El Consejo y el Parlamento Europeos están a punto de presentar una propuesta de Reglamento sobre la Inteligencia Artificial (IA) en Europa, a cuyo borrador hemos tenido acceso.
Esta iniciativa sigue lo previsto en el Libro Blanco de la Inteligencia Artificial presentado por la Comisión en febrero de 2020, y ya ha sido sometida a consulta pública. El proyecto corre paralelo, a su vez, al proyecto de Ley de Gobernanza del Dato (Data Governance Act), impulsada por la Camisión, todo ello dentro de su Estrategia Digital para Europa, confirmada por la reciente estrategia Brújula Digital de Europa.
A continuación, reseñamos los aspectos más relevantes de esta propuesta.
El documento, titulado provisionalmente Reglamento sobre un enfoque europeo para la inteligencia artificial (Regulation on a european approach for artificial intelligence), parte de la consideración de la inteligencia artificial es una familia de tecnologías en rápida evolución, que puede contribuir a una amplia de beneficios económicos y sociales en todo un espectro de industrias y actividades sociales. Entre otras funciones, puede permitir mejorar la predicción, optimizar las operaciones y la asignación de recursos y personalizar la prestación de servicios.
Estas funciones pueden aportar numerosas ventajas competitivas clave para las empresas, así como y apoyar resultados beneficiosos para la sociedad y el medio ambiente, en sectores como la sanidad, la agricultura, la educación, la gestión de infraestructuras, la energía, el transporte y la logística, los servicios públicos, la seguridad, así como a la mitigación y adaptación al cambio climático.
Pero, al mismo tiempo, como se ha advertido en múltiples foros, las instituciones son conscientes de que algunos de los usos y aplicaciones de la inteligencia artificial pueden generar riesgos y causar daños a los intereses y derechos protegidos por el Derecho de la Unión. Estos daños pueden ser ser material o inmaterial, en la medida en que se refiera a la seguridad y la salud de las personas, sus bienes u otros derechos e intereses fundamentales individuales protegidos por el Derecho de la Unión.
Por ello, las instituciones europeas consideran necesario un marco jurídico que establezca un planteamiento europeo sobre la inteligencia artificial, que fomente el desarrollo y la adopción de esta tecnología con un alto nivel de protección de los intereses públicos, en particular la salud, la seguridad y los derechos y libertades fundamentales de las personas reconocidos y protegidos por el Derecho de la Unión. El presente Reglamento tiene por objeto mejorar el funcionamiento del mercado interior creando las condiciones para un ecosistema de confianza en relación con la comercialización, puesta en servicio y utilización de la inteligencia artificial en la Unión.
Estructura y contenido
La versión preliminar del Reglamento que hemos manejado consta de 69 artículos, estructurados en 13 títulos, y ocho anexos, precedidos todos ellos de 92 considerandos.
El Título I recoge las “Disposiciones generales”, en tres artículos: Objeto y finalidad; Ámbito de aplicación y Definiciones.
El Título II se dedica a las “Prácticas de inteligencia artificial prohibidas”, en un único artículo 4 (Lista de prácticas de inteligencia artificial están prohibidas por ser contrarias a los valores de la Unión valores de la Unión o que violan los derechos fundamentales protegidos por el Derecho de la Unión)
El Título III se ocupa de los “Sistemas de inteligencia artificial de alto riesgo”, en cuatro capítulos. En el primero (“requisitos de los sistemas de inteligencia artificial de alto riesgo”), se trata del cumplimiento de los requisitos; los conjuntos de datos; la documentación y mantenimiento de registros; la transparencia y el suministro de información a los usuarios; la supervisión humana y los criterios de solidez, precisión y seguridad.
El Capítulo 2 se dedica a las “Obligaciones de los proveedores y usuarios de sistemas de AI de alto riesgo y otras partes”, entre las que se incluyen los representantes autorizados; los importadores; los distribuidores y los terceros que intervienen en la cadena de valor de la inteligencia artificial.
El Capítulo 3 (“Organismos notificados”) regula las competencias de los organismos notificados en virtud del presente Reglamento; las autoridades nacionales competentes responsables de los organismos notificados designados en virtud del presente Reglamento; los requisitos relacionados con los organismos notificados designados; las filiales de los organismos notificados y subcontratación de los mismos; la aplicación de los organismos notificados designados; el procedimiento de notificación; el número de identificación y las listas de organismos notificados designados; la modificación de las notificaciones; la impugnación de la competencia de los organismos notificados; el recurso contra las decisiones de los organismos notificados; las obligaciones de información de los organismos notificados; el intercambio de experiencias y la coordinación de los organismos notificados.
