Efectos de la ley de inteligencia artificial en las entidades financieras

María Vidal, socia

mvidal@finreg360.com

Publicado en Funds Society el 22-05-2024

22-05-2024 — CM/2024/061

El Parlamento Europeo aprobó, el 13-3-2024, un reglamento sobre el uso de sistemas de inteligencia artificial en la Unión Europea (UE). Aunque aún está pendiente de promulgación, ya se conoce como “ley de inteligencia artificial”. Como tal reglamento, no necesita trasposición a los derechos nacionales de los Estados miembros y se aplicará de forma directa en toda la UE, de forma escalonada.

Las entidades financieras, en la medida en que usen las tecnologías de inteligencia artificial, estarán afectadas por las obligaciones de esta norma. En la mayoría de los casos, encajan en la figura de “responsable del despliegue”, es decir, utilizan sistemas con componentes de inteligencia artificial bajo su propia autoridad. En otros casos, pueden ser calificadas de “proveedores” si, por ejemplo, ponen su nombre o marca comercial a un sistema de inteligencia artificial calificado de alto riesgo o si lo modifican sustancialmente.

La ley de inteligencia artificial parte de un enfoque basado en el riesgo de cada sistema que encaje en su ámbito, de manera que enfatiza las obligaciones y controles sobre los sistemas con un mayor riesgo de vulnerar los derechos fundamentales. Con este enfoque de riesgo, estos sistemas se clasifican en:

  • Sistemas prohibidos expresamente, como los que se sirven de técnicas subliminales o deliberadamente manipuladoras o engañosas con el fin o efecto de alterar sustancialmente el comportamiento de una persona, mermando su capacidad para tomar una decisión informada, de un modo que pueda provocar perjuicio a esa persona.
  • Sistemas de alto riesgo, como los utilizados para evaluar la solvencia de personas físicas o establecer su calificación crediticia (salvo los dedicados a detectar fraudes financieros) o para valorar riesgos y fijar precios en seguros de vida y salud.
  • Sistemas de riesgo limitado, como los de atención continuada al cliente durante 24 horas con asistentes virtuales (chat-bots) o de asesoramiento financiero personalizado (robo-advisors).
  • Sistemas de riesgo mínimo o nulo, por ejemplo, los sistemas destinados a la clasificación automática de documentación o a la mejora del resultado de una actividad humana previamente realizada, entre otros.

El primer ejercicio para las entidades financieras será inventariar todos los sistemas de inteligencia artificial que puedan estar utilizando, clasificarlos e identificar las obligaciones que han de cumplir, derivadas de esa clasificación.

Las obligaciones normativas sobre los sistemas de riesgo limitado para los responsables del despliegue se centran en requisitos de transparencia cuando estos sistemas estén destinados a interactuar con personas físicas. Para los clasificados como de alto riesgo son mucho más complejas.

La mayoría de las entidades de crédito utilizan sistemas de evaluación de solvencia de sus clientes o para determinar su calificación crediticia; por tanto, son sistemas de riesgo alto. Resumimos a continuación las obligaciones que han de cumplir los responsables del despliegue de sistemas de inteligencia artificial de riesgo alto:

 

