El proceso de elaboración del Reglamento europeo de Inteligencia Artificial (IA) continúa su lento pero imparable camino. De esta manera, el pasado 6 de diciembre dicho proceso ha alcanzado un nuevo y relevante hito, con la adopción de la posición final del Consejo (general approach, en la jerga comunitaria), sobre la propuesta presentada en su día por la Comisión.
La aprobación de esta posición común permitirá al Consejo iniciar las pertinentes negociaciones con el Parlamento (trílogos), a fin de alcanzar entre ambas instituciones un acuerdo sobre la redacción final de la norma, una vez que la Eurocámara adopte a su vez su propia posición común al respecto.
La posición común adoptada por el Consejo gracias a los buenos oficios desempeñados durante estos meses por la presidencia checa, asume buena parte de las medidas que anticipamos a comienzos del pasado mes de noviembre y se centra en las siguientes áreas: definición de sistemas de IA; prácticas de IA prohibidas; clasificación de los sistemas de IA de alto riesgo; requisitos para la utilización de sistemas de IA de alto riesgo; sistemas de IA de propósito general; disposiciones relativas al uso de sistemas de IA por autoridades encargadas de la aplicación de la ley; obligaciones en relación con las evaluaciones de conformidad; transparencia y otras disposiciones en favor de las personas afectadas por las decisiones de los sistemas de IA y medidas en favor de la innovación.
A continuación reseñamos las principales medidas introducidas por el Consejo.
Definición de sistemas de IA
A fin de garantizar que la definición de un sistema de IA proporciona criterios suficientemente claros para distinguir la IA de los sistemas de software clásicos, el texto de compromiso limita la definición de sistemas de IA recogida en el apartado 1 del artículo 3 a los sistemas basados en las técnicas de aprendizaje de máquinas (Machine learning) y las técnicas basadas en la lógica y el conocimiento.
De esta manera, se elimina la anteriormente criticada referencia al Anexo I de la propuesta de la Comisión, que se suprime, y queda la siguiente definición
“Sistema de inteligencia artificial” es un sistema diseñado para funcionar con elementos de autonomía y que, basándose en datos y entradas proporcionados por una máquina o por un ser humano, deduce cómo lograr un conjunto determinado de objetivos utilizando métodos basados en el aprendizaje automático [machine learning] o en la lógica y el conocimiento, y produce resultados generados por el sistema, como contenidos (sistemas de IA generativa), predicciones, recomendaciones o decisiones, que influyen en los entornos con los que interactúa el sistema de IA.
Para aclarar un poco más el significado de esta definición, el nuevo Considerando 6 a, explica que:
Los métodos de aprendizaje automático [machine learning] se centran en el desarrollo de sistemas capaces de aprender e inferir a partir de datos para resolver un problema de aplicación sin estar explícitamente programados con un conjunto de instrucciones paso a paso desde la entrada hasta la salida. El aprendizaje se refiere al proceso computacional de optimizar a partir de datos los parámetros del modelo, que es una construcción matemática que genera un resultado a partir de los datos de entrada.
El abanico de problemas que aborda el aprendizaje automático suele incluir tareas para las que fallan otros enfoques, bien porque no existe una formalización adecuada del problema, bien porque la resolución del problema es inabordable con métodos que no sean de aprendizaje.
Los enfoques de aprendizaje automático incluyen, por ejemplo, el aprendizaje supervisado, no supervisado y de refuerzo, utilizando una variedad de métodos que incluyen el aprendizaje profundo con redes neuronales, técnicas estadísticas para el aprendizaje e inferencia (por ejemplo, regresión logística, estimación bayesiana) y métodos de búsqueda y de búsqueda y optimización.
