Introducción al Reglamento Europeo de Inteligencia Artificial
A lo largo de estos últimos años hemos presenciado lo que se conoce como la Cuarta Revolución tecnológica. El uso de los sistemas de inteligencia artificial (IA) en las empresas está evolucionando a un ritmo exponencial y ello nos obliga a analizar las implicaciones prácticas que pueden derivarse de su uso.
El uso de Inteligencia Artificial puede tener un impacto positivo significativo en una empresa en diversos aspectos. Algunos de estos ejemplos son:
- Automatización de tareas: La IA puede automatizar tareas repetitivas y rutinarias, lo que permite a los empleados centrarse en actividades más estratégicas y creativas.
- Mejora de la toma de decisiones: La IA puede analizar grandes volúmenes de datos y generar información y conocimientos útiles para respaldar la toma de decisiones empresariales. Los algoritmos de IA pueden identificar patrones, tendencias y correlaciones en los datos que pueden ser difíciles de detectar para los seres humanos.
- Personalización y experiencia del cliente: La IA puede permitir una mayor personalización en la interacción con los clientes. Mediante el análisis de datos de los clientes, la IA puede comprender mejor sus preferencias y necesidades, y así ofrecer productos o servicios personalizados. Esto puede mejorar la experiencia del cliente y fortalecer las relaciones con ellos.
- Optimización de procesos y eficiencia operativa: La IA puede analizar datos en tiempo real y proporcionar información valiosa para optimizar los procesos empresariales. Esto puede llevar a una mejor gestión de inventario, una planificación más eficiente de la cadena de suministro, una optimización de la programación y una reducción de costos operativos.
- Mejora de la seguridad y detección de fraudes: La IA puede ayudar a detectar patrones sospechosos o anomalías en los datos, lo que puede ser útil para la detección temprana de fraudes o intrusiones de seguridad en la empresa. Los sistemas de IA pueden monitorear continuamente las actividades y alertar sobre posibles amenazas, lo que permite una respuesta rápida y la implementación de medidas preventivas.
- Innovación y desarrollo de productos: La IA puede impulsar la innovación en una empresa al permitir la exploración de nuevas ideas y enfoques. Los algoritmos de IA pueden analizar datos de mercado, realizar investigaciones y generar ideas para el desarrollo de nuevos productos o servicios.
En este contexto, se ha aprobado en Europa el Reglamento, el cual tiene como objetivo garantizar la seguridad y la protección de los derechos fundamentales, estableciendo limitaciones en su uso a través de la imposición de obligaciones específicas para los sistemas de IA.
¿A quién se aplicará este Reglamento?
El Reglamento será aplicable tanto a los proveedores que introduzcan en el mercado o pongan en servicios sistemas de IA en la Unión Europea, con independencia de si dichos proveedores están establecidos en la Unión Europeo o en un tercer país; a los usuarios de sistemas IA que se encuentren en la Unión Europea y a los proveedores y usuarios de sistemas IA que se encuentren en un tercer país, cuando la información de salida generada por el sistema se utilice en la Unión.
¿Qué riesgos jurídicos pueden producirse al utilizarse sistemas de IA?
- Incumplimiento de la normativa de protección de datos.
- Incumplimiento de la normativa de propiedad intelectual e industrial.
- Responsabilidad civil derivados de daños y perjuicios causados a terceros.
- Incumplimientos contractuales.
¿Qué técnicas están prohibidas?
En primer lugar, existen prácticas prohibidas sin excepciones como son aquellas que alteren el comportamiento, que exploten vulnerabilidades (como es la edad, discapacidad o situaciones económicas), y las que evalúan a la sociedad en función de sus características profesionales cuando provoquen trato perjudicial.
Por otro lado, se enumeran ciertas prácticas que están prohibidas, pero con excepciones como en los supuestos de: la evaluación de riesgo de comisión de un delito, la inferencia de emociones en lugares de trabajo y centros educativos, la categorización y la identificación biométricas remota en espacios públicos. Los supuestos permitidos en este último caso son cuando se trate de la búsqueda selectiva de víctimas de determinados delitos, para la prevención de amenazas para las víctimas de delitos de amenazas o para la localización de una persona sospechosa de haber cometido un delito.