Finalmente, el Capítulo 4 de este Título III se ocupa de la “Evaluación de la conformidad, normas, certificados y registro”.
En el Título IV se contemplan las “Obligaciones de transparencia de otras sistemas de IA”.
En el Título V, las “Obligaciones para el uso de sistemas de identificación biométrica a distancia”, en particular en lugares de acceso público.
El Título VI se dedica a las “Medidas de apoyo a la innovación”, donde se contemplan los sistemas de pruebas o sandbox de sistemas de IA; las medidas para reducir la carga reglamentaria para las PYME/las nuevas empresas y los centros digitales e instalaciones de experimentación de pruebas.
En el Título VII (“Gobernanza”), se regula el Comité Europeo de Inteligencia Artificial, sus tareas, composición y funciones.
El Título VIII está dedicado a la “Base de datos de la UE sobre sistemas de IA de alto riesgo”.
El Título IX al “Seguimiento posterior a la comercialización, compartición de información y vigilancia del mercado", en tres secciones: Seguimiento posterior a la comercialización; Intercambio de información sobre incidentes y fallos de funcionamiento de la inteligencia artificial y Ejecución.
En el Título X, se regulan los “Códigos de conducta“.
El Título XI está dedicado a “Confidencialidad y sanciones”.
El Título XII a los "Actos delegados y al Comité de Asistencia a la Comisión".
Y, por último, en el Título XIII se recogen unas "Disposiciones finales" que incluyen la entrada en vigor del Reglamento, que se prevé su entrada en vigor a los veinte días de su publicación y el comienzo de su aplicación en un plazo todavía por determinar.
Por su parte, los anexos se refieren a las técnicas y enfoques de la inteligencia artificial; los sistemas de inteligencia artificial de alto riesgo; una lista con legislación de armonización de la unión; documentación técnica; declaración de conformidad de la ue; la conformidad basada en la evaluación del sistema de gestión de la calidad y la evaluación de la documentación técnica; la información que debe presentarse al registrar los sistemas de inteligencia artificial de alto riesgo de conformidad con el artículo 4 y al sistema de gestión de riesgos.
Concepto de IA
El texto que se ha conocido se refiere a la IA como una familia muy poderosa de técnicas de programación informática que puede ser desplegada en muchos campos de la actividad humana para usos deseables, así como otros más críticos y perjudiciales, pero sin que exista una definición universalmente aceptada de inteligencia artificial.
Por ello, y a los efectos del de este Reglamento, se considera imprescindible introducir una definición que pueda resistir el paso del tiempo y que, al mismo tiempo, permita a los destinatarios de la norma gozar de la seguridad jurídica necesaria para su cumplimiento.
En este sentido, se señala que un principio clave del nuevo marco jurídico de la IA es que no debe centrarse en la tecnología como tal. En su lugar, dicho marco debe centrarse en la utilización concreta de esta tecnología bajo los distintos sistemas de IA y en los riesgos que pueden derivarse de ellos, entendidos como sistemas que pueden utilizarse como componentes de un producto o de forma autónoma y cuyos resultados sirven para automatizar parcial o totalmente determinadas actividades, como la prestación de un servicio, la gestión de un proceso, la toma de una decisión o la realización de una acción, independientemente de que el sistema de IA sea desarrollado y utilizado por organizaciones privadas o públicas. En este sentido se considera que, como componente de un producto, un sistema de IA puede integrarse físicamente en el producto (incrustado en él) o servir a la funcionalidad del producto sin estar integrado en él (no integrado).
En base a lo anterior, se considera que el marco jurídico de la inteligencia artificial debe estar compuesto por los siguientes bloques: a) medidas que establezcan un enfoque claramente definido basado en el riesgo; b) medidas de apoyo a la innovación; c) medidas que faciliten el establecimiento de códigos de conducta voluntarios y d) un marco de gobernanza que apoye la aplicación del Reglamento, tanto a nivel nacional como de la UE y a nivel nacional, así como su adaptación, según proceda.
Como consecuencia, el art. 3.1.1 del borrador propone la siguiente definición de IA, a efectos del presente Reglamento:
"Sistema de inteligencia artificial o sistema de IA: Software que se desarrolla con uno o varios de los enfoques y técnicas enumerados en el anexo I y que puede, para un determinado conjunto de objetivos definidos por el ser humano, generar resultados tales como contenidos, predicciones, recomendaciones o decisiones que influyan en entornos reales o virtuales. Los sistemas de IA están diseñados para funcionar con distintos niveles de autonomía. Un sistema de IA puede utilizarse como componente de un producto, también cuando no está integrado en él, o de forma autónoma y sus resultados pueden servir para automatizar parcial o totalmente determinadas actividades, incluyendo la prestación de un servicio, la gestión de un proceso, la toma de una decisión o la realización de una acción".
