UE IA ACT: el primer reglamento horizontal sobre inteligéncia artificial
ARNAU SALAT│28/01/2023
Europa quiere tomar la delantera en la regulación de la inteligencia artificial. Mientras que la mayoría de las potencias mundiales como Japón o Estados Unidos aún no cuentan con una regulación específica sobre inteligencia artificial, sino con una serie de iniciativas y marcos fragmentados que solo contemplan el uso de la IA en algunos sectores e industrias, Europa busca diferenciarse a través de una regulación integral de la IA. Como ya se intentó con el GDPR de 2018, Europa no solo quiere establecer las bases sobre cómo se va a regular la fuerza motriz de la próxima década en su territorio, sino también influir en los estados democráticos de todo el mundo para que esta futura Ley se convierta en un estándar global.
La Ley de Inteligencia Artificial de la UE, también conocida como Reglamento Europeo sobre Inteligencia Artificial, está llamada a ser un conjunto de normas y directrices que rijan el desarrollo y el uso de la inteligencia artificial en la Unión Europea. La Ley pretende ofrecer el primer marco jurídico horizontal mundial para el desarrollo y uso ético y seguro de la IA, al tiempo que fomenta la innovación y la competitividad dentro de la UE. Sin embargo, ¿pueden la innovación y la regulación coexistir y prosperar juntas?
Aunque aún no podemos pronunciarnos sobre el texto definitivo, en la medida en que la propuesta de la Comisión Europea sigue debatiéndose en el Consejo y el Parlamento de la UE, la estructura que adoptará parece estar bien establecida. Profundizando en esa estructura, uno debería poder empezar a tener en cuenta lo que supondría para las empresas y los desarrolladores el próximo reglamento.
El reglamento (que a diferencia de las directivas será de aplicación directa sobre los estados de la unión, algo que nunca está de más recordar especialmente para aquellos lectores que no estén familiarizados con el derecho europeo) se estructurará sobre una clasificación de grado de riesgo causado por el uso de la IA. Como consecuencia, una de las principales disposiciones de la Ley de IA de la UE será el requisito de que los sistemas de IA de alto riesgo se sometan a una evaluación de riesgos antes de que puedan comercializarse o utilizarse en público.
Los sistemas de IA de alto riesgo se definen como aquellos que pueden tener repercusiones significativas en la seguridad, los medios de subsistencia o los derechos de las personas, o en el medio ambiente. El proceso de evaluación de riesgos implica la identificación de riesgos potenciales y la aplicación de medidas para mitigarlos.
Sin ir muy lejos, a todos nos preocupa que la IA no sea precisamente un cuento de hadas. No cabe duda de que la IA nos brindará una gran cantidad de oportunidades que antes ni siquiera podíamos imaginar, pero también puede utilizarse para acabar con la comprensión actual del mundo, que es precisamente lo que la UE quiere evitar. Pero, de nuevo, ¿cómo se verían afectadas las empresas?
Si bien es cierto que algunos desarrolladores de software de IA de alto riesgo, como por ejemplo los que puedan desarrollar sistemas masivos de reconocimiento facial, podrían decidir trasladarse a China o a otros regímenes no democráticos en busca de mejores oportunidades, la mayoría de los usos de la IA quedarán desregulados. Hay que tener en cuenta que la evaluación de la regulación se hará caso por caso, ya que el mismo producto o pieza de software podría estar sujeto a diferentes requisitos o disposiciones en función del uso al que se destine.
Regular el uso de la Inteligencia Artificial es una tarea polifacética, ya que implica a una amplia gama de actores dentro de la cadena de valor de la IA, incluidos, entre otros, los desarrolladores de software, los proveedores de datos de formación y las entidades que personalizan los modelos de IA, junto con los que en última instancia ofrecen servicios a los usuarios finales. La determinación de qué actores entran en el ámbito de la regulación dependerá de los peligros potenciales que plantee el uso de la IA en cada marco específico de la cadena.