Es por ello que el primer punto que debería comprobarse dentro de una organización empresarial es que no se estén desarrollando uno de los supuestos incluidos en el listado de usos prohibidos.
¿Qué medidas deberían implementarse?
El propio Reglamento Europeo de Inteligencia Artificial no establece obligaciones concretas que deben implementarse por cada empresa, por lo que deberá ser cada organización quien establezca sus propios mecanismos que permitan la supervisión del cumplimiento de lo previsto en las nuevas legislaciones. El sistema de gestión de riesgos consistirá en un proceso continuo que se llevará a cabo durante todo el ciclo de vida de un sistema de IA, el cual requerirá actualizaciones sistemáticas periódicas. Constará de las siguientes etapas:
- Realizar un inventario de las IA que se estén usando.
- La identificación y el análisis de los riesgos conocidos y previsibles vinculados a cada sistema de IA de alto riesgo.
- La estimación y la evaluación de los riesgos que podrían surgir cuando el sistema de IA sea de alto riesgo en cuestión se utilice conforme a su finalidad prevista y cuando se le dé un uso indebido razonablemente previsible.
- La evaluación de otros riesgos que podrían surgir a partir del análisis de los datos recogidos con el sistema de seguimiento posterior a la comercialización al que se refiere el artículo 61.
- La adopción de medidas oportunas de gestión de riesgos con arreglo a lo dispuesto en los apartados siguientes.
En este sentido, es recomendable la realización de Análisis de riesgos con el fin de identificar aquellos proyectos en los que están previsto utilizar sistemas de IA y de identificar los posibles riesgos derivados de otros sistemas.
Igualmente, deberá llevarse a cabo Evaluaciones de Impacto, cuando proceda, el cual deberá contener aspectos como:
- Descripción de los procesos en los que se utilizará el sistema de alto riesgo y la finalidad prevista.
- Periodo de tiempo durante el que se prevé utilizar el sistema y frecuencia de uso prevista.
- Categorías de personas físicas y grupos que puedan verse afectados por su utilización.
- Riesgos específicos que puedan afectar a personas físicas.
- Descripción de las medidas de supervisión humana que se aplicarán.
- Medidas a aplicar en el caso de que los riesgos de materialicen: acuerdos de gobernanza y sistemas de reclamación.
Una vez realizada la evaluación de impacto, el responsable del despliegue notificará sus resultados a la autoridad de vigilancia del mercado, incluyendo dicha notificación la cumplimentación y presentación del modelo de cuestionario elaborado por la Oficina de IA
También el Reglamento hace mención a otras cuestiones relacionadas con estos altos riesgos como lo son los datos y gobernanza de datos, registros, transparencia y comunicación de información a los usuarios, etc. Es por ello, que, de la misma forma, será necesario elaborar políticas destinadas a regular el uso de la IA a nivel interno empresarial, la supervisión humana de los resultados, etc.
¿Cuándo entrarán en vigor las disposiciones de esta norma?
Como norma general, será de aplicación dentro de dos años. No obstante, las disposiciones irán entrando en vigor por etapas:
- En los próximos seis meses serán de aplicación las prohibiciones, y los agentes públicos y privados tendrán que evaluar rápidamente el alcance de los riesgos que plantean los sistemas que utilizan.
- Dentro de un año, será el turno de las inteligencias artificiales generativas, que tendrán que cumplir unos estándares estrictos de transparencia, ciberseguridad y divulgación de la documentación técnica. Estas reglas se aplicarán antes de lanzar productos al mercado para las IA de alto impacto, mientras que para los modelos más sencillos estas se activarán en el momento de la comercialización.
- Dentro de dos años, será plenamente aplicable y se impondrán sanciones a quienes no la cumplan, las cuales podrán oscilar entre el 1.5% de la facturación global o 7.5 millones de euros, hasta el 7% o 35 millones de euros.
Es crucial que las empresas se adapten proactivamente a estos nuevos requisitos regulatorios y de la misma forma, será esencial no solo identificar aquellos tratamientos que utilicen sistemas de IA, sino identificar aquellos proyectos que estén afectados por el nuevo Reglamento con el fin de evitar posibles sanciones.
Nekane Pérez