Por su parte, el nuevo Considerando 6 b precisa que
Los métodos basados en la lógica y el conocimiento se centran en el desarrollo de sistemas con capacidad de razonamiento lógico sobre el conocimiento para resolver un problema de aplicación. Estos sistemas suelen incluir una base de conocimientos y un motor de inferencia que genera resultados mediante el razonamiento sobre la base de conocimientos. La base de conocimiento, que suele estar codificada por expertos humanos, representa entidades y relaciones lógicas relevantes para el problema de aplicación mediante formalismos basados en reglas, ontologías o grafos de conocimiento. El motor de inferencia actúa sobre la base de conocimientos y extrae nueva información mediante operaciones como la ordenación, la búsqueda, la correspondencia o el concatenación. Los métodos basados en la lógica y el conocimiento incluyen, por ejemplo la representación del conocimiento, la programación inductiva (lógica), las bases de conocimiento, motores de inferencia y deducción, razonamiento (simbólico), sistemas expertos y métodos de búsqueda y optimización.
La eliminación del Anexo I ha supuesto también la de la referencia a la delegación de poderes a la Comisión para actualizar la definición de sistema de IA.
En su lugar, y para garantizar que el Reglamento siga siendo flexible y adaptable a la evolución de la técnica, se ha introducido en el artículo 4 la posibilidad de que la Comisión pueda adoptar actos de ejecución que especifiquen y actualicen las técnicas de aprendizaje automático y los enfoques basados en la lógica y el conocimiento.
Prácticas de IA prohibidas
El artículo 5 del texto de compromiso amplía la prohibición de utilizar la IA para el scoring social también a los agentes privados.
Además la disposición que prohíbe el uso de sistemas de IA que exploten las vulnerabilidades de un grupo específico de personas también incluye a las personas vulnerables debido a su situación social o económica.
En cuanto a la prohibición del uso de sistemas de identificación biométrica a distancia en tiempo real en espacios de acceso público por parte de las autoridades policiales, el texto transaccional aclara los objetivos para los que dicho uso se considera estrictamente necesario a efectos policiales y para los que, por lo tanto, las autoridades policiales estarán excepcionalmente autorizados a utilizar dichos sistemas:
(i) la búsqueda selectiva de víctimas potenciales específicas de delitos;
(ii) la prevención de una amenaza específica y sustancial para una infraestructura crítica, la vida, la salud o la seguridad física de las personas físicas o la prevención de atentados terroristas;
(iii) la localización o identificación de una persona física a efectos de una investigación penal, el enjuiciamiento o la ejecución de una sanción penal por delitos castigados en el Estado miembro de que se trate con una pena una pena o medida de seguridad privativas de libertad cuya duración máxima sea de al menos tres años, u otras infracciones específicas cuya duración máxima sea de al menos cinco años años, según determine la legislación de dicho Estado miembro.
Clasificación de los sistemas de IA considerados de alto riesgo
Por lo que se refiere a la lista de casos de uso de la IA de alto riesgo que figura en el Anexo III, se han suprimido tres de ellos: la detección de Deep fakes por las autoridades policiales; el análisis de los datos penales en relación con personas físicas a partir del análisis de grandes conjuntos de datos y la verificación de la autenticidad de los documentos de viaje.
Se han añadido dos casos: los sistemas de IA utilizados en las infraestructuras digitales críticas, el tráfico rodado y el suministro de agua, gas, calefacción y electricidad y los utilizados la evaluación de riesgos y la fijación de precios en el sector de los seguros de vida y salud, y se han afinado otros.
Al mismo tiempo, se ha modificado el artículo 7, apartado 1, para prever la posibilidad no sólo de añadir casos de uso de alto riesgo a la lista mediante actos delegados, sino también de suprimirlos. Para garantizar la adecuada protección de los derechos fundamentales en caso de supresión, se han añadido disposiciones adicionales en el artículo 7, apartado 3, en las que se especifican las condiciones que deben cumplirse para que pueda adoptarse un acto delegado.
