04 Oct IA Act de le Unión Europea
El 1 de agosto de 2024 entró en vigor el reglamento propuesto el 21 de abril de 2021 por la Comisión Europea y aprobado el 13 de marzo de 2024 por el Parlamento Europeo. Este reglamento tiene el objetivo de crear un marco normativo y jurídico único para los sistemas de IA que operen en la Unión Europea. Para su gobernanza, se crea, entre otras, la Oficina de Inteligencia Artificial, dependiente de la Comisión Europea.
Regulación y características
La nueva regulación clasifica el tipo de aplicación en función de su riesgo y características, desde sistemas que se considera que suponen riesgos inaceptables (por ejemplo, los sistemas de puntuación social y la IA manipuladora), y que quedan prohibidos, hasta las de riesgo mínimo que no están regulades (incluidas muchas aplicaciones de IA actualmente disponibles en el mercado único de la UE, como los videojuegos con IA y los filtros de spam). La mayor parte del texto aborda los sistemas de IA de alto riesgo, que sí quedan regulados y, en menor medida, de los sistemas IA de riesgo limitado, en los que se establece que los desarrolladores e implantadores deben garantizar que los usuarios finales sean conscientes de que están interactuando con IA (por ejemplo, chatbots y deepfakes).
También se regula los sistemas IA de propósito general (GPAI, General Purpose Artificial Intelligence), que son aquellos que tienen la capacidad de servir a una variedad de propósitos, tanto para uso directo como para su integración en otros sistemas de IA.
Tras la entrada en vigor se contemplan los siguientes plazos de aplicación:
- 6 meses para los sistemas de IA prohibidos.
- 12 meses para los sistemas GPAI.
- Hasta 36 meses para los sistemas de IA considerados de alto riesgo.
Sistemas prohibidos
Los siguientes sistemas o aplicaciones de Inteligencia Artificial se consideran prohibidos:
Despliegue de técnicas subliminales, manipuladoras o engañosas para distorsionar el comportamiento y perjudicar la toma de decisiones con conocimiento de causa, causando un daño significativo.
Explotar las vulnerabilidades relacionadas con la edad, la discapacidad o las circunstancias socioeconómicas para distorsionar el comportamiento, causando daños significativos.
Sistemas de categorización biométrica que infieran atributos sensibles (raza, opiniones políticas, afiliación sindical, creencias religiosas o filosóficas, vida sexual u orientación sexual), excepto el etiquetado o filtrado de conjuntos de datos biométricos adquiridos legalmente o cuando las fuerzas de seguridad categoricen datos biométricos.
Puntuación social, es decir, evaluar o clasificar a individuos o grupos basándose en comportamientos sociales o rasgos personales, causando un trato perjudicial o desfavorable a esas personas.
Evaluar el riesgo de que un individuo cometa delitos penales basándose únicamente en perfiles o rasgos de personalidad, excepto cuando se utilice para aumentar las evaluaciones humanas basadas en hechos objetivos y verificables directamente relacionados con la actividad delictiva.
Compilación de bases de datos de reconocimiento facial mediante el llamado scrapping no selectivo de imágenes faciales de Internet o de grabaciones de CCTV.
Inferir emociones en lugares de trabajo o centros educativos, salvo por razones médicas o de seguridad.
Identificación biométrica remota en tiempo real en espacios de acceso público para las fuerzas de seguridad, excepto para:
- Búsqueda de personas desaparecidas, víctimas de secuestros y personas víctimas de la trata de seres humanos o la explotación sexual;
- Prevenir una amenaza sustancial e inminente para la vida, o un ataque terrorista previsible; o
- Identificar a sospechosos de delitos graves (por ejemplo, asesinato, violación, robo a mano armada, tráfico de estupefacientes y armas ilegales, delincuencia organizada y delitos contra el medio ambiente, etc.).
Sistemas de alto riesgo
Los sistemas de IA se consideran siempre de alto riesgo si realizan perfiles de las personas, es decir, aquellos sistemas que usan el tratamiento automatizado de datos personales para evaluar diversos aspectos de la vida de una persona, tales como su rendimiento laboral, su situación económica, su salud, sus preferencias, sus intereses, su fiabilidad, su comportamiento, su ubicación o sus movimientos.
Así mismo, se indican algunos ejemplos de casos de uso tales como sistemas de identificación biométrica no prohibidos, componentes de seguridad en infraestructuras críticas, determinación del acceso a instituciones educativas o la evaluación del riesgo de que una persona se convierta en víctima de un delito, entre otros.
De acuerdo con la regulación, los proveedores de IA de alto riesgo deben cumplir una serie de requisitos, entre otros:
Establecer un sistema de gestión de riesgos a lo largo del ciclo de vida del sistema.
Llevar a cabo la gobernanza de los datos, garantizando que los conjuntos de datos de formación, validación y prueba sean pertinentes, suficientemente representativos y, en la medida de lo posible, estén libres de errores y completos de acuerdo con la finalidad prevista.
Elaborar documentación técnica para demostrar la conformidad y facilitar a las autoridades la información necesaria para evaluar dicha conformidad.
Diseñar su sistema para permitir aplicar la supervisión humana en su despliegue.
Garantizar los niveles adecuados de precisión, solidez y ciberseguridad, así como establecer un sistema de gestión de la calidad.
Sistemas de propósito general (GPAI)
En este caso particular, se establece que los proveedores de este tipo de sistemas deberán establecer una política de respeto de la Directiva sobre derechos de autor y a publicar un resumen suficientemente detallado sobre el contenido utilizado para el entrenamiento del modelo GPAI.
Así mismo, los proveedores deben evaluar y mitigar posibles riesgos sistémicos y garantizar un nivel adecuado de protección de la ciberseguridad.
Reacciones
Al margen de las críticas y elogios recibidos, de forma más reciente algunas grandes empresas de EE.UU. han reaccionado negativamente a la normativa, amenazando que la UE va a quedar atrás en la carrera tecnológica de la IA si no relaja las medidas.
Algunos ejemplos que no estarán inicialmente disponibles en la UE son el sistema multimodal Llama 3.2 de Meta (la empresa matriz de Instagram, Whatsapp y Facebook), Advanced Voice Model (la versión de voz de ChatGPT) y Apple Intelligence, los dos últimos basados en tecnología de Open AI.
Tal y como ha pasado en otras ocasiones, las empresas tecnológicas suelen tener una reacción negativa a cualquier marco regulador que consideren puede afectar su negocio, aunque también es cierto que una regulación fragmentada entre países dificulta la implantación simultánea en todo el mundo. Sin embargo, parece poco probable que estas empresas vayan a descartar un mercado como el europeo a corto o medio plazo, por lo que posiblemente acaben adaptando sus productos al marco legislativo de la UE.
Autor: Carles Molina Martínez, Agente de Patentes Europeas en Curell Suñol, SLP.
Foto de Steve Johnson en Unsplash