En este documento pretendemos hacer un breve resumen del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo de 13 de junio de 2024 por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) nº 300/2008, (UE) nº 167/2013, (UE) nº 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial).
1. Ámbito de Aplicación
El Reglamento (UE) 2024/1689 tiene como objetivo establecer normas armonizadas para el desarrollo, la comercialización, la puesta en servicio y el uso de sistemas de inteligencia artificial en la Unión Europea (UE). Se aplica a todos los proveedores y usuarios de sistemas de IA, independientemente de si están establecidos dentro o fuera de la UE, siempre que los resultados generados por dichos sistemas se utilicen en la Unión. El Reglamento excluye los sistemas de IA desarrollados y utilizados exclusivamente para fines militares, de defensa o de seguridad nacional. Asimismo, los sistemas de IA destinados únicamente a la investigación y desarrollo antes de su comercialización también están exentos.
La normativa busca evitar la fragmentación del mercado interior europeo, garantizando un alto nivel de protección para los derechos fundamentales, la salud y la seguridad de las personas. Se prevé la libre circulación de bienes y servicios basados en IA en la UE, salvo que existan motivos específicos justificados en el propio Reglamento para restringir su uso.
2. Sistemas de IA de Propósito General
El Reglamento distingue entre los sistemas de IA y los modelos de IA de propósito general, que son componentes esenciales utilizados para múltiples aplicaciones. Estos modelos, que pueden incluir desde algoritmos de aprendizaje automático hasta técnicas de procesamiento de lenguaje natural, requieren cumplir con los requisitos del Reglamento si se utilizan en sistemas que presentan riesgos significativos. Los sistemas de IA que se consideran de alto riesgo, por ejemplo, aquellos que impactan directamente en la vida de las personas, como en el sector de la salud o la justicia, están sujetos a obligaciones más estrictas en términos de seguridad, trazabilidad y transparencia.
El Reglamento también promueve un enfoque flexible para adaptarse a los rápidos avances tecnológicos en el campo de la IA, permitiendo la actualización de las obligaciones y requisitos según se desarrolle la tecnología y su impacto en la sociedad.
3. Obligaciones Generales de los Proveedore
Los proveedores de sistemas de IA tienen la responsabilidad de garantizar que sus productos cumplan con los requisitos establecidos en el Reglamento antes de su comercialización. Esto incluye la obligación de llevar a cabo evaluaciones de riesgos exhaustivas, garantizar la seguridad, precisión y robustez de los sistemas, y aplicar medidas de ciberseguridad adecuadas. Los proveedores deben proporcionar documentación técnica detallada que permita la trazabilidad del sistema de IA a lo largo de su ciclo de vida, facilitando la supervisión continua y el cumplimiento de los requisitos legales.
Además, los proveedores están obligados a notificar a las autoridades competentes cualquier incidente grave relacionado con sus sistemas de IA y a tomar medidas correctivas si se identifican riesgos para la salud, seguridad o derechos fundamentales. Estas obligaciones son especialmente rigurosas para los sistemas clasificados como de alto riesgo.
4. Obligaciones de Transparencia
El Reglamento establece la necesidad de que los sistemas de IA, en particular aquellos que interactúan directamente con las personas o afectan a sus derechos fundamentales, sean transparentes en su funcionamiento. Esto implica que los usuarios deben ser informados cuando están interactuando con un sistema de IA, y deben poder entender cómo se toman las decisiones automatizadas, especialmente en los casos en que dichas decisiones tienen un impacto significativo en sus vidas. La transparencia se extiende también a la divulgación de contenido generado artificialmente, garantizando que el público pueda identificar dicho contenido como tal.
Las plataformas en línea de gran tamaño tienen la obligación adicional de implementar medidas de transparencia para combatir la desinformación y otros usos nocivos de la IA, asegurando que las decisiones automatizadas se tomen de manera justa y no discriminatoria.
