Los mismos elementos y técnicas que impulsan los beneficios socioeconómicos de la inteligencia artificial (“IA”) también pueden traer nuevos riesgos y consecuencias negativas para las personas o la sociedad. En respuesta, en Abril de 2021 la Comisión de la UE ha publicado un nuevo proyecto de Reglamento sobre IA (el “Reglamento”) que se centra en el ser humano y sus derechos fundamentales para promover la confianza en la IA.
A continuación se incluye un resumen de los principales aspectos incluidos en este proyecto de Reglamento sobre IA:
1. Ámbito de aplicación. El Reglamento contiene obligaciones no sólo para las empresas que proporcionan sistemas de IA, sino también para los distribuidores, así como para las organizaciones que utilizan estos sistemas. En cuanto al ámbito de aplicación territorial, además de ser aplicable en la UE, tanto los proveedores como los usuarios de sistemas de IA de alto riesgo pueden estar obligados a cumplirlo incluso cuando estén establecidos fuera de la UE.
2. Prohibiciones. El Reglamento establece una serie de prácticas prohibidas en materia de IA, entre las que se incluyen el uso de sistemas de IA para explotar la información sobre una persona o un grupo con el fin de detectar sus vulnerabilidades, así como el perfilado de individuos con fines generales cuando dicho perfilado conduzca a tratar desfavorablemente determinadas personas o grupos.
3. Enfoque de riesgo. El Reglamento clasifica una serie de usos de la IA como de alto riesgo, lo que en la práctica significa que las organizaciones tendrán que analizar los riesgos de cada iniciativa de IA para determinar si es una actividad de alto riesgo o no.
4. Gobernanza y calidad de los datos. Las organizaciones deben garantizar que los sistemas de IA de alto riesgo se entrenen y prueben con conjuntos de datos de alta calidad, que deben ser relevantes, representativos, libres de errores, completos y estadísticamente adecuados.
5. Transparencia e información. Hay una serie de obligaciones de transparencia en relación con los sistemas de IA, entre ellas la de informar a las personas de que están interactuando con un sistema de IA, de que sus datos personales están siendo procesados por un sistema de reconocimiento de emociones o de que cualquier contenido audiovisual ha sido creado o modificado artificialmente cuando dicho contenido se asemeja a personas, objetos o eventos existentes y parece falsamente auténtico.
6. Obligaciones de supervisión. Tanto los proveedores como los usuarios tienen la obligación de supervisar el funcionamiento de los sistemas de IA, guardar los registros e interrumpir el uso en caso de mal funcionamiento.
7. Evaluaciones de conformidad. Los proveedores de sistemas de IA deben realizar una evaluación de la conformidad de cualquier sistema de IA de alto riesgo para demostrar el cumplimiento de las disposiciones pertinentes del Reglamento.
8. Multas. La infracción de determinadas disposiciones del Reglamento puede dar lugar a multas de hasta 30 millones de euros o el 6% del volumen de negocios global anual.
Estos son los puntos clave incluidos en el proyecto de Reglamento que se publicó el 21 de abril. El reglamento tendrá que pasar ahora por todo el proceso parlamentario de la UE, lo que podría significar que la aprobación del reglamento se retrase varios años o incluso se atasque, como ha sucedido con otras iniciativas como el tan esperado Reglamento sobre privacidad electrónica.
Mientras tanto, es el momento perfecto para que las empresas empiecen a diseñar marcos de control interno para las iniciativas de IA, de forma que, a diferencia de lo que ocurrió con el GDPR, esta vez el Reglamento les pille con los deberes hechos. Para ello, es muy recomendable diseñar un marco de evaluación ética de las iniciativas de IA que, además de establecer un sistema de buenas prácticas en la organización, pueda servir como línea de base para unos posteriores procesos de evaluación y controles basados en la versión final del Reglamento de IA.