UE IA ACT: la primera regulació horitzontal sobre inteligència artificial
ARNAU SALAT│28/01/2023
Europa vol prendre la davantera en la regulació de la intel·ligència artificial. Mentre que la majoria de les potències mundials com el Japó o els Estats Units encara no compten amb una regulació específica sobre intel·ligència artificial, sinó amb una sèrie d’iniciatives i marcs fragmentats que només contemplen l’ús de la IA en alguns sectors i indústries, Europa busca diferenciar-se a través d’una regulació integral de la IA. Com ja es va intentar amb el GDPR de 2018, Europa no sols vol establir les bases sobre com es regularà la força motriu de la dècada vinent en el seu territori, sinó també influir en els estats democràtics de tot el món perquè aquesta futura Llei es converteixi en un estàndard global.
La Llei d’Intel·ligència Artificial de la UE, també coneguda com a Reglament Europeu sobre Intel·ligència Artificial, està cridada a ser un conjunt de normes i directrius que regeixin el desenvolupament i l’ús de la intel·ligència artificial a la Unió Europea. La Llei pretén oferir el primer marc jurídic horitzontal mundial per al desenvolupament i ús ètic i segur de la IA, al mateix temps que fomenta la innovació i la competitivitat dins de la UE. No obstant això, poden la innovació i la regulació coexistir i prosperar juntes?
Si bé encara no podem pronunciar-nos sobre el text definitiu, en la mesura en què la proposta de la Comissió Europea continua debatent-se en el Consell i el Parlament de la UE, l’estructura que adoptarà sembla estar ben establerta. Aprofundint en aquesta estructura, un hauria de poder començar a tenir en compte el que suposaria per a les empreses i els desenvolupadors el pròxim reglament.
El reglament (que a diferència de les directives serà d’aplicació directa sobre els estats de la unió, alguna cosa que mai està de més recordar especialment per a aquells lectors que no estiguin familiaritzats amb el dret europeu) s’estructurarà sobre una classificació de grau de risc causat per l’ús de la IA. Com a conseqüència, una de les principals disposicions de la Llei de IA de la UE serà el requisit que els sistemes de IA d’alt risc se sotmetin a una avaluació de riscos abans que puguin comercialitzar-se o utilitzar-se en públic.
Els sistemes de IA d’alt risc es defineixen com aquells que poden tenir repercussions significatives en la seguretat, els mitjans de subsistència o els drets de les persones, o en el medi ambient. El procés d’avaluació de riscos implica la identificació de riscos potencials i l’aplicació de mesures per a mitigar-los.
Sense anar molt lluny, a tots ens preocupa que la IA no sigui precisament un conte de fades. No hi ha dubte que la IA ens brindarà una gran quantitat d’oportunitats que abans ni tan sols podíem imaginar, però també pot utilitzar-se per a acabar amb la comprensió actual del món, que és precisament el que la UE vol evitar. Però, de nou, com es veurien afectades les empreses?
Si bé és cert que alguns desenvolupadors de programari de IA d’alt risc, com per exemple els que puguin desenvolupar sistemes massius de reconeixement facial, podrien decidir traslladar-se a la Xina o a altres règims no democràtics a la recerca de millors oportunitats, la majoria dels usos de la IA quedaran desregulats. Cal tenir en compte que l’avaluació de la regulació es farà cas per cas, ja que el mateix producte o peça de programari podria estar subjecte a diferents requisits o disposicions en funció de l’ús al qual es destini.
Regular l’ús de la Intel·ligència Artificial és una tasca polifacètica, ja que implica una àmplia gamma d’actors dins de la cadena de valor de la IA, inclosos, entre altres, els desenvolupadors de programari, els proveïdors de dades de formació i les entitats que personalitzen els models de IA, juntament amb els quals en última instància ofereixen serveis als usuaris finals. La determinació de quins actors entren en l’àmbit de la regulació dependrà dels perills potencials que plantegi l’ús de la IA en cada marc específic de la cadena.
Per exemple, al llarg de la cadena de valor, mentre una empresa només hagi escrit un codi per a la IA, que encara hagi de ser portat a un altre lloc per a ser entrenat amb dades per a després convertir-se en alguna cosa que pugui utilitzar-se en el mercat, aquest primer tractament de la IA estarà lliure de regulació, per la qual cosa encara no està creant un risc.