Las técnicas a las que se refiere el Anexo I mencionadas en la definición anterior son las siguientes:
a) Técnologías de aprendizaje automático (Machine learning), incluyendo el aprendizaje supervisado, el no supervisado y el aprendizaje de efuerzo (supervised, unsupervised and reinforcement learning), utilizando una amplia variedad de métodos, incluyendo el aprendizaje profundo (deep learning)
b) Tecnologías basadas en la lógica y el conocimiento, incluida la representación del conocimiento, la programación (lógica) inductiva, las bases de conocimiento, los motores de inferencia/deducción, el razonamiento (simbólico) y los sistemas expertos (
(Logic and knowledge-based approaches, including knowledge representation, inductive (logic) programming, knowledge bases, inference/deductive engines, (symbolic) reasoning and expert systems)
c) Tecnologías de enfoque estadístico, estimación bayesiana y métodos de búsqueda y optimización (Statistical approaches, Bayesian estimation, search and optimization methods).
Tipos de IA
El proyecto de Reglamento se refiere a tres tipos de sistemas de Inteligencia Artificial:
- Sistemas de IA prohibidos
- Sistemas de IA de alto riesgo
- Sistemas de IA no comprendidos en las dos categorías anteriores
Sistemas de IA prohibidos
El documento parte de la premisa de que “la inteligencia artificial puede permitir nuevas prácticas de manipulación adictiva, de control social y de vigilancia indiscriminada, que son especialmente perjudiciales y deben prohibirse por ser contrarias a los valores de la Unión de respeto a la dignidad humana la libertad, la democracia, el Estado de Derecho y el respeto de los derechos humanos”.
Con mayor detalle, el Considerando 21 señala, en primer lugar, que ciertas prácticas potenciadas por la inteligencia artificial tienen un potencial significativo para manipular a las personas físicas, incluso mediante la adaptación automática de interfaces de usuario engañosas, así como de explotar las vulnerabilidades y circunstancias especiales de una persona. Las prácticas de inteligencia artificial manipuladoras deben prohibirse cuando hacen que una persona se comporte, se forme una opinión o tome una decisión en su perjuicio que no habría tomado de otro modo.
También se considera que debe prohibirse el uso de la inteligencia artificial con fines de vigilancia indiscriminada de las personas físicas cuando se aplique de forma generalizada a todas las personas sin diferenciación. Entre estos métodos de vigilancia podrían incluirse la supervisión y el seguimiento de personas físicas en entornos digitales o físicos, así como la agregación y el análisis automatizados de datos personales procedentes de diversas fuentes.
No obstante, esas prácticas potenciadas por la inteligencia artificial identificadas anteriormente se permitirán cuando sean llevadas a cabo por las autoridades públicas o en su nombre con el fin de salvaguardar la seguridad pública y siempre que se garanticen adecuadamente los derechos y libertades de terceros.
Por último, no debe permitirse la puntuación social algorítmica de personas físicas si no se lleva a cabo con un propósito legítimo específico de evaluación y clasificación, sino de forma generalizada, en particular cuando la puntuación con fines generales se basa en el comportamiento de las personas en múltiples contextos y/o características de la personalidad y conduce a un tratamiento perjudicial de las personas que o bien no esté relacionado con los contextos en los que se generaron o recopilaron originalmente los datos, o desproporcionado con respecto a la gravedad del comportamiento. En este sentido se señala que ese trato perjudicial puede producirse, por ejemplo mediante la adopción de decisiones que puedan afectar negativamente y restringir los derechos y libertades fundamentales de las personas físicas, incluso en el entorno digital.
Sistemas de IA de alto riesgo
La clasificación de un sistema de IA como de alto riesgo debe basarse en la finalidad prevista para el mismo -que debe referirse al uso al que se destina, incluidos el contexto y las condiciones específicas de uso y- y determinarse en dos pasos, considerando si puede causar determinados daños y, en caso afirmativo, la gravedad del posible daño y la probabilidad de que se produzca.
En cuanto a los daños que pueden causar los sistemas de IA de alto riesgo, se considera que estos deben incluir: a) las lesiones o la muerte de una persona; b) los daños a la propiedad; c) los impactos adversos sistémicos para la sociedad en general; d) las interrupciones significativas en la prestación de servicios esenciales para el desarrollo ordinario de actividades económicas y sociales críticas; e) el impacto adverso en las oportunidades financieras, educativas o profesionales de las personas; f) el impacto adverso en el acceso a los servicios públicos y a cualquier forma de asistencia pública y g) el impacto adverso en los derechos fundamentales consagrados en la Carta Europea.
