El Reglamento de Inteligencia Artificial y la RGPD: novedades, obligaciones y sanciones

Es la primera regulación del mundo de la IA con carácter general, y las empresas deben empezar a prepararse para su cumplimiento.

Finalmente se alcanzó el objetivo, el Consejo y el Parlamento de la UE cerraron un acuerdo para dotarse de una ley integral que regule los efectos de la inteligencia artificial “en la medida que esta tenga la capacidad de dañar a la sociedad”. La celebración del Día Europeo Protección de Datos, representa una oportunidad ideal para evaluar su impacto en otra reglamentación europea, que trasladó el enfoque europeo de la regulación tecnológica a la escena mundial.

El anuncio del acuerdo para el Reglamento de Inteligencia Artificial se producía el pasado 9 de diciembre durante la presidencia española, calificado de histórico. La publicación de un comunicado del Consejo de la UE daba fe del avance definitivo en este intento de armonización que supone “la primera norma del mundo para la inteligencia artificial”.

Entre otros objetivos, el proyecto de reglamento “pretende garantizar que los sistemas de IA comercializados en el mercado europeo y utilizados en la UE sean seguros y respeten los derechos fundamentales y los valores de la UE”. Y entre estos derechos uno de los más considerados es el Reglamento de Protección de Datos (RGPD), con el que debe converger.

De este modo, el derecho a la protección de datos se ubica en este reglamento que afecta tanto a los sistemas IA públicos como privados, en equivalencia con otros derechos fundamentales. Algunos de estos son el de la igualdad, la no discriminación, la libertad de expresión o a la dignidad humana.

 

Claves del reglamento

El texto aprobado el pasado noviembre implica algunas novedades con respecto a otros documentos de referencia en el proceso. Es el caso de la Orientación general del Consejo de 6/12/2022 o la propia propuesta de la Comisión Europea de 14/4 /2021.

Desde el propio Consejo Europeo se destacan cuatro novedades clave a los documentos precedentes:

  • Normas sobre modelos de IA de uso general de gran impacto que pueden causar un riesgo sistémico en el futuro, así como sobre los sistemas de IA de alto riesgo, como más adelante veremos.
  • Un sistema revisado de gobernanza con algunas competencias de ejecución a escala de la UE. Se trata de medidas de impacto en el modelo empresarial, por la creación de organismos de supervisión y el establecimiento de un régimen sancionador.
  • Ampliación de la lista de prohibiciones, pero con la posibilidad de utilizar la identificación biométrica remota por parte de las autoridades policiales en espacios públicos, con sujeción a salvaguardias.
  • Una mejor protección de los derechos mediante la obligación de que los implementadores de sistemas de IA de alto riesgo, lleven a cabo una evaluación del impacto en los derechos fundamentales antes de ponerlo en marcha.

 

Clasificación de sistema IA y usos prohibidos

De este modo, el reglamento introduce una clasificación de los sistemas de IA bajo el principio de “a mayor riesgo, normas más estrictas”. Así se habla de:

  • Sistemas IA de riesgo limitado. Sujetos a obligaciones de transparencia leves. Es el caso de identificar el contenido generado por IA, para que los usuarios conozcan su naturaleza antes de utilizarlo para cualquier fin.
  • Sistemas IA de riesgo alto. Donde se diferencia entre una gran variedad para exigir a sus implantadores en un mayor o menor grado, una evaluación del impacto sobre los derechos fundamentales, incluida la protección de datos.

Y aquí es importante señalar que el acuerdo provisional prohíbe explícitamente usos relacionados con la IA como:

  • El rastreo indiscriminado de imágenes faciales sacadas de internet o de circuitos cerrados de televisión.
  • El reconocimiento de emociones en los lugares de trabajo y en las instituciones de enseñanza.
  • La puntuación ciudadana.
  • La categorización biométrica para deducir datos sensibles, como la orientación sexual o las creencias religiosas.

Prohibiciones que se suman a otras, como la manipulación cognitiva conductual o algunos casos de vigilancia policial predictiva de personas.

En cuanto a las excepciones del reglamento, “no se aplica a ámbitos fuera del ámbito de aplicación del Derecho de la UE”. Tampoco comprenden las competencias de los Estados miembros en seguridad nacional, ni a los sistemas utilizados con fines militares, de defensa o de investigación e innovación.

 

Tres organismos con impacto en la gobernanza

La Unión Europea se provee de nuevos organismos para garantizar el cumplimiento de este nuevo entorno normativo por parte de las organizaciones y empresas. Con este fin, se crea la Oficina de IA,  el Comité de IA y el Foro consultivo.

  • La Oficina de IA en la Comisión: compuesta por un panel de expertos, es la encargada de “supervisar estos modelos de IA más avanzados, de contribuir a fomentar las normas y las prácticas de ensayo y de garantizar el cumplimiento de las normas comunes en todos los Estados miembros”.
  • El Comité de IA: compuesto por representantes de los Estados miembros, seguirá siendo una plataforma de coordinación y un órgano consultivo de la Comisión. Tiene como objetivo “otorgar un papel importante a los Estados miembros en la aplicación del Reglamento, en particular en lo que se refiere al diseño de códigos de buenas prácticas para modelos fundacionales”.
  • Foro consultivo: compuesto por representantes de las interesadas “para aportar conocimientos técnicos al Comité de IA”. Estará formado por miembros de la industria, la pyme, las empresas emergentes, la sociedad civil y el mundo académico.

 

Multas por incumplimiento

Aunque aún faltan años para su entrada en vigor y más para su obligatoriedad, fijada por el momento para dos años después de su aprobación, esta norma incluye sanciones.

El importe de las multas por incumplimiento del reglamento se fija “sobre un porcentaje del volumen de negocio anual global de la empresa infractora en el ejercicio financiero anterior o un importe predeterminado, si este fuera superior”.

Estas multas podrían elevarse a 35 millones de euros, es decir, el 7 % por las infracciones de aplicaciones de IA prohibidas, 15 millones de euros o el 3 % por el incumplimiento de las obligaciones del Reglamento de Inteligencia Artificial y 7,5 millones de euros o el 1,5 % por la presentación de información inexacta.

Por fortuna para las pymes, el acuerdo provisional establece límites proporcionados para las multas administrativas que pueden imponerse a la pequeña y mediana empresa y a las empresas emergentes.

 

 

Contenidos relacionados

La protección de datos, una cuestión de deberes y derechos

De herramientas IA para el día a día del profesional a ‘influencers’ virtuales

Cómo aprovechar ChatGPT para la estrategia de redes sociales de tu despacho

 

 

¡Únete a la comunidad de personas que ya están definiendo su futuro!