Mentre que, prenent el mateix exemple, una vegada que aquest codi inicial és alimentat amb dades per una altra persona, i després portat al mercat buscant un propòsit particular mentre produeix un risc que figura en la regulació, l’entitat que ha alimentat el codi introduint un canvi significatiu en aquesta màquina inicial, s’enfrontaria, efectivament, a la regulació.
Havent distingit entre dues eventuals situacions diferents de la cadena de valor, a més, és important assenyalar que els qui juguin amb el que podria assentar-se com IA industrial escaparan a la regulació, sempre que no s’estigui afectant els interessos de particulars ni jugant amb dades personals de la gent. Això no ho contemplaria la Llei de IA de la UE. No perquè la IA industrial no pogués importar per a la seguretat, sinó per la raó que en aquest cas el legislador pretén centrar-se principalment en la IA orientada al consumidor, ja que ja existeix un règim regulador per a la producció industrial.
A part de les previsions essencials esmentades, que el nostre equip analitzarà en detall quan es publiqui el text definitiu, la Llei de IA de la UE també establirà una sèrie de principis per al desenvolupament i l’ús de la IA, com la transparència, l’equitat i la no discriminació. Aquests principis pretenen garantir que la IA es desenvolupi i utilitzi respectant els drets i valors de les persones i la societat.
I el compliment, com es garantiran totes aquestes disposicions?
La fórmula de compliment triada per la Comissió es basa en: instrument legislatiu horitzontal de la UE que segueixi un plantejament proporcionat basat en el risc + codis de conducta per als sistemes de IA que no siguin d’alt risc.
Què significa això? Un marc regulador només per als sistemes de IA d’alt risc, amb la possibilitat que tots els proveïdors de sistemes de IA que no siguin d’alt risc segueixin un codi de conducta. Les empreses que introduïssin codis de conducta per a altres sistemes de IA ho farien voluntàriament.
Els requisits es referiran a dades, documentació i traçabilitat, subministrament d’informació i transparència, supervisió humana i solidesa i precisió, entre altres, i seran obligatoris per als sistemes de IA d’alt risc.
Per a facilitar el compliment, la llei crearà una base de dades de sistemes de IA d’alt risc en tota la UE, que serà gestionada per la Comissió i a la qual els proveïdors de sistemes de IA proporcionaran dades.
Perquè un sistema d’alt risc pugui comercialitzar-se, una vegada desenvolupat haurà de sotmetre’s a l’avaluació de conformitat i complir els requisits de la IA. Una vegada complerts aquests requisits, la Comissió procedirà a reiterar el sistema de IA autònom en la base de dades de la UE. Després, per a posar fi a aquests requisits ex-ante, els desenvolupadors hauran de signar una declaració de conformitat i el seu sistema haurà de portar una marca (ce), la qual cosa suposarà l’entrada automàtica en el mercat.
Passant a parlar del control a posteriori, les autoritats de vigilància del mercat, facultades en virtut del Reglament (UE) 2019/1020 sobre vigilància del mercat, seran responsables de supervisar el compliment i investigar els incompliments de les obligacions i requisits dels sistemes de IA ja comercialitzats. Les autoritats de vigilància del mercat estaran facultades per a intervenir en cas que els sistemes de IA generin riscos inesperats o incompliments de les disposicions del reglament. A més, quan l’autoritat consideri que l’incompliment pot no limitar-se al seu territori notarial, informarà la Comissió i als altres Estats membres. Així doncs, si vostè és proveïdor de sistemes ha de tenir en compte que un pot passar desapercebut una vegada, però probablement no sempre i en qualsevol lloc.
Però, a què es refereix el reglament quan parla d’autoritat de mercat? La proposta no preveu la creació d’organismes o autoritats addicionals a nivell dels Estats membres, ja que aquesta tasca la duran a terme les autoritats sectorials existents. Aquestes autoritats sectorials supervisaran el compliment per part de les operacions de les obligacions que els imposa el Reglament. A més, el Supervisor Europeu de Protecció de Dades també tindrà potestat per a imposar multes.
Quines conseqüències tindria per a la seva empresa l'incompliment de la normativa?
