El nuevo Reglamento Europeo de Inteligencia Artificial (IA), que entró en vigor el pasado agosto de 2024, supone un hito importante en la regulación de la tecnología en la Unión Europea. Este reglamento establece un marco normativo armonizado que tiene como objetivo principal maximizar los beneficios de la IA y minimizar los riesgos asociados a su desarrollo y uso. Para lograrlo, se ha adoptado un enfoque basado en la clasificación de riesgos, que determina el nivel de control y las medidas necesarias según el tipo de sistema de IA. Este artículo se centrará en el primer bloque del reglamento, el cual aborda la clasificación de los sistemas de IA, sus requisitos y obligaciones.

Para una visión general del reglamento y sus implicaciones, visita nuestro artículo principal sobre el Reglamento Europeo de IA.

Sistemas de IA Prohibidos: Garantizando el Respeto a los Derechos Fundamentales

En este primer apartado del Reglamento podemos encontrarnos con diversas prácticas de inteligencia artificial directamente prohibidas, por ser contrarias a los derechos fundamentales y a los principios generales de la Unión.

Dentro de estas prohibiciones se encuentran algunas muy sonadas por su repercusión en los medios de comunicación, como los sistemas de identificación biométrica remota en tiempo real, especialmente mediáticos desde su aplicación en países como China, en los que se ha implementado tecnología de reconocimiento facial con el pretexto de garantizar “el orden social y la seguridad pública”, que ya están tratando de limitar.

Este tipo de herramientas pueden servir tanto para identificar como para clasificar a personas según deducciones sobre su opinión política, raza, religión, etc. Los sistemas de clasificación quedan totalmente prohibidos, salvo cuando los datos biométricos hayan sido obtenidos lícitamente, quedando únicamente permitidos los sistemas de identificación biométrica remota en tiempo real en espacios de acceso público en supuestos escrupulosamente tasados y bajo las garantías establecidas en el Reglamento, como pueden ser: la búsqueda de víctimas de secuestros o la detección de una amenaza específica e inminente de atentado terrorista.

Sistemas de Alto Riesgo: Condiciones y Requisitos Específicos

En segundo lugar, el Reglamento establece la categoría de sistemas de IA de alto riesgo, con obligaciones muy tasadas para los operadores relacionados con estos sistemas que quieran entrar en el mercado.

Para ser incluido dentro de esta categoría existen dos opciones:

1. Que el sistema de IA cumpla con dos condiciones, que se establecen en base al Anexo I del Reglamento. En este anexo se enumeran una serie de Reglamentos que tratan sobre legislación europea armonizada en materias especialmente sensibles, como la relativa a las maquinarias, a los productos sanitarios, a los aviones o a los ferrocarriles.
2. Que el sistema de IA afecte directamente a una de las materias concretas que establece el Anexo III. Este anexo enumera aquellos sectores cuyas decisiones puedan entrañar un posible riesgo para la salud, la seguridad o los derechos fundamentales. En todo caso, tendrá la consideración de alto riesgo, aquella IA que afecte a alguna de esas materias, con independencia de las condiciones mencionadas anteriormente. Estas materias son, por ejemplo: las infraestructuras críticas, tales como los suministros de agua, gas o electricidad, la educación o la gestión y el control del trabajo.

Por tanto, será catalogado como sistemas de alto riesgo aquel sistema de IA:

1º Que se aplique a un producto regulado por alguno de los Reglamentos del Anexo I, siempre y cuando ese producto deba someterse a la evaluación de un tercero para poder entrar en circulación.

2º Que afecte a una materia de especial sensibilidad por su influencia en áreas como la salud, la seguridad o los derechos fundamentales.

Requisitos y exigencias para los proveedores de los sistemas IA de Alto Riesgo:

Una vez concretados qué sistemas de IA entran dentro de los considerados como de Alto Riesgo, el Reglamento establece una serie de requisitos y exigencias que los proveedores de estos deben cumplir con sus productos. Estos son:

• Sistema de gestión de riesgos: que debe contemplar especialmente los riesgos que esa IA concreta pueda producir para la salud, la seguridad y los derechos fundamentales.
• Gobernanza y gestión de datos en el diseño: para asegurar las buenas prácticas en el propio proceso de creación de la IA.
• Documentación técnica actualizada: con un contenido mínimo que demuestre el contenido de los requisitos establecidos.
• Información al usuario: sobre los riesgos, las capacidades, el nivel de precisión, etc.
• Permitir la supervisión por personas: durante su uso, para garantizar el control de los riesgos.
• Ciberseguridad: garantizar un nivel adecuado e identificado por la documentación que acompañe.

Obligaciones de Transparencia para Proveedores de IA

Además de esta clasificación de los sistemas de IA por niveles de riesgos, en el que el Reglamento se centra en asegurar la afectación que pueda tener la IA respecto de sectores concretos, este no se olvida del resto de herramientas, que, sin ese riesgo potencial de afectar a la salud, la seguridad o los derechos fundamentales, sí que pueden tener efectos nocivos sobre los usuarios de estos sistemas, por lo que también se establecen obligaciones, especialmente para los proveedores de modelos de IA.

Dentro de este apartado se enmarcan obligaciones o restricciones relacionadas con materias de rigurosa actualidad, que son de las que más preocupan a la población desde el surgimiento de la IA.

El estudio elaborado por la empresa IPSOS, en octubre de 2023, “Perception of Disinformation Risks in the Age of Generative A.I.”, se revelan datos como el de que 8 de cada 10 españoles considera que la inteligencia artificial hace todavía más fácil la creación de noticias o imágenes falsas de forma muy realista. En un contexto en el que una mayoría de españoles (60%) cree que los ciudadanos no son capaces de discernir entre información veraz y falsa, resultan datos muy preocupantes.

En la mal llamada era de la desinformación, en la que realmente hay un exceso de información y resulta difícil distinguir la información falsa de la verdadera, es más importante que nunca que los ciudadanos conozcan el origen de lo que leen, ven y escuchan. Por eso, controlar el origen de la información y la transparencia de los contenidos creados con IA supone uno de los principales retos de las democracias liberales en este sentido.

Con esta regulación, se trata de establecer una primera barrera que dificulte la creación de fakes a través de sistemas de IA, exigiendo transparencia en el uso. El Reglamento, obliga a los proveedores a asegurarse de que los usuarios sean conocedores de que están interactuando con un sistema de IA, y, en concreto, cuando se trate de sistemas de reproducción, simulación o modificación de imagen y sonido, también deberán informar de ello, salvo que sean contenidos de evidente carácter creativo, satírico, o ficticio. No obstante, se trata de una materia en la que las líneas son tan finas y fáciles de cruzar, que habrá que ir observando su evolución para lograr una mejor adaptación de los sistemas regulatorios que consiga acercarlos al fin propuesto.

Un Paso hacia un Ecosistema de IA Seguro y Transparente

La clasificación de los sistemas de IA en el Reglamento Europeo es un elemento clave para crear un entorno seguro que fomente la innovación tecnológica sin comprometer los derechos fundamentales de los ciudadanos. Al establecer una distinción clara entre sistemas prohibidos, de alto riesgo y de uso general, el reglamento ofrece un marco sólido para el desarrollo y la implementación de inteligencia artificial en la Unión Europea.

Para conocer más sobre el enfoque general del Reglamento Europeo de IA y su impacto en la regulación tecnológica, te invitamos a leer nuestro artículo completo: Reglamento Europeo de IA.