Por ejemplo, a lo largo de la cadena de valor, mientras una empresa sólo haya escrito un código para la IA, que todavía tenga que ser llevado a otro lugar para ser entrenado con datos para luego convertirse en algo que pueda utilizarse en el mercado, este primer tratamiento de la IA estará libre de regulación, por lo que todavía no está creando un riesgo.
Mientras que, tomando el mismo ejemplo, una vez que ese código inicial es alimentado con datos por otra persona, y luego llevado al mercado buscando un propósito particular mientras produce un riesgo que figura en la regulación, la entidad que ha alimentado el código introduciendo un cambio significativo en esa máquina inicial, se enfrentaría, efectivamente, a la regulación.
Habiendo distinguido entre dos eventuales situaciones diferentes de la cadena de valor, además, es importante señalar que quienes jueguen con lo que podría asentarse como IA industrial escaparán a la regulación, siempre y cuando no se esté afectando a los intereses de particulares ni jugando con datos personales de la gente. Eso no lo contemplaría la Ley de IA de la UE. No porque la IA industrial no pudiera importar para la seguridad, sino por la razón de que en ese caso el legislador pretende centrarse principalmente en la IA orientada al consumidor, puesto que ya existe un régimen regulador para la producción industrial.
Aparte de las previsiones esenciales mencionadas, que nuestro equipo analizará con matices cuando se publique el texto definitivo, la Ley de IA de la UE también establecerá una serie de principios para el desarrollo y el uso de la IA, como la transparencia, la equidad y la no discriminación. Estos principios pretenden garantizar que la IA se desarrolle y utilice respetando los derechos y valores de las personas y la sociedad.
¿Y el cumplimiento, cómo se garantizarán todas esas disposiciones?
La fórmula de cumplimiento elegida por la Comisión se basa en: instrumento legislativo horizontal de la UE que siga un planteamiento proporcionado basado en el riesgo + códigos de conducta para los sistemas de IA que no sean de alto riesgo.
¿Qué significa esto? Un marco regulador sólo para los sistemas de IA de alto riesgo, con la posibilidad de que todos los proveedores de sistemas de IA que no sean de alto riesgo sigan un código de conducta. Las empresas que introdujeran códigos de conducta para otros sistemas de IA lo harían voluntariamente.
Los requisitos se referirán a datos, documentación y trazabilidad, suministro de información y transparencia, supervisión humana y solidez y precisión, entre otros, y serán obligatorios para los sistemas de IA de alto riesgo.
Para facilitar el cumplimiento, la ley creará una base de datos de sistemas de IA de alto riesgo en toda la UE, que será gestionada por la Comisión y a la que los proveedores de sistemas de IA proporcionarán datos.
Para que un sistema de alto riesgo pueda comercializarse, una vez desarrollado deberá someterse a la evaluación de conformidad y cumplir los requisitos de la IA. Una vez cumplidos esos requisitos, la Comisión procederá a reiterar el sistema de IA autónomo en la base de datos de la UE. Después, para poner fin a esos requisitos ex ante, los desarrolladores deberán firmar una declaración de conformidad y su sistema tendrá que llevar una marca (ce), lo que supondrá la entrada automática en el mercado.
Centrándonos ahora en el control a posteriori, las autoridades de vigilancia del mercado, facultadas en virtud del Reglamento (UE) 2019/1020 sobre vigilancia del mercado, serán responsables de supervisar el cumplimiento e investigar los incumplimientos de las obligaciones y requisitos de los sistemas de IA ya comercializados. Las autoridades de vigilancia del mercado estarán facultadas para intervenir en caso de que los sistemas de IA generen riesgos inesperados o incumplimientos de las disposiciones del reglamento. Además, cuando la autoridad considere que el incumplimiento puede no limitarse a su territorio notarial, informará a la Comisión y a los demás Estados miembros. Así pues, si usted es proveedor de sistemas debe tener en cuenta que uno puede pasar desapercibido una vez, pero probablemente no siempre y en cualquier lugar.