Requisitos para la utilización de los sistemas de IA de alto riesgo y responsabilidades de los distintos agentes de la cadena de valor de la IA
Muchos de los requisitos para los sistemas de IA de alto riesgo, previstos en el Capítulo 2 del Título III de la propuesta, se han aclarado y ajustado de tal manera que resulten más técnicamente viables y menos gravosos de cumplir para las partes interesadas, por ejemplo, estableciendo que el cumplimiento de estos requisitos deberá tener en cuenta el estado del arte generalmente aceptado; señalando que los riesgos a que se refiere la gestión de riesgos se referirán únicamente a aquellos que puedan ser razonablemente mitigados o eliminados mediante el desarrollo o el diseño del sistema de IA de alto riesgo, o el suministro de información técnica adecuada; en relación con la calidad de los datos, estableciendo que estos deben examinarse a la vista de posibles sesgos que puedan afectar a la salud y la seguridad de las personas físicas o dar lugar a discriminaciones prohibidas por el Derecho de la Unión; o en relación con la documentación técnica que deben elaborar las PYME para demostrar que sus sistemas de IA de alto riesgo cumplen los requisitos.
Por otra parte, y teniendo en cuenta que los sistemas de IA se desarrollan y distribuyen a través de complejas cadenas de valor, el texto de compromiso incluye cambios que aclaran la asignación de responsabilidades y funciones. Por ejemplo, se han añadido algunas disposiciones adicionales en los artículos 13 y 14 que permiten una cooperación más eficaz entre proveedores y usuarios.
El texto de compromiso también pretende aclarar la relación entre las responsabilidades previstas en la Ley de AI y las que ya existen en virtud de otra legislación, como la legislación sectorial o de protección de datos sectorial de la Unión, incluido el sector de los servicios financieros. Además, el nuevo artículo 23 bis indica más claramente las situaciones en las que otros agentes de la cadena de valor están obligados a a asumir las responsabilidades de un proveedor:
“Los proveedores de sistemas de IA de alto riesgo, a petición de una autoridad nacional competente, facilitarán a dicha autoridad toda la información y documentación necesarias para demostrar la conformidad del sistema de IA de alto riesgo con los requisitos establecidos en el capítulo 2 del presente título, en una lengua fácilmente comprensible para la autoridad del Estado miembro de que se trate…”
Sistemas de IA de propósito general
Con carácter general, se considera como sistemas de IA de propósito general a aquellos sistemas de IA que --independientemente de cómo se comercialice o pongan en servicio, incluso como software de código abierto--, están destinados por el proveedor para realizar funciones de ámbito general, como el reconocimiento de imágenes y de voz, la generación de audio y vídeo, la detección de patrones, la respuesta a preguntas, la traducción y otras. Es decir, un sistema de IA de propósito general puede utilizarse en una pluralidad de contextos e integrarse en una pluralidad de otros sistemas de IA.
A este respecto, el Consejo ha añadido un nuevo título II (General Purposes AI systems) a la propuesta para tener en cuenta las situaciones en las que un sistema de IA de propósito general, poder estar integrado en otro sistema que puede llegar a ser considerado de alto riesgo.
El texto de compromiso especifica en el apartado 1 del nuevo artículo 4 ter (Requirements for general purpose AI systems and obligations for providers of such systems) que, en esos casos, determinados requisitos establecidos para los sistemas de IA de alto riesgo se aplicarán también a los sistemas de IA de propósito general. Sin embargo, en lugar de la aplicación directa de estos requisitos, un acto de ejecución especificará cómo deben en relación con los sistemas de IA de propósito general, sobre la base de una consulta y una evaluación precisa y teniendo en cuenta las características específicas de estos sistemas y la cadena de valor con la que están relacionados, la viabilidad técnica y la evolución tecnológica y del mercado.
Por otra parte, el texto de compromiso del apartado 5 del mencionado artículo 4 ter, también incluye la posibilidad de adoptar otros actos de ejecución que establezcan las modalidades de cooperación entre los proveedores de sistemas de IA de propósito general y otros proveedores que pretendan poner en servicio o introducir dichos sistemas en el mercado de la Unión como sistemas de IA de alto riesgo, en particular en lo que se refiere al suministro de información.
