El Reglamento de Inteligencia Artificial ("Reglamento" o "EU AI Act", por sus siglas en inglés) ya se ha publicado en el Diario Oficial de la Unión Europea. El Reglamento representa un hito significativo en la regulación de la Inteligencia Artificial ("IA") en la Unión Europea ("UE") y se erige como norma clave para las organizaciones de todos los sectores.
Debe destacarse su enfoque diferenciado en función del nivel de riesgo que representa cada sistema de IA y del rol que desempeña cada organización concreta en la cadena de valor, su ámbito de aplicación extraterritorial (también resulta aplicable a organizaciones fuera de las fronteras de la UE) y las altas sanciones que trae consigo en caso de incumplimiento (con un techo máximo de EUR 35 millones o del 7% de la facturación mundial anual en los casos más graves).
A continuación se destacan algunos de sus puntos clave, con especial atención a los más relevantes para las organizaciones que utilizan sistemas de IA (denominadas "responsables del despliegue"):
- Definición de IA: Para garantizar una definición harmonizada de IA, el EU AI Act adopta el enfoque propuesto por la OCDE: un sistema de IA es aquel software capaz de funcionar con distintos niveles de autonomía, de mostrar capacidad de aprendizaje y adaptación tras su lanzamiento, y que puede inferir a partir del input que recibe cómo generar outputs (tales como predicciones, contenido, recomendaciones o decisiones) que pueden influir en entornos físicos o virtuales. De esta manera, se pretende distinguir los sistemas de IA de aquellos sistemas de software o planteamientos de programación tradicionales más simples, siendo una de las principales características esenciales de los primeros la capacidad de inferencia basada en el aprendizaje automático y se opta por una definición amplia de la IA que será aplicable a una gran variedad de herramientas informáticas.
- Ámbito de aplicación: el ámbito de aplicación del EU AI Act se debe valorar desde una triple perspectiva:
1. Enfoque basado en el nivel de riesgo: el Reglamento modula la aplicación de las obligaciones dispuestas clasificado los sistemas de IA en función de los riesgos que presentan. De esta manera, nos encontramos con: (i) sistemas de riesgo inaceptable o inadmisible, cuyo uso se encuentra prohibido salvo excepciones puntuales (como, por ejemplo, los sistemas de categorización biométrica, puntuación social, vigilancia policial predictiva individual, etc.); (ii) sistemas de alto riesgo, que están sujetos a evaluaciones de conformidad y requisitos de gestión de riesgos (como por ejemplo, los sistemas de IA utilizados para evaluar el nivel de educación, para evaluar a los candidatos a un puesto de trabajo, etc.); (iii) sistemas de riesgo limitado, que deberán cumplir con ciertas obligaciones de transparencia (como, por ejemplo, los chatbots); y (iv) sistemas de riesgo mínimo, que implican unas obligaciones mínimas y podrán someterse a códigos de conducta voluntarios.
2. Sujetos obligados: el Reglamento es aplicable a la mayoría de los actores de la cadena de valor de la IA, como son los proveedores, importadores, distribuidores, representantes autorizados y responsables del despliegue (esto es, las personas físicas o entidades que implementan o utilizan un sistema de IA). En general, la mayor parte de compañías estarán sujetas al Reglamento como responsables del despliegue, por ser usuarios de sistemas de IA.
3. .Aplicación extraterritorial: el EU AI Act no solo es de aplicación a las organizaciones establecidas en la UE; también es aplicable, en ciertos casos, a organizaciones establecidas fuera de la UE.
- Obligaciones aplicables a las organizaciones que hagan uso de sistemas de IA de alto riesgo: es interesante señalar que aquellas organizaciones que hagan uso de sistemas de IA desarrollados por terceros (denominados responsables del despliegue) considerados de alto riesgo tendrán que cumplir con requisitos específicos
- Otras obligaciones aplicables a las organizaciones que hagan uso de sistemas de IA: además de las obligaciones relativas a sistemas de IA de alto riesgo, las organizaciones también tendrá que cumplir con otras obligaciones.
- Cuestiones específicas sobre IA generativa: los modelos de IA generativa suelen ser modelos de IA de uso general, es decir, modelos que permiten adaptarse e integrarse en diferentes sistemas de IA para realizar gran variedad de tareas, incluyendo la generación de contenido de audio, de vídeo, de voz, traducciones, resúmenes de documentos y otros contenidos de una naturaleza muy variada. Además, estos modelos de IA de uso general pueden estar sujetos a obligaciones adicionales si se considera que implican un riesgo sistémico. Las obligaciones en relación con el uso de estos modelos de IA de uso general recaen fundamentalmente en los proveedores, incluyendo, por ejemplo, elaborar y mantener actualizada la documentación técnica del modelo, establecer directrices para cumplir con la normativa de derechos de autor (en particular con las excepciones de data mining) o poner a disposición de las personas un resumen "suficientemente detallado" del contenido del conjunto de datos de entrenamiento. No obstante, como ya se ha indicado, sí que existe la obligación para los responsables del despliegue de sistemas de IA generativa que generen o manipulen imágenes o contenidos de audio o vídeo que constituyan un deepfake de hacer público que dichos contenidos han sido generados o manipulados de manera artificial. La misma obligación resulta aplicable cuando el sistema de IA genere o manipule texto que sea publicado con el fin de informar al público sobre asuntos de interés público.
