El Reglamento IA: Desafío y adaptación para las empresas

La propuesta de reglamento europeo, presentada el 21 de abril de 2021, para regular los sistemas de Inteligencia Artificial comercializados en el mercado europeo va tomando forma.

El pasado 14 de junio se aprobaron las enmiendas al proyecto de Reglamento por el Parlamento Europeo.

La IA, en general, ha trastornado nuestra vida cotidiana. Y en particular, la IA generadora de contenidos ha estado en el punto de mira desde la llegada de los ChatGPT, Midjourney y compañía… que, sin duda, ha acelerado los debates sobre la propuesta de Reglamento.

Entre otras cosas, al modificar la propuesta de la Comisión Europea, los diputados europeos pretenden que los sistemas de Inteligencia Artificial permanezcan bajo el control de un ser humano, además de garantizar su seguridad, transparencia y trazabilidad. Se quiere conseguir que estos sistemas respeten el medio ambiente y evitar que sean discriminatorios.

• Para alcanzar y lograr estos objetivos, será necesaria una definición uniforme de la Inteligencia Artificial que garantice su conformidad con el principio de neutralidad tecnológica, que figura en numerosos textos europeos e internacionales.

De esta manera, las normas aplicables a los sistemas de IA deberían seguir siendo aplicables a pesar de la evolución tecnológica con el paso de los años. Tras las últimas enmiendas del 28 de junio de 2023, un "sistema de inteligencia artificial" debe definirse como "un sistema automatizado que está diseñado para funcionar con diferentes niveles de autonomía y que puede, con fines explícitos o implícitos, generar resultados tales como predicciones, recomendaciones o decisiones que influyen en entornos físicos o virtuales;" (art. 3.1).

La razón de ser del futuro Reglamento IA es el de reforzar la seguridad jurídica en torno a estas nuevas tecnologías en función del riesgo que plantean, para ello, se basa en un planteamiento de cuatro niveles de riesgo para proveedores y usuarios (riesgo mínimo o nulo, riesgo limitado, riesgo elevado y riesgo inaceptable).

Los riesgos inaceptables para la seguridad personal están estrictamente prohibidos, en los que se incluirían sistemas que discriminan realmente a las personas, los que desarrollan técnicas subliminales o deliberadamente manipuladoras, los que explotan las vulnerabilidades de las personas o los que se utilizan para la calificación social con fines estadísticos en cuanto a comportamiento social, o según su estatus socioeconómico, etc...

Los eurodiputados modificaron la lista inicial introduciendo sistemas intrusivos y discriminatorios como los sistemas biométricos remotos en tiempo real; sistemas policiales predictivos basados en la elaboración de perfiles o en comportamientos delictivos previos (algo similar a lo que aparece en la película “Minority Report”); recuperación indiscriminada de datos biométricos de redes sociales o de protección por vídeo con el fin de crear bases de datos para el reconocimiento facial, etc….

Del mismo modo, han ampliado la lista de sistemas de alto riesgo para incluir ataques contra la salud, seguridad, derechos fundamentales y medio ambiente. Lo mismo aplica a los sistemas de IA utilizados para influir en los votantes durante las campañas electorales.

En cuanto a modelos como ChatGPT, como ya hemos hablado en anteriores artículos, se plantean nuevas cuestiones sobre su cumplimiento en materia de protección de datos personales, derechos de propiedad intelectual y la relación entre el ser humano y el conocimiento.

Los Eurodiputados han propuesto la creación de una oficina europea de IA encargada de supervisar las actividades de estos modelos de inteligencia artificial, imponiendo las obligaciones de diligencia debidas adicionales a las aplicables a todas las IA de alto riesgo. Estas obligaciones se inspiran en las obligaciones de identificar y mitigar los riesgos para la salud, la seguridad, los derechos fundamentales, el medio ambiente, la democracia y el Estado de Derecho, que se imponen a las grandes plataformas en virtud de los artículos 34 y 35 de la Ley de Servicios Digitales (DSA).

• En nuestro país, España se ha aprobado la creación de la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), la cual tendrá su sede en Coruña.

Estos modelos tendrán que cumplir también con los requisitos de transparencia, como el deber de informar de que el contenido ha sido generado por un sistema de Inteligencia Artificial.

Cabe señalar que se está trabajando paralelamente en un convenio marco sobre Inteligencia Artificial, centrado en los derechos humanos, la democracia y el Estado de Derecho, mientras que la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI) está elaborando un texto relativo a los contratos que utilizan IA. Cada proyecto de las organizaciones internacionales tiene un alcance distinto, pero en última instancia, se complementan entre sí para un objetivo común.

El “hype” generado por la Inteligencia Artificial (IA) estos últimos meses y la proliferación masiva de herramientas como ChatGPT y otras han acelerado el proceso de regulación de la IA y son muchos expertos del sector tecnológico los que han solicitado un “tiempo muerto” en el desarrollo de la IA hasta que se establezca un marco normativo confiable.

En Europa, nuestros legisladores parecen estar dando los últimos pasos para publicar el esperado Reglamento que regulará la IA.

• Y… ¿Qué ocurrirá una vez que se publique el Reglamento?

Tal y como ha ocurrido con el RGPD, la Directiva Whistleblowing, entre otras, dará comienzo una carrera acelerada para aquellos sujetos obligados (empresas y administraciones públicas) en la que se verán envueltas en un desafío de adaptación a una regulación estricta que contiene numerosos requisitos, que afecta a múltiples procesos y que establece un régimen sancionador significativo.

Aquellas empresas que han pasado por esto con otras normativas, se preguntan quién debe a nivel interno liderar o hacer frente a este desafío.

El borrador del Reglamento no contempla un nuevo cargo específico ni un estatuto profesional concreto, como sí se ha establecido en el RGPD con la figura del Delegado de Protección de Datos (DPO). Sin embargo, el impacto de la norma requerirá de un gobierno interno que defina los roles y competencias para implementar el cumplimiento de esta regulación y supervisar su aplicación a fin de mitigar riesgos.

Por ello, las empresas con recursos “ilimitados”, optarán por la creación de un departamento especializado asignando las tareas, funciones y responsabilidades a esa área.

En cambio, la inmensa mayoría, deberán contar con la ayuda de una asesoría jurídico-tecnológica, con conocimientos y experiencia tanto de consultoría tecnológica como jurídica, con el apoyo del DPO en su caso, o del Compliance Officer, en su caso.

Entre otros motivos, estos perfiles deberán liderar esta adaptación debido a que esta labor es compatible con la que ya realizan y disponen y conocen los modelos de cumplimiento abarcando normativas de todo tipo.

Por otro lado, tienen experiencia en la gestión de riesgos, fundamental para implementar metodologías de análisis de riesgos para evaluar adecuadamente los sistemas de IA y sus impactos.

Así mismo, la faceta jurídica de este perfil, dispone del conocimiento legal básico necesario para los posibles impactos de estos sistemas en otras normativas distintas a la protección de datos.

En definitiva, el modus operandi para aterrizar las obligaciones del nuevo Reglamento en las empresas es prácticamente idéntico al que se ha tenido que llevar a cabo para adaptarlas al RGPD o para una implementación de un sistema de gestión de Compliance.

Guillermo Caro

Abogado de MONLEX

gcaro@monlexabogados.es