Pero, ¿a qué se refiere el reglamento cuando habla de autoridad de mercado? La propuesta no prevé la creación de organismos o autoridades adicionales a nivel de los Estados miembros, ya que esta tarea la llevarán a cabo las autoridades sectoriales existentes. Estas autoridades sectoriales supervisarán el cumplimiento por parte de las operaciones de las obligaciones que les impone el Reglamento. Además, el Supervisor Europeo de Protección de Datos también tendrá potestad para imponer multas.
¿Qué consecuencias tendría para su empresa el incumplimiento de la normativa?
La propuesta establece que los Estados miembros deberán garantizar la aplicación efectiva de las disposiciones y establecer sanciones disuasorias, de acuerdo con los márgenes y criterios fijados en el reglamento.
Teniendo en cuenta las normas del reglamento (artículo 71-12) se podrían imponer multas administrativas de hasta 30 millones de euros, o en caso de ser una empresa incumplidora de los artículos 5 y 10, multas de hasta el 6% del volumen de negocios total anual a nivel mundial del ejercicio anterior.
En resumen, si bien parece indudable que la Ley de IA de la UE será un paso importante para garantizar el desarrollo y uso ético y seguro de la artificial con el fin de proteger los derechos y valores de las personas y la sociedad, su impacto en la innovación y la competitividad está aún por determinar.
Sea cual sea, lo que está claro es que las empresas tendrán que ser proactivas a la hora de cumplir la normativa para evitar posibles sanciones o la exclusión del mercado. Eso sólo será posible comprendiendo el alcance real de esta normativa desde el principio de la puesta en marcha de cualquier proyecto empresarial o lanzamiento de un futuro producto.
UE IA ACT: el primer reglamento horizontal sobre inteligéncia artificial
ARNAU SALAT│28/01/2023
Europa quiere tomar la delantera en la regulación de la inteligencia artificial. Mientras que la mayoría de las potencias mundiales como Japón o Estados Unidos aún no cuentan con una regulación específica sobre inteligencia artificial, sino con una serie de iniciativas y marcos fragmentados que solo contemplan el uso de la IA en algunos sectores e industrias, Europa busca diferenciarse a través de una regulación integral de la IA. Como ya se intentó con el GDPR de 2018, Europa no solo quiere establecer las bases sobre cómo se va a regular la fuerza motriz de la próxima década en su territorio, sino también influir en los estados democráticos de todo el mundo para que esta futura Ley se convierta en un estándar global.
La Ley de Inteligencia Artificial de la UE, también conocida como Reglamento Europeo sobre Inteligencia Artificial, está llamada a ser un conjunto de normas y directrices que rijan el desarrollo y el uso de la inteligencia artificial en la Unión Europea. La Ley pretende ofrecer el primer marco jurídico horizontal mundial para el desarrollo y uso ético y seguro de la IA, al tiempo que fomenta la innovación y la competitividad dentro de la UE. Sin embargo, ¿pueden la innovación y la regulación coexistir y prosperar juntas?
Aunque aún no podemos pronunciarnos sobre el texto definitivo, en la medida en que la propuesta de la Comisión Europea sigue debatiéndose en el Consejo y el Parlamento de la UE, la estructura que adoptará parece estar bien establecida. Profundizando en esa estructura, uno debería poder empezar a tener en cuenta lo que supondría para las empresas y los desarrolladores el próximo reglamento.
El reglamento (que a diferencia de las directivas será de aplicación directa sobre los estados de la unión, algo que nunca está de más recordar especialmente para aquellos lectores que no estén familiarizados con el derecho europeo) se estructurará sobre una clasificación de grado de riesgo causado por el uso de la IA. Como consecuencia, una de las principales disposiciones de la Ley de IA de la UE será el requisito de que los sistemas de IA de alto riesgo se sometan a una evaluación de riesgos antes de que puedan comercializarse o utilizarse en público.