Transparencia y otras disposiciones en favor de los afectados
La propuesta transaccional incluye una serie de cambios que aumentan la transparencia en relación con el uso de sistemas de IA de alto riesgo. En particular, se ha actualizado el artículo 51 (Registro), para indicar que determinados usuarios de sistemas de IA de alto riesgo que sean autoridades, agencias u organismos públicos también estarán obligados a registrarse en la base de datos de la UE sobre sistemas de IA de alto riesgo enumerados en el anexo III.
Además, el nuevo apartado 2 bis del artículo 52 (Obligaciones de transparencia para determinados sistemas de IA), hace hincapié en la obligación de que los usuarios de un sistema de reconocimiento de emociones informen a las personas físicas afectados por los mismos cuando estén expuestas a dicho sistema.
La propuesta transaccional también deja claro en el nuevo apartado 11 del artículo 63 (Vigilancia del mercado y control de los sistemas de IA en el mercado de la Unión) que una persona física o jurídica que tenga motivos para considerar que se ha producido una infracción de las disposiciones del Reglamento de IA podrá presentar una denuncia ante la autoridad de vigilancia del mercado pertinente y esperar que dicha denuncia se tramite de acuerdo con los procedimientos específicos de dicha autoridad.
Medidas de apoyo a la innovación - Sandboxes regulatorios
Con el objetivo de crear un marco jurídico más favorable a la innovación y para promover el aprendizaje normativo basado en pruebas, las disposiciones de apoyo a la innovación del artículo 53 (Espacios controlados de prueba para la IA) se han modificado sustancialmente en el texto de compromiso.
En particular, se ha aclarado que los espacios controlados de prueba de la IA (sandboxes regulatorios), que se supone que establecen un entorno controlado para el desarrollo, ensayo y validación de sistemas innovadores de IA bajo la supervisión y orientación directas de las autoridades nacionales competentes, también deben permitir el ensayo de sistemas innovadores de IA en condiciones del mundo real.
Además, se han añadido nuevas disposiciones por medio de los nuevos artículos 54 bis (Testing of high-risk AI systems in real world conditions outside AI regulatory sandboxes) y 54 ter (Informed consent to participate in testing in real world conditions outside AI regulatory sandboxes) que permiten realizar pruebas no supervisadas de sistemas de IA en el mundo real, en condiciones y con salvaguardias específicas. En ambos casos, el texto transaccional aclara cómo deben interpretarse estas nuevas normas en relación con otra legislación sectorial existente sobre los espacios de prueba controlados regulatorios.
Por último, para aliviar la carga administrativa de las empresas más pequeñas, en el artículo 55 el texto transaccional incluye una lista de acciones que deberá emprender la Comisión para apoyar a dichos operadores y en el artículo 55 bis (Derogations for specific operators) prevé algunas excepciones limitadas y claramente especificadas de estas obligaciones para determinados operadores.
Evaluaciones de conformidad, marco de gobernanza, vigilancia del mercado, aplicación del Reglamento
Con el fin de simplificar el cumplimiento del Reglamento, el texto de compromiso contiene una serie de aclaraciones y simplificaciones de las disposiciones relativas a los procedimientos de evaluación de conformidad.
También se han aclarado y simplificado las disposiciones relativas a la vigilancia del mercado para hacerlas más eficaces y fáciles de aplicar, teniendo en cuenta la necesidad de un enfoque proporcionado a este respecto.
Además, se ha revisado en profundidad el articulo 41 (Especificaciones comunes) para limitar la discrecionalidad de la Comisión en lo que respecta a la adopción de actos de ejecución que establezcan especificaciones técnicas comunes para los sistemas de IA de alto riesgo y los sistemas de IA de propósito general.
El texto transaccional también modifica sustancialmente las disposiciones relativas al Comité de IA (the Board), con el objetivo de garantizar su mayor autonomía y reforzar su papel en la arquitectura de gobernanza de la IA. En este contexto, se han revisado los artículos 56 (Constitución del Comité Europeo de IA) y 58 (Funciones del Comité), con el fin de reforzar el papel del Comité de manera que esté en mejores condiciones de prestar apoyo a los Estados miembros en la aplicación y el control del cumplimiento del Reglamento. Más concretamente, se han ampliado las tareas del Comité y se ha especificado su composición.