1. Identificación del sistema
  • Inventariar los sistemas de inteligencia artificial utilizados.
  • Categorizar cada uno según su riesgo.
2. Creación de un modelo de gobierno de la inteligencia artificial
  • Definir un marco de referencia corporativo en el que encajen los planes de acción para el funcionamiento de la inteligencia artificial.
  • Decidir la estrategia de uso de estas tecnologías y su relación con la privacidad.
  • Fijar el gobierno, responsabilidad y áreas implicadas de la organización.
  • Crear un comité de ética digital, que se responsabilice de esta materia.
3. Creación de políticas de inteligencia artificial
  • Políticas globales.
  • Normas de funcionamiento y uso de la inteligencia artificial por empleados, usuarios y técnicos del proceso.
4. Transparencia
  • Respecto a los sistemas que ayudan a tomar decisiones, informar a las personas de que están expuestos al uso de sistemas de inteligencia artificial de alto riesgo y poner a su disposición la información sobre la lógica aplicada de dichos sistemas.
  • Verificar la información ofrecida por el proveedor en los instrumentos de uso.
5. Evaluación de impacto en los derechos fundamentales
  • Elaborar una metodología, que puede ser evolución de la evaluación de impacto de protección de datos (PIA, en siglas inglesas), ampliada con los requisitos de esta evaluación.
  • Elaborar un procedimiento de notificación del FRIA a la autoridad.
6. Supervisión y auditoría
  • Directrices de medidas técnicas para garantizar que el sistema cumple con las instrucciones de uso.
  • Supervisión de un equipo con conocimientos, competencia y autoridad suficientes.
  • Fijación de garantías de representación suficiente de los datos de entrada en el sistema.
  • Supervisión del funcionamiento del sistema y procedimiento de notificación a la autoridad o proveedor por funcionamiento defectuoso.
7. Sello europeo
  • Procesos de verificación y revisión del sistema de inteligencia artificial, según la Comisión Europea, declaración UE de conformidad, etc.
8. Notificación de incidentes graves
  • Política de notificación de incidentes graves a los proveedores de sistemas de inteligencia artificial.
9. Implantación del derecho de explicación
  • Procedimiento para el ejercicio del derecho de explicación de toma de decisiones basadas en inteligencia artificial.
10. Aurorregulación
  • Asunción de códigos de conducta.
  • Participación en su elaboración.
11. Ciberseguridad
  • Los sistemas deben ser seguros, es decir, cumplir con normas como NIS2, DORA, COBIT 5, marco ce ciberseguridad del NIST o ISO 42001.
12. Conservación de registros
  • Elaboración de una política de conservación de registros adaptada a las obligaciones derivadas de las normas del sector financiero.
13. Involucración de la representación de los trabajadores
14. Formación en inteligencia artificial
  • Formación específica para contar con equipos con perfiles técnicos y de usuario con un nivel suficiente de conocimientos específicos sobre estas tecnologías.

 

Merece resaltarse el grado de similitud entre las obligaciones del reglamento general de protección de datos con el reglamento de inteligencia artificial, lo que puede hacer mucho más eficiente el proceso de implantación de las obligaciones descritas, así como de profesionales expertos, al poder contar, como punto de partida, con los profesionales y la metodología de los proyectos de protección de datos personales.

 

Últimas noticias (ver todas)

La importancia de la elección ante el nuevo escenario de los vehículos alternativos

 Cristina Mayo, socia
Francisco Aparicio, asociado principal

18-12-2024

Cristina Mayo y Francisco Aparicio, socia y asociado principal de finReg360, analizan en esta tribuna de opinión el auge en España de la inversión alternativa y la flexibilidad regulatoria de vehículos como los FILPE 2.0 (fondos de inversión a largo plazo europeos), las entidades de capital riesgo y los fondos de inversión libre.

En FundsPeople el 18-12-2024 | finReg

La ESMA expone nuevos criterios sobre los nombres de los fondos relacionados con la sostenibilidad

finReg360

18-12-2024

finReg360 explica que estas directrices establecen criterios específicos y, en el caso de los bonos verdes europeos, destacan que no se aplican ciertas exclusiones del Reglamento Delegado 2020/1818.

En Funds Society el 18-12-2024

Las ventas cruzadas en bancaseguros, en el ojo del huracán

 Gloria Hernández Aler, socia
Irene Fernández, asociada principal

17-12-2024

Gloria Hernández Aler e Irene Fernández de Buján, socia y asociada principal de finReg360, analizan la práctica de los bancos de ofrecer préstamos hipotecarios o al consumo junto con productos accesorios, como seguros de vida o de protección de pagos, para mejorar las condiciones del préstamo (hipotecas o préstamos bonificados). Aunque estas combinaciones son legales con ciertos requisitos de transparencia, el Banco de España y la Autoridad Europea de Seguros y Pensiones de Jubilación han intensificado su supervisión para asegurar que sean beneficiosas para los clientes.

En El Confidencial el 17-12-2024 | finReg