La proposta estableix que els Estats membres hauran de garantir l’aplicació efectiva de les disposicions i establir sancions dissuasives, d’acord amb els marges i criteris fixats en el reglament.
Tenint en compte les normes del reglament (article 71-12) es podrien imposar multes administratives de fins a 30 milions d’euros, o en cas de ser una empresa incomplidora dels articles 5 i 10, multes de fins al 6% del volum de negocis total anual a nivell mundial de l’exercici anterior.
En resum, si bé sembla indubtable que la Llei de IA de la UE serà un pas important per a garantir el desenvolupament i ús ètic i segur de l’artificial amb la finalitat de protegir els drets i valors de les persones i la societat, el seu impacte en la innovació i la competitivitat està encara per determinar.
Sigui com sigui, el que és clar és que les empreses hauran de ser proactives a l’hora de complir la normativa per a evitar possibles sancions o l’exclusió del mercat. Això només serà possible comprenent l’abast real d’aquesta normativa des del principi de la posada en marxa de qualsevol projecte empresarial o llançament d’un futur producte.
UE IA ACT: el primer reglament horizontal sobre inteligència artificial
The compliance formula chosen by the commission is based on: horizontal EU legislative instrument following a proportionate risk-based approach + codes of conduct for non-high-risk AI systems.
What does that mean? A regulatory framework for high-risk AI systems only, with the possibility for all providers of non-high-risk AI systems to follow a code of conduct. Companies that introduced codes of conduct for other AI systems would do so voluntarily.
The requirements will concern data, documentation and traceability, provision of information and transparency, human oversight and robustness and accuracy among others and would be mandatory for high-risk AI systems.
So as to facilitate compliance, the act will establish an EU-wide database of high-risk AI systems, which will be operated by the Commission and provided with data by the AI system providers.
In order a high risk system could be placed in the market, once it is developed needs to undergo the conformity assessment and comply with the AI requirements. At the time those requirements were accomplished, the commission will proceed to reiterate the stand-alone AI system in the EU database. After that, to put an end to those ex-ante requirements, the developers will need to sign a declaration of conformity and its system would have to bear a (ce) marking, which would lead to the automatic entrance to the market.
Delving straight to the ex-post control, Market surveillance authorities, empowered under the regulation (EU) 2019/1020 on market surveillance, will be responsible for monitoring compliance and investigating incompliances with the obligations and requirements for AI systems already placed in the market. The market surveillance authorities will have the power to intervene in case AI systems generate unexpected risks or incompliances with the provisions of the regulation. In addition, when the authority considers that non-compliance may not be restricted to its notarial territory, shall inform the Commission and other member states. Thus, if you are a system provider you ought to consider that one can go unnoticed once, but probably not always and anywhere.
But what does the regulation refer to when it talks about market authority? The proposal does not foresee the creation of additional bodies or authorities at the member state level, as this task will be carried out by existing sectorial authorities. These sectorial authorities will monitor compliance of operations with their relevant obligations under the regulation. Additionally, the European Data Protection supervisor, will also have the power to impose fines.
ARNAU SALAT│28/01/2023
Europa vol prendre la davantera en la regulació de la intel·ligència artificial. Mentre que la majoria de les potències mundials com el Japó o els Estats Units encara no compten amb una regulació específica sobre intel·ligència artificial, sinó amb una sèrie d’iniciatives i marcs fragmentats que només contemplen l’ús de la IA en alguns sectors i indústries, Europa busca diferenciar-se a través d’una regulació integral de la IA. Com ja es va intentar amb el GDPR de 2018, Europa no sols vol establir les bases sobre com es regularà la força motriu de la dècada vinent en el seu territori, sinó també influir en els estats democràtics de tot el món perquè aquesta futura Llei es converteixi en un estàndard global.
La Llei d’Intel·ligència Artificial de la UE, també coneguda com a Reglament Europeu sobre Intel·ligència Artificial, està cridada a ser un conjunt de normes i directrius que regeixin el desenvolupament i l’ús de la intel·ligència artificial a la Unió Europea. La Llei pretén oferir el primer marc jurídic horitzontal mundial per al desenvolupament i ús ètic i segur de la IA, al mateix temps que fomenta la innovació i la competitivitat dins de la UE. No obstant això, poden la innovació i la regulació coexistir i prosperar juntes?