Con el fin de garantizar la participación de las partes interesadas en todas las cuestiones relacionadas con la aplicación del Reglamento, incluida la preparación de los actos de ejecución y de los actos delegados, se ha introducido un nuevo requisito para que el Consejo cree un subgrupo permanente que sirva de plataforma para una amplia gama de partes interesadas. También deben crearse otros dos subgrupos permanentes para las autoridades de vigilancia del mercado y las autoridades de notificación, a fin de reforzar la coherencia de la gobernanza y la aplicación de la Ley de IA en toda la Unión.
Para mejorar aún más el marco de gobernanza, el texto de compromiso incluye nuevos artículos 68 bis (Union testing facilities in the area of artificial Intelligence) y 68 ter (Central pool of independent experts). El artículo 68 bis obliga a la Comisión a designar una o varias instalaciones de ensayo de la Unión en el ámbito de la inteligencia artificial, que deberán proporcionar asesoramiento técnico o científico independiente a petición del Consejo o de las autoridades de vigilancia del mercado, mientras que el artículo 68 ter impone a la Comisión la obligación de crear un grupo central de expertos independientes para apoyar las actividades de aplicación exigidas por la Ley de IA.
Por último, un nuevo artículo 58 bis (Guidelines from the Commission on the implementation of this Regulation) obliga a la Comisión a elaborar orientaciones sobre la aplicación de la Ley AI.
Sanciones
Por lo que se refiere a las sanciones por infracción de las disposiciones del Reglamento, el artículo 71 del texto de compromiso prevé límites más proporcionados en el importe de las multas administrativas para las PYME y las empresas de nueva creación.
Además, en el apartado 6 del artículo 71 se han añadido cuatro criterios más para decidir el importe de las multas administrativas con el fin de salvaguardar aún más su proporcionalidad:
a) la naturaleza, gravedad y duración de la infracción y de sus consecuencias;
b) el carácter intencionado o negligente de la infracción;
c) las medidas adoptadas por el operador para remediar la infracción y mitigar los posibles efectos adversos de la misma;
d) si otras autoridades de vigilancia del mercado de otros Estados miembros ya han aplicado multas administrativas al mismo operador por la misma infracción;
e) si otras autoridades ya han impuesto multas administrativas al mismo operador por infracciones de otras normas del Derecho de la Unión o nacional, cuando esas infracciones resulten de la misma actividad u omisión;
f) el tamaño, el volumen de negocios anual y la cuota de mercado del operador que comete la infracción;
g) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, de la infracción.
El marco de elaboración de este texto
El 5 de julio de 2022, la Presidencia checa celebró un debate político en el WP TELECOM sobre la base de un documento de opciones políticas, cuyos resultados se utilizaron para preparar el segundo texto transaccional. Basándose en las reacciones de las delegaciones a este compromiso, la Presidencia checa preparó el tercer texto transaccional, que se presentó y debatió en el WP TELECOM los días 22 y 29 de septiembre de 2022. Tras estos debates, se pidió a las delegaciones que aportaran nuevos comentarios por escrito, que la Presidencia checa utilizó para redactar la cuarta propuesta transaccional. Basándose en las deliberaciones sobre la cuarta propuesta transaccional celebradas en el Grupo de Trabajo TELECOM los días 25 de octubre y 8 de noviembre de 2022, y teniendo en cuenta las observaciones finales por escrito de los Estados miembros, la Presidencia checa ha preparado la versión definitiva del texto transaccional, que figura en el Anexo. versión final del texto transaccional, que figura en el Anexo. El 18 de noviembre, el Coreper examinó esta propuesta transaccional y acordó por unanimidad presentarla al Consejo TTE (Telecomunicaciones), sin cambios, con vistas a una orientación general en su reunión del 6 de diciembre de 2022.