Entre los derechos fundamentales que se considera que pueden verse vulnerados por el uso de sistemas de IA se encuentran el derecho a la intimidad y el derecho a la protección de datos, el derecho a no ser discriminado, las libertades de expresión, reunión y asociación, la libertad personal, el derecho a la propiedad, el derecho a un recurso judicial efectivo y a un y a un juicio justo y el derecho a la protección internacional.
En consecuencia, los sistemas de IA de alto riesgo deben diseñarse y desarrollarse de forma que las personas físicas puedan supervisar su funcionamiento. Para ello, el proveedor debe determinar las medidas técnicas y organizativas adecuadas antes de la comercialización o puesta en servicio del sistema de IA. Entre otras cosas, y según proceda, dichas medidas deben garantizar que el sistema esté sujeto a restricciones operativas incorporadas que no puedan ser anuladas por el propio sistema y que responda a los operadores humanos, y que las personas físicas a las que se asigne la supervisión humana tengan la competencia, la formación y la autoridad necesarias para desempeñar su función.
Además, los sistemas de IA de alto riesgo deben funcionar de forma coherente a lo largo de su ciclo de vida y cumplir un alto nivel de precisión, solidez y seguridad. Asimismo, habida cuenta de la naturaleza probabilística de los resultados de determinados sistemas de IA, el nivel de precisión debe ser apropiado para la finalidad prevista del sistema, por lo que el sistema de IA debe indicar a los usuarios cuándo no se cumple el nivel de precisión declarado, de modo que puedan adoptarse las medidas adecuadas al respecto.
El criterio de robustez debe implicar que el sistema sea resistente a los errores, fallos o incoherencias que puedan producirse dentro del sistema o en el entorno en el que éste opera, en particular debido a su interacción con personas físicas o sistemas de software o hardware. personas o sistemas de software o hardware. El sistema de IA también debe ser seguro y resistente a intentos de alterar su uso o rendimiento por parte de terceros malintencionados que pretendan explotar las vulnerabilidades del sistema.
A fin de asesurar un alto nivel de confiabilidad de los sistemas de IA de alto riesgo, estos deben ser sometidos a una evaluación de conformidad previa a su puesta en el mercado o en operación.
Comité Europeo de IA
Los legisladores europeos consideran que, para facilitar una aplicación fluida, eficaz y armonizada del Reglamento, debe crearse un Comité Europeo de Inteligencia Artificial (European Artificial Intelligence Board).
Este debe estar compuesto un representante por Estado miembro y un representante tanto de la Comisión Europea Comisión Europea como del Supervisor Europeo de Protección de Datos.
El Consejo será responsable de emitir las recomendaciones y los dictámenes pertinentes a la Comisión, en relación con la lista de prácticas de inteligencia artificial prohibidas y la lista de sistemas de IA de alto riesgo.
Además, supervisará la aplicación coherente del Reglamento por parte de los Estados miembros, incluso mediante la emisión de dictámenes o documentos de orientación interpretativa.
También recopilará y compartirá las mejores prácticas entre los Estados miembros.
Contribuirá y participará en el desarrollo de normas armonizadas o especificaciones comunes relacionadas con la inteligencia artificial.
Proporcionará asesoramiento y experiencia a la Comisión y a otras instituciones de la Unión, agencias y organismos de la Unión sobre cuestiones específicas relacionadas con la inteligencia artificial.
Y hará un seguimiento continuo de los avances técnicos y comerciales relacionados con la inteligencia artificial, incluido su impacto en la salud y la seguridad y en los derechos y libertades y las libertades fundamentales de las personas.
El Comité deberá llevar a cabo sus tareas en estrecha cooperación con otros organimsos europeos, como el Comité Europeo de Protección de Datos de datos, la red de vigilancia del mercado de la UE, así como otros organismos y autoridades sectoriales a nivel de la UE [por ejemplo, la Autoridad Bancaria Europea]. Dicha cooperación debe entenderse sin perjuicio de la independencia y las competencias que el Derecho de la Unión otorga al Consejo y a cualquier otra autoridad u organismo establecido a nivel de la UE.
Dada la naturaleza técnica de muchos de los resultados que se esperan del Comité Europeo de Inteligencia Artificial, se prevé que el mismo esté asesorado por un grupo de expertos independientes.