Si bé encara no podem pronunciar-nos sobre el text definitiu, en la mesura en què la proposta de la Comissió Europea continua debatent-se en el Consell i el Parlament de la UE, l’estructura que adoptarà sembla estar ben establerta. Aprofundint en aquesta estructura, un hauria de poder començar a tenir en compte el que suposaria per a les empreses i els desenvolupadors el pròxim reglament.
El reglament (que a diferència de les directives serà d’aplicació directa sobre els estats de la unió, alguna cosa que mai està de més recordar especialment per a aquells lectors que no estiguin familiaritzats amb el dret europeu) s’estructurarà sobre una classificació de grau de risc causat per l’ús de la IA. Com a conseqüència, una de les principals disposicions de la Llei de IA de la UE serà el requisit que els sistemes de IA d’alt risc se sotmetin a una avaluació de riscos abans que puguin comercialitzar-se o utilitzar-se en públic.
Els sistemes de IA d’alt risc es defineixen com aquells que poden tenir repercussions significatives en la seguretat, els mitjans de subsistència o els drets de les persones, o en el medi ambient. El procés d’avaluació de riscos implica la identificació de riscos potencials i l’aplicació de mesures per a mitigar-los.
Sense anar molt lluny, a tots ens preocupa que la IA no sigui precisament un conte de fades. No hi ha dubte que la IA ens brindarà una gran quantitat d’oportunitats que abans ni tan sols podíem imaginar, però també pot utilitzar-se per a acabar amb la comprensió actual del món, que és precisament el que la UE vol evitar. Però, de nou, com es veurien afectades les empreses?
Si bé és cert que alguns desenvolupadors de programari de IA d’alt risc, com per exemple els que puguin desenvolupar sistemes massius de reconeixement facial, podrien decidir traslladar-se a la Xina o a altres règims no democràtics a la recerca de millors oportunitats, la majoria dels usos de la IA quedaran desregulats. Cal tenir en compte que l’avaluació de la regulació es farà cas per cas, ja que el mateix producte o peça de programari podria estar subjecte a diferents requisits o disposicions en funció de l’ús al qual es destini.
Regular l’ús de la Intel·ligència Artificial és una tasca polifacètica, ja que implica una àmplia gamma d’actors dins de la cadena de valor de la IA, inclosos, entre altres, els desenvolupadors de programari, els proveïdors de dades de formació i les entitats que personalitzen els models de IA, juntament amb els quals en última instància ofereixen serveis als usuaris finals. La determinació de quins actors entren en l’àmbit de la regulació dependrà dels perills potencials que plantegi l’ús de la IA en cada marc específic de la cadena.
Per exemple, al llarg de la cadena de valor, mentre una empresa només hagi escrit un codi per a la IA, que encara hagi de ser portat a un altre lloc per a ser entrenat amb dades per a després convertir-se en alguna cosa que pugui utilitzar-se en el mercat, aquest primer tractament de la IA estarà lliure de regulació, per la qual cosa encara no està creant un risc.
Mentre que, prenent el mateix exemple, una vegada que aquest codi inicial és alimentat amb dades per una altra persona, i després portat al mercat buscant un propòsit particular mentre produeix un risc que figura en la regulació, l’entitat que ha alimentat el codi introduint un canvi significatiu en aquesta màquina inicial, s’enfrontaria, efectivament, a la regulació.
Havent distingit entre dues eventuals situacions diferents de la cadena de valor, a més, és important assenyalar que els qui juguin amb el que podria assentar-se com IA industrial escaparan a la regulació, sempre que no s’estigui afectant els interessos de particulars ni jugant amb dades personals de la gent. Això no ho contemplaria la Llei de IA de la UE. No perquè la IA industrial no pogués importar per a la seguretat, sinó per la raó que en aquest cas el legislador pretén centrar-se principalment en la IA orientada al consumidor, ja que ja existeix un règim regulador per a la producció industrial.
A part de les previsions essencials esmentades, que el nostre equip analitzarà en detall quan es publiqui el text definitiu, la Llei de IA de la UE també establirà una sèrie de principis per al desenvolupament i l’ús de la IA, com la transparència, l’equitat i la no discriminació. Aquests principis pretenen garantir que la IA es desenvolupi i utilitzi respectant els drets i valors de les persones i la societat.
