registro automático de eventos; y cumplir niveles adecuados de precisión, solidez y ciberseguridad.
Además, el reglamento especifica las obligaciones de los proveedores, entre las que destacan contar con un sistema de gestión de la calidad, elaborar una declaración UE de conformidad y registrar el sistema en la base de datos de la UE.
Por otra parte, las personas físicas o jurídicas que empleen sistemas de IA de alto riesgo con fines profesionales deben cumplir diversas obligaciones, tales como adoptar medidas técnicas y organizativas adecuadas para garantizar que los sistemas se utilizan conforme a las instrucciones de uso; mantener los archivos de registro generados bajo su control; y asegurar de que los sean pertinentes para la finalidad prevista del sistema de IA de alto riesgo.
- Riesgo Limitado: Incluye sistemas con un impacto menor, que están sujetos a medidas de transparencia. Estos sistemas son: los diseñados para interactuar con personas físicas; los de uso general; los que realizan reconocimiento de emociones y categorización biométrica; y los que generan datos de entrada o manipulan imágenes, audio o video.
El RIA también contempla los riesgos sistémicos vinculados a los sistemas de IA de uso general, como ChatGPT. Para estos sistemas, el reglamento establece obligaciones adicionales para los proveedores, que incluye establecer directrices para cumplir con la legislación de derechos de autor y derechos afines, la evaluación y mitigación de riesgos, la comunicación de incidentes graves, y velar por la protección de la ciberseguridad.
En relación con los derechos de propiedad intelectual, el RIA tiene como objetivo garantizar que se respete la decisión de los/as titulares de obras protegidas que prefieren que sus contenidos no sean utilizados para entrenar sistemas de inteligencia artificial.
También el ámbito del compliance está experimentando una transformación significativa gracias a la IA. Esto representa una oportunidad para aumentar la efectividad y eficiencia de los programas de gestión, garantizando la legalidad y la ética, y previniendo sanciones y multas. Tanto el aprendizaje automático (machine learning) como la IA basada en reglas ayudan a identificar posibles riesgos, diseñar medidas de prevención y detección más efectivas, mejorar la toma de decisiones empresariales y asegurar el cumplimiento normativo.
Asimismo, la IA puede tener un impacto significativo en los órganos de gobierno de las empresas. La gobernanza de la IA debe incorporar aspectos de legalidad, ética y robustez técnica. El componente ético introduce una nueva dimensión en los marcos de gobernanza. Por ello, muchas organizaciones están desarrollando códigos éticos específicos para la inteligencia artificial.
Para garantizar el cumplimiento del reglamento, se han creado organismos nacionales y europeos de supervisión. En España, la Agencia Española de Supervisión de Inteligencia Artificial será la encargada de inspeccionar y sancionar según el RIA. A nivel europeo, la Oficina Europea de Inteligencia Artificial coordinará la supervisión.
El RIA será aplicable de manera general a partir del 2 de agosto de 2026, aunque algunas disposiciones entrarán en vigor antes. Las prohibiciones de ciertas prácticas relacionadas con la IA comenzarán el 2 de febrero de 2025, y el 2 de agosto de 2025 se aplicarán normas sobre organismos notificados, sistemas de IA de propósito general con riesgos sistémicos, y el sistema de gobernanza de la IA. La regulación para sistemas de IA de alto riesgo, como aquellos/as que requieren evaluación de seguridad para su comercialización, entrará en vigor el 2 de agosto de 2027.
Las infracciones del reglamento pueden resultar en multas significativas, que pueden alcanzar hasta 35 millones de euros o el 7% del volumen de negocios anual global del infractor, lo que sea mayor.
En Baker Tilly, estamos preparados para asesorar a nuestros/as clientes/as sobre el nuevo Reglamento Europeo de Inteligencia Artificial. Proporcionamos orientación integral y personalizada, asegurando que se cumplan las nuevas normativas y que se aprovechen las oportunidades que este marco regulador ofrece para la innovación responsable en el ámbito de la IA.