Moisés Barrio Andrés
Letrado del Consejo de Estado. Profesor de Derecho digital
Director del Diploma de Alta Especialización en Legal Tech y transformación digital (DAELT) de la Escuela de Práctica Jurídica de la Universidad Complutense de Madrid
Asesor de diversos Estados y de la Unión Europea en materia de regulación digital
1. Introducción
El Reglamento Europeo de Inteligencia Artificial (RIA o AI Act por su abreviatura inglesa) es una norma jurídica bastante compleja e intrincada. Esta complejidad aparece ya desde la propia definición de «sistema de IA», tal y como he analizado (1) recientemente en otro lugar.
En esta nota me ocuparé del ámbito de aplicación del RIA y su impacto en las actividades de las organizaciones con sede fuera de la Unión Europea (UE).
2. Sujetos involucrados
El RGPD impone obligaciones de cumplimiento principalmente a dos categorías de sujetos bien definidos: responsables del tratamiento y encargados del tratamiento. El RIA, por su parte, impone obligaciones de cumplimiento a una gama mucho más amplia de sujetos, cada uno de los cuales tiene una definición compleja:
3. Efecto extraterritorial