Com es garantiran totes aquestes disposicions?
La fórmula de compliment triada per la Comissió es basa en: instrument legislatiu horitzontal de la UE que segueixi un plantejament proporcionat basat en el risc + codis de conducta per als sistemes de IA que no siguin d’alt risc.
Què significa això? Un marc regulador només per als sistemes de IA d’alt risc, amb la possibilitat que tots els proveïdors de sistemes de IA que no siguin d’alt risc segueixin un codi de conducta. Les empreses que introduïssin codis de conducta per a altres sistemes de IA ho farien voluntàriament.
Els requisits es referiran a dades, documentació i traçabilitat, subministrament d’informació i transparència, supervisió humana i solidesa i precisió, entre altres, i seran obligatoris per als sistemes de IA d’alt risc.
Per a facilitar el compliment, la llei crearà una base de dades de sistemes de IA d’alt risc en tota la UE, que serà gestionada per la Comissió i a la qual els proveïdors de sistemes de IA proporcionaran dades.
Perquè un sistema d’alt risc pugui comercialitzar-se, una vegada desenvolupat haurà de sotmetre’s a l’avaluació de conformitat i complir els requisits de la IA. Una vegada complerts aquests requisits, la Comissió procedirà a reiterar el sistema de IA autònom en la base de dades de la UE. Després, per a posar fi a aquests requisits ex-ante, els desenvolupadors hauran de signar una declaració de conformitat i el seu sistema haurà de portar una marca (ce), la qual cosa suposarà l’entrada automàtica en el mercat.
Passant a parlar del control a posteriori, les autoritats de vigilància del mercat, facultades en virtut del Reglament (UE) 2019/1020 sobre vigilància del mercat, seran responsables de supervisar el compliment i investigar els incompliments de les obligacions i requisits dels sistemes de IA ja comercialitzats. Les autoritats de vigilància del mercat estaran facultades per a intervenir en cas que els sistemes de IA generin riscos inesperats o incompliments de les disposicions del reglament. A més, quan l’autoritat consideri que l’incompliment pot no limitar-se al seu territori notarial, informarà la Comissió i als altres Estats membres. Així doncs, si vostè és proveïdor de sistemes ha de tenir en compte que un pot passar desapercebut una vegada, però probablement no sempre i en qualsevol lloc.
Però, a què es refereix el reglament quan parla d’autoritat de mercat? La proposta no preveu la creació d’organismes o autoritats addicionals a nivell dels Estats membres, ja que aquesta tasca la duran a terme les autoritats sectorials existents. Aquestes autoritats sectorials supervisaran el compliment per part de les operacions de les obligacions que els imposa el Reglament. A més, el Supervisor Europeu de Protecció de Dades també tindrà potestat per a imposar multes.
Quines conseqüències tindria per a la seva empresa l'incompliment de la normativa?
La proposta estableix que els Estats membres hauran de garantir l’aplicació efectiva de les disposicions i establir sancions dissuasives, d’acord amb els marges i criteris fixats en el reglament.
Tenint en compte les normes del reglament (article 71-12) es podrien imposar multes administratives de fins a 30 milions d’euros, o en cas de ser una empresa incomplidora dels articles 5 i 10, multes de fins al 6% del volum de negocis total anual a nivell mundial de l’exercici anterior.
En resum, si bé sembla indubtable que la Llei de IA de la UE serà un pas important per a garantir el desenvolupament i ús ètic i segur de l’artificial amb la finalitat de protegir els drets i valors de les persones i la societat, el seu impacte en la innovació i la competitivitat està encara per determinar.
Sigui com sigui, el que és clar és que les empreses hauran de ser proactives a l’hora de complir la normativa per a evitar possibles sancions o l’exclusió del mercat. Això només serà possible comprenent l’abast real d’aquesta normativa des del principi de la posada en marxa de qualsevol projecte empresarial o llançament d’un futur producte.
SUBSCRIU-TE PER ESTAR ACTUALITZAT
Adhereix-te a l’ecostistema, registra’t per rebre les últimes notícies i projectes.
Privacy policy
Cookies policy
@ 2023 altiora ecosystem, All Rights Reserved