El Parlamento Europeo aprueba el reglamento de inteligencia artificial

El Parlamento Europeo ha aprobado, el 13-3-2024, el reglamento de inteligencia artificial,¹ también conocido como ley de inteligencia artificial.

Este reglamento es una norma pionera en la regulación de la inteligencia artificial (IA) y recoge obligaciones para los operadores de sistemas de IA, con un enfoque basado en el riesgo y en el efecto sobre los interesados.

Resumimos los hitos  que reflejan el interés en la regulación de la inteligencia artificial en la Unión Europea (UE):

• Abril de 2018:
  • La Comisión Europea emitió una comunicación sobre la estrategia europea de inteligencia artificial, que recogía el concepto de IA, sus implicaciones y la necesidad regularla.
  • Pone el énfasis en que la UE esté por delante de los avances tecnológicos en IA.
• Diciembre de 2018:
  • La Comisión emitió otra comunicación sobre un plan coordinado sobre la inteligencia artificial.
  • En este plan, desarrolla los objetivos comunes, la aspiración de una asociación público-privada, el fortalecimiento de la excelencia en estas tecnologías, el desarrollo de directrices de ética global y un marco jurídico favorable a la innovación.
• Febrero de 2020 :
  • la Comisión publicó el «Libro blanco sobre la inteligencia artificial», que expone la posición de este organismo sobre las potenciales implicaciones de la IA y el planteamiento de posibles adaptaciones normativas.
• Abril de 2021:
  • La Comisión presentó la propuesta de marco regulador sobre inteligencia artificial.
  • Consistió en un reglamento con los principios que fundamentan el objetivo de la regulación de la IA, basados en asegurar que la IA esté centrada en el ser humano y sea digna de confianza.
• Año 2022:
  • La Comisión presentó dos propuestas legislativas:
    • la revisión de la Directiva 85/374/CEE,²  sobre  la responsabilidad por los daños causados por productos defectuosos,
    • una directiva específica sobre responsabilidad en materia de IA.
• Año 2024:
  • El texto más reciente del reglamento se deriva de las modificaciones del propuesto en 2021, sobre todo por la aparición de la IA generativa en noviembre de 2022.
  • Desde que, en diciembre de 2023, se llegara a un acuerdo sobre la regulación de la IA en el Consejo de la Unión Europea y el Parlamento Europeo, en marzo de 2024 este organismo ha aprobado el reglamento sobre la IA.

Definición de sistema de inteligencia artificial

Es importante la definición de ofrece el reglamento. Considera que un sistema es inteligente cuando se den las siguientes premisas:

• Esté basado en máquinas.
• Esté diseñado para funcionar con distintos niveles de autonomía.
• Pueda demostrar capacidad de adaptación tras su despliegue.
• Para objetivos explícitos o implícitos, infiere a partir de la entrada que recibe, cómo generar salidas tales como predicciones, contenidos, recomendaciones o decisiones que puedan influir en entornos físicos o virtuales.

Objetivos

El reglamento busca:

• mejorar el funcionamiento del mercado interior,
• promover una inteligencia artificial centrada en el ser humano y digna de confianza, y
• asegurar un alto nivel de protección de los derechos fundamentales.

En su articulado recoge:

1. Normas armonizadas para introducir en el mercado, poner en servicio y utilizar sistemas de inteligencia artificial en la Unión.
2. La prohibición de determinadas prácticas de IA.
3. Requisitos específicos para los sistemas de IA de alto riesgo y obligaciones para los operadores de dichos sistemas.
4. Normas de transparencia armonizadas para determinados sistemas de IA.
5. Normas armonizadas para comercializar modelos de IA de uso general.
6. Reglas sobre supervisión del mercado, sobre gobernanza de la vigilancia del mercado y sobre ejecución.
7. Medidas de apoyo a la innovación, con especial atención a las pequeñas y medianas empresas, incluidas las de nueva creación.

Principales obligaciones

El nuevo reglamento plantea nuevos esfuerzos que las entidades interesadas en estas tecnologías deben acometer para seguir utilizándolos.

El reglamento presenta un enfoque basado en el riesgo. En consecuencia, impone un mayor número de obligaciones y exigencias a los sistemas de IA con niveles de riesgo más elevados.

Define cuatro niveles de riesgo asociados:

1. Sistemas de IA de riesgo inaceptable:
   • Representan una amenaza directa a la seguridad pública, la privacidad y los derechos fundamentales.
   • Su uso está prohibido, salvo en situaciones excepcionales como la utilización de sistemas de identificación biométrica remota por autoridades policiales en espacios públicos, con sujeción a salvaguardias.
2. Sistemas de IA de alto riesgo:
   • Pueden tener impacto relevante en los derechos fundamentales de los individuos.
   • Su uso está sujeto a ciertas obligaciones, como implantar sistemas adecuados de evaluación y mitigación de riesgos, registros de actividades, evaluaciones de impacto sobre los derechos fundamentales, medidas apropiadas de supervisión humana, etc.
3. Sistemas de IA de riesgo limitado:
   • De propósito general.
   • Deben cumplir con ciertas obligaciones específicas de transparencia, como informar a los usuarios de que están interactuando con un sistema de IA o informar de que un contenido ha sido generado mediante IA.
4. de riesgo mínimo:
   • No están regulados específicamente.
   • Los ciudadanos pueden decidir de forma libre sobre su uso (por ejemplo,  videojuegos con IA o filtros de spam).

Casos en el sector bancario.

Citamos los principales usos de los sistemas de IA en el sector bancario:

• Los sistemas de IA de riesgo mínimo son los utilizados en la automatización de procesos mediante clasificación automática de documentos (por ejemplo: solicitud de préstamos o contratos).
• Los sistemas de riesgo limitado con los que dan atención a clientes continuada (24 horas) a través de asistentes virtuales o chatbots.
• Los sistemas de IA de riesgo alto se encargan de verificar la identidad biométrica a distancia, el scoring crediticio para la optimización de la gestión de riesgos, calcular la probabilidad de materialización de sucesos en seguros, perfilar a las personas físicas para realizar una oferta de producto u optimizar precios y márgenes, en base a la evaluación de solvencia del cliente ofrecida por el sistema de IA, realizar procesos de selección de personal…
• Por último, un ejemplo de aplicación de sistemas de IA de riesgo inaceptable y, por tanto, prohibidos, es el análisis de los datos del usuario para influir en sus decisiones financieras de manera sutil, beneficiando a la entidad, por ejemplo, ajustando la presentación de los productos.

Entrada en vigor y aplicación

Hoy, el Parlamento ha votado el texto de reglamento. Por lo tanto, la promulgación es inminente, tras el último trámite del ajuste formal jurídico-lingüístico de las traducciones de la norma.

El reglamento entrará en vigor a los 20 días de su publicación en el Diario Oficial de la Unión Europea y será plenamente aplicable dos años después, con algunas excepciones:

• Los títulos I y II, disposiciones generales y prácticas de IA prohibidas, se aplicarán pasados seis meses de la entrada en vigor.
• Las disposiciones del capítulo III, sección 4 (autoridades notificantes y organismos notificados), el capítulo V (modelos de IA de uso general), el capítulo VII (gobernanza) y el capítulo XII (sanciones) serán aplicables transcurridos doce meses después de la entrada en vigor, a excepción del artículo 101.
• El apartado 1 del artículo 6, sistemas de IA de alto riesgo, y las obligaciones correspondientes se aplicarán transcurridos 36 meses desde su entrada en vigor.