IA Act de la Unió Europea

IA Act de la Unió Europea

El passat dia 1 d’agost del 2024 va entrar en vigor el reglament proposat el 21 d’abril del 2021 per la Comissió Europea i aprovat el 13 de març del 2024 pel Parlament Europeu. Aquest reglament té l’objectiu de crear un marc normatiu i jurídic únic per als sistemes de intel·ligència artificial (IA) que operin a la Unió Europea. Per la governança, es crea, entre d’altres, l’Oficina d’Intel·ligència Artificial, dependent de la Comissió Europea. 

 

Regulació i característiques 

La nova regulació classifica el tipus d’aplicació en funció del risc i les característiques, des de sistemes que es considera que suposen riscos inacceptables (per exemple, els sistemes de puntuació social i la IA manipuladora) i que queden prohibits, fins a les de risc mínim que no estan regulades (incloses moltes aplicacions d’IA actualment disponibles al mercat únic de la UE, com els videojocs amb IA i els filtres de spam). La major part del text aborda els sistemes d’IA d’alt risc, que sí queden regulats i, en menor mesura, dels sistemes d’IA de risc limitat, en què s’estableix que els desenvolupadors i els implantadors han de garantir que els usuaris finals siguin conscients que estan interactuant amb sistemes d’IA (per exemple, chatbots i deepfakes). 

També es regulen els sistemes d’IA de propòsit general (GPAI, General Purpose Artificial Intelligence), que són aquells que tenen la capacitat de servir per a una varietat de propòsits, tant per a ús directe, com per a la seva integració en altres sistemes d’IA. 

Després de l’entrada en vigor, es preveuen els terminis d’aplicació següents: 

  • 6 mesos per als sistemes de IA prohibits. 
  • 12 mesos per als sistemes GPAI. 
  • Fins a 36 mesos per als sistemes d’IA considerats d’alt risc.

 

Sistemes prohibits 

Els sistemes o aplicacions d’Intel·ligència Artificial següents es consideren prohibits: 

Desplegament de tècniques subliminals, manipuladores o enganyoses per distorsionar el comportament i perjudicar la presa de decisions amb coneixement de causa, causant un dany significatiu. 

Explotar les vulnerabilitats relacionades amb l’edat, la discapacitat o les circumstàncies socioeconòmiques per distorsionar el comportament, causant danys significatius. 

Sistemes de categorització biomètrica que infereixin atributs sensibles (raça, opinions polítiques, afiliació sindical, creences religioses o filosòfiques, vida sexual o orientació sexual ), excepte l’etiquetatge o filtratge de conjunts de dades biomètriques adquirides legalment o quan les forces de seguretat categoritzin dades biomètriques. 

Puntuació social, és a dir, avaluar o classificar individus o grups basant-se en comportaments socials o trets personals, tot causant un tracte perjudicial o desfavorable a aquestes persones. 

Avaluar el risc que un individu cometi delictes penals basant-se únicament en perfils o trets de personalitat, excepte quan s’utilitzi per tal d’augmentar les avaluacions humanes basades en fets objectius i verificables directament relacionats amb l’activitat delictiva. 

Compilació de bases de dades de reconeixement facial mitjançant l’anomenat scrapping no selectiu d’imatges facials d’Internet o d’enregistraments de CCTV. 

Inferir emocions en llocs de treball o centres educatius, excepte per raons mèdiques o de seguretat. 

Identificació biomètrica remota en temps real en espais d’accés públic per a les forces de seguretat, excepte per als següents casos: 

  • Cerca de persones desaparegudes, víctimes de segrestos i persones víctimes del tràfic d’éssers humans o l’explotació sexual; 
  • Prevenció d’una amenaça substancial i imminent per a la vida, o un atac terrorista previsible; o 
  • Identificació de sospitosos de delictes greus (per exemple, assassinat, violació, robatori a mà armada, tràfic d’estupefaents i armes il·legals, delinqüència organitzada i delictes contra el medi ambient, etc.). 

 

Sistemes d’alt risc 

Els sistemes d’IA es consideren sempre d’alt risc si fan perfils de les persones, és a dir, aquells sistemes que usen el tractament automatitzat de dades personals per avaluar diversos aspectes de la vida d’una persona, com ara, el rendiment laboral, la situació econòmica, la salut, les preferències, els interessos, la fiabilitat, el comportament, la ubicació o els moviments. 

Així mateix, s’indiquen alguns exemples de casos d’ús, tals com, com sistemes d’identificació biomètrica no prohibits, components de seguretat en infraestructures crítiques, determinació de l’accés a institucions educatives o l’avaluació del risc que una persona es converteixi en víctima d’un delicte, entre d’altres. 

D’acord amb la regulació, els proveïdors d’IA d’alt risc han de complir una sèrie de requisits, entre d’altres: 

Establir un sistema de gestió de riscos al llarg del cicle de vida del sistema.

Dur a terme la governança de les dades, tot garantint que els conjunts de dades de formació, validació i prova siguin pertinents, suficientment representatius i, en la mesura que sigui possible, estiguin lliures d’errors i complets d’acord amb la finalitat prevista. 

Elaborar documentació tècnica per demostrar la conformitat i facilitar a les autoritats la informació necessària per avaluar aquesta conformitat. 

Dissenyar el sistema per permetre aplicar la supervisió humana en el seu desplegament. 

Garantir els nivells adequats de precisió, solidesa i ciberseguretat, així com establir un sistema de gestió de la qualitat. 

 

Sistemes de propòsit general (GPAI) 

En aquest cas particular, s’estableix que els proveïdors d’aquest tipus de sistemes hauran d’establir una política de respecte de la Directiva sobre drets d’autor i a publicar un resum suficientment detallat sobre el contingut utilitzat per a l’entrenament del model GPAI. 

Així mateix, els proveïdors han d’avaluar i mitigar possibles riscos sistèmics i garantir un nivell adequat de protecció de la ciberseguretat . 

 

Reaccions 

Al marge de les crítiques i elogis rebuts, recentment, algunes grans empreses dels EUA han reaccionat negativament a la normativa, amenaçant que la UE quedarà enrere en la carrera tecnològica de la IA si no relaxa les mesures. 

Alguns exemples que no estaran inicialment disponibles a la UE són el sistema multimodal Llama 3.2 de Meta (l’empresa matriu de Instagram, Whatsapp i Facebook), Advanced Voice Model (la versió de veu de ChatGPT ) i Apple Intelligence , els dos últims basats en tecnologia de l’empresa Open AI. 

Tal com ha passat altres vegades, les empreses tecnològiques solen tenir una reacció negativa a qualsevol marc regulador que considerin que pot afectar el seu negoci, encara que també és cert que una regulació fragmentada entre països dificulta la implantació simultània a tot el món. No obstant això, sembla poc probable que aquestes empreses descartin un mercat com l’europeu a curt o mitjà termini, per la qual cosa possiblement acabin adaptant els seus productes al marc legislatiu de la UE. 

Autor: Carles Molina Martínez, Agent de Patents Europees a Curell Suñol, SLP.

Foto de Steve Johnson a Unsplash