5. Gobernanza y Supervisión
Para garantizar una aplicación coherente del Reglamento en toda la Unión, se establece la Oficina de Inteligencia Artificial, que tendrá la función de coordinar y apoyar a los Estados miembros en la implementación y supervisión del Reglamento. Este organismo también será responsable de facilitar el intercambio de información y mejores prácticas entre las autoridades nacionales. Además, el Consejo Europeo de Inteligencia Artificial, compuesto por representantes de los Estados miembros, proporcionará asesoramiento técnico y supervisará el cumplimiento del Reglamento.
Los Estados miembros deben designar a las autoridades nacionales responsables de la vigilancia del mercado y del cumplimiento de las disposiciones del Reglamento. Estas autoridades tendrán la facultad de realizar inspecciones, solicitar información a los proveedores y, en caso de incumplimiento, imponer sanciones y medidas correctivas.
6. Prácticas Prohibidas
El Reglamento prohíbe explícitamente ciertas prácticas de IA que son consideradas inaceptables debido a su impacto negativo en los derechos fundamentales y la dignidad humana. Entre estas prácticas se incluyen el uso de sistemas de IA para la manipulación subliminal que afecte significativamente la toma de decisiones de las personas, y la explotación de vulnerabilidades de grupos específicos, como niños, personas mayores o individuos en situaciones de desventaja económica o social. .
También se prohíben los sistemas de categorización biométrica que clasifiquen a las personas en función de datos biométricos sensibles, como la raza o la orientación sexual, así como los sistemas de puntuación social que evalúan y clasifican a las personas en función de su comportamiento social en diferentes contextos, lo que podría resultar en un trato discriminatorio.
7. Clasificación de los Sistemas de IA
El Reglamento introduce una clasificación de los sistemas de IA basada en el nivel de riesgo que presentan. Esta clasificación incluye sistemas de alto riesgo, que son aquellos que pueden afectar significativamente a los derechos fundamentales, la salud, la seguridad o los intereses públicos esenciales. Los sistemas de alto riesgo están sujetos a requisitos más estrictos, como la necesidad de realizar evaluaciones de conformidad antes de su comercialización y la obligación de registrar estos sistemas en una base de datos pública gestionada por la Comisión Europea.
Además, el Reglamento prevé la posibilidad de que ciertos sistemas de IA se clasifiquen como de riesgo limitado, en cuyo caso se requerirán medidas específicas de transparencia, como la notificación a los usuarios de que están interactuando con un sistema automatizado. Por último, los sistemas de IA que presenten un riesgo mínimo estarán sujetos a requisitos generales menos estrictos. .
8. Códigos de Conducta
El Reglamento promueve la creación de códigos de conducta voluntarios para guiar a los proveedores de sistemas de IA en el cumplimiento de las obligaciones establecidas. Estos códigos, que pueden ser desarrollados por asociaciones de la industria, organizaciones de la sociedad civil o autoridades públicas, deben reflejar los principios éticos fundamentales de la IA, como la transparencia, la equidad y la no discriminación. Además, se anima a los Estados miembros a fomentar la adopción de estos códigos entre las pequeñas y medianas empresas (PYMES) para facilitar su cumplimiento.
9. Protección de Datos Personales
El Reglamento reafirma la importancia de cumplir con las normas existentes en materia de protección de datos, como el Reglamento General de Protección de Datos (RGPD). Los sistemas de IA que implican el tratamiento de datos personales deben implementar medidas técnicas y organizativas adecuadas para garantizar la seguridad de estos datos y proteger los derechos de los interesados. Además, se refuerzan las obligaciones de los responsables y encargados del tratamiento de datos cuando se utilizan sistemas de IA, especialmente en lo que respecta a la toma de decisiones automatizadas y la elaboración de perfiles.
10. Sanciones
El Reglamento establece un marco sancionador robusto para garantizar el cumplimiento de sus disposiciones. Las sanciones por incumplimiento varían en función de la gravedad de la infracción, el tipo de obligaciones no cumplidas y el impacto del incumplimiento en los derechos fundamentales, la seguridad o la salud de las personas. Aquí se resumen los principales aspectos relacionados con las sanciones:
Se establecen varios niveles de sanciones financieras que pueden imponerse a los proveedores, distribuidores, importadores o responsables del despliegue de sistemas de IA que no cumplan con las obligaciones establecidas:
Multas de hasta 30 millones de euros o el 6% del volumen de negocios anual global (lo que sea mayor) para infracciones graves, como el incumplimiento de las prohibiciones de prácticas de IA inaceptables o la violación de los derechos fundamentales de las personas.
Multas de hasta 20 millones de euros o el 4% del volumen de negocios anual global para infracciones menos graves, como el incumplimiento de las obligaciones en relación con los sistemas de IA de alto riesgo, incluyendo la falta de evaluación de conformidad, la ausencia de registro o la no adopción de medidas correctivas necesarias.
Multas de hasta 10 millones de euros o el 2% del volumen de negocios anual global para infracciones relacionadas con obligaciones de transparencia o por no cumplir con los requisitos de trazabilidad y documentación técnica.
Además de las multas, el Reglamento permite que las autoridades competentes impongan medidas adicionales, como la suspensión temporal de la comercialización o puesta en servicio de un sistema de IA en caso de que se identifiquen riesgos inminentes para la salud, seguridad o derechos fundamentales. En casos extremos, las autoridades pueden ordenar la retirada total del mercado de un sistema de IA que presente riesgos inaceptables.
Las empresas que infrinjan las disposiciones del reglamento también pueden ser obligadas a tomar medidas correctivas, que incluyen la modificación de sus sistemas de IA para cumplir con las normas aplicables, la retirada del mercado de productos afectados, o la notificación a los usuarios sobre los riesgos identificados. Estas medidas buscan asegurar que las infracciones se subsanen y que los sistemas de IA cumplan con los requisitos de seguridad y protección de derechos fundamentales.
Además de las sanciones administrativas, las empresas pueden enfrentar responsabilidad civil por los daños causados por sistemas de IA que no cumplan con las normas del reglamento. Esto incluye la obligación de indemnizar a las personas afectadas por daños físicos, psicológicos o económicos derivados del uso indebido o defectuoso de sistemas de IA.
El Reglamento prevé mecanismos de cooperación internacional para garantizar el cumplimiento de las sanciones, especialmente en casos donde los proveedores o responsables del despliegue de sistemas de IA están ubicados fuera de la UE. Las sanciones pueden ser aplicadas de manera extraterritorial si los sistemas de IA se utilizan dentro de la Unión, asegurando así una protección efectiva de los derechos de los ciudadanos europeos.
11. Modificaciones Legislativas y Entrada en Vigor
El Reglamento permite a la Comisión Europea adoptar actos delegados para modificar ciertos anexos en función de los avances técnicos o de la evolución de los riesgos asociados a la IA. Esto asegura que el Reglamento pueda adaptarse a nuevas realidades tecnológicas sin necesidad de una revisión completa del texto legal. El Reglamento entró en vigor el 1 de agosto de 2024. No obstante, su aplicación está prevista para 24 meses después de su publicación (2 de agosto de 2026), lo que proporciona a los Estados miembros y a las empresas el tiempo necesario para adaptarse a las nuevas obligaciones.
Además. el Reglamento establece otros plazos de aplicación:
- 2 de febrero de 2025: Prohibiciones de determinadas prácticas relacionadas con la IA.
- 2 de agosto de 2025: Las previsiones relativas a los organismos notificados, a los sistemas de IA generales pero que implican riesgos sistémicos, al sistema de gobernanza de la IA en Europa, así como muchas de las sanciones previstas en el Reglamento. y buena parte del arsenal sancionador serán aplicables a partir del 2 de agosto de 2025 (con lo que la base organizativa estará ya lista para cuando sea exigible el conjunto más sustancial de obligaciones).
- 2 de agosto de 2027: Regulación de ciertos sistemas de IA de alto riesgo.