Los sistemas de IA de alto riesgo se definen como aquellos que pueden tener repercusiones significativas en la seguridad, los medios de subsistencia o los derechos de las personas, o en el medio ambiente. El proceso de evaluación de riesgos implica la identificación de riesgos potenciales y la aplicación de medidas para mitigarlos.
Sin ir muy lejos, a todos nos preocupa que la IA no sea precisamente un cuento de hadas. No cabe duda de que la IA nos brindará una gran cantidad de oportunidades que antes ni siquiera podíamos imaginar, pero también puede utilizarse para acabar con la comprensión actual del mundo, que es precisamente lo que la UE quiere evitar. Pero, de nuevo, ¿cómo se verían afectadas las empresas?
Si bien es cierto que algunos desarrolladores de software de IA de alto riesgo, como por ejemplo los que puedan desarrollar sistemas masivos de reconocimiento facial, podrían decidir trasladarse a China o a otros regímenes no democráticos en busca de mejores oportunidades, la mayoría de los usos de la IA quedarán desregulados. Hay que tener en cuenta que la evaluación de la regulación se hará caso por caso, ya que el mismo producto o pieza de software podría estar sujeto a diferentes requisitos o disposiciones en función del uso al que se destine.
Regular el uso de la Inteligencia Artificial es una tarea polifacética, ya que implica a una amplia gama de actores dentro de la cadena de valor de la IA, incluidos, entre otros, los desarrolladores de software, los proveedores de datos de formación y las entidades que personalizan los modelos de IA, junto con los que en última instancia ofrecen servicios a los usuarios finales. La determinación de qué actores entran en el ámbito de la regulación dependerá de los peligros potenciales que plantee el uso de la IA en cada marco específico de la cadena.
Por ejemplo, a lo largo de la cadena de valor, mientras una empresa sólo haya escrito un código para la IA, que todavía tenga que ser llevado a otro lugar para ser entrenado con datos para luego convertirse en algo que pueda utilizarse en el mercado, este primer tratamiento de la IA estará libre de regulación, por lo que todavía no está creando un riesgo.
Mientras que, tomando el mismo ejemplo, una vez que ese código inicial es alimentado con datos por otra persona, y luego llevado al mercado buscando un propósito particular mientras produce un riesgo que figura en la regulación, la entidad que ha alimentado el código introduciendo un cambio significativo en esa máquina inicial, se enfrentaría, efectivamente, a la regulación.
Habiendo distinguido entre dos eventuales situaciones diferentes de la cadena de valor, además, es importante señalar que quienes jueguen con lo que podría asentarse como IA industrial escaparán a la regulación, siempre y cuando no se esté afectando a los intereses de particulares ni jugando con datos personales de la gente. Eso no lo contemplaría la Ley de IA de la UE. No porque la IA industrial no pudiera importar para la seguridad, sino por la razón de que en ese caso el legislador pretende centrarse principalmente en la IA orientada al consumidor, puesto que ya existe un régimen regulador para la producción industrial.
Aparte de las previsiones esenciales mencionadas, que nuestro equipo analizará con matices cuando se publique el texto definitivo, la Ley de IA de la UE también establecerá una serie de principios para el desarrollo y el uso de la IA, como la transparencia, la equidad y la no discriminación. Estos principios pretenden garantizar que la IA se desarrolle y utilice respetando los derechos y valores de las personas y la sociedad.
¿Y el cumplimiento, cómo se garantizarán todas esas disposiciones?
La fórmula de cumplimiento elegida por la Comisión se basa en: instrumento legislativo horizontal de la UE que siga un planteamiento proporcionado basado en el riesgo + códigos de conducta para los sistemas de IA que no sean de alto riesgo.
¿Qué significa esto? Un marco regulador sólo para los sistemas de IA de alto riesgo, con la posibilidad de que todos los proveedores de sistemas de IA que no sean de alto riesgo sigan un código de conducta. Las empresas que introdujeran códigos de conducta para otros sistemas de IA lo harían voluntariamente.
Los requisitos se referirán a datos, documentación y trazabilidad, suministro de información y transparencia, supervisión humana y solidez y precisión, entre otros, y serán obligatorios para los sistemas de IA de alto riesgo.
Para facilitar el cumplimiento, la ley creará una base de datos de sistemas de IA de alto riesgo en toda la UE, que será gestionada por la Comisión y a la que los proveedores de sistemas de IA proporcionarán datos.
Para que un sistema de alto riesgo pueda comercializarse, una vez desarrollado deberá someterse a la evaluación de conformidad y cumplir los requisitos de la IA. Una vez cumplidos esos requisitos, la Comisión procederá a reiterar el sistema de IA autónomo en la base de datos de la UE. Después, para poner fin a esos requisitos ex ante, los desarrolladores deberán firmar una declaración de conformidad y su sistema tendrá que llevar una marca (ce), lo que supondrá la entrada automática en el mercado.
Centrándonos ahora en el control a posteriori, las autoridades de vigilancia del mercado, facultadas en virtud del Reglamento (UE) 2019/1020 sobre vigilancia del mercado, serán responsables de supervisar el cumplimiento e investigar los incumplimientos de las obligaciones y requisitos de los sistemas de IA ya comercializados. Las autoridades de vigilancia del mercado estarán facultadas para intervenir en caso de que los sistemas de IA generen riesgos inesperados o incumplimientos de las disposiciones del reglamento. Además, cuando la autoridad considere que el incumplimiento puede no limitarse a su territorio notarial, informará a la Comisión y a los demás Estados miembros. Así pues, si usted es proveedor de sistemas debe tener en cuenta que uno puede pasar desapercibido una vez, pero probablemente no siempre y en cualquier lugar.
Pero, ¿a qué se refiere el reglamento cuando habla de autoridad de mercado? La propuesta no prevé la creación de organismos o autoridades adicionales a nivel de los Estados miembros, ya que esta tarea la llevarán a cabo las autoridades sectoriales existentes. Estas autoridades sectoriales supervisarán el cumplimiento por parte de las operaciones de las obligaciones que les impone el Reglamento. Además, el Supervisor Europeo de Protección de Datos también tendrá potestad para imponer multas.
¿Qué consecuencias tendría para su empresa el incumplimiento de la normativa?
La propuesta establece que los Estados miembros deberán garantizar la aplicación efectiva de las disposiciones y establecer sanciones disuasorias, de acuerdo con los márgenes y criterios fijados en el reglamento.
Teniendo en cuenta las normas del reglamento (artículo 71-12) se podrían imponer multas administrativas de hasta 30 millones de euros, o en caso de ser una empresa incumplidora de los artículos 5 y 10, multas de hasta el 6% del volumen de negocios total anual a nivel mundial del ejercicio anterior.
En resumen, si bien parece indudable que la Ley de IA de la UE será un paso importante para garantizar el desarrollo y uso ético y seguro de la artificial con el fin de proteger los derechos y valores de las personas y la sociedad, su impacto en la innovación y la competitividad está aún por determinar.
Sea cual sea, lo que está claro es que las empresas tendrán que ser proactivas a la hora de cumplir la normativa para evitar posibles sanciones o la exclusión del mercado. Eso sólo será posible comprendiendo el alcance real de esta normativa desde el principio de la puesta en marcha de cualquier proyecto empresarial o lanzamiento de un futuro producto.
SUBSCRÍBITE PARA ESTAR ACTUALIZADO
Únete al ecosistema, regístrate para recibir las últimas noticias y proyectos de Atiora.
Privacy policy
Cookies policy
@ 2023 altiora ecosystem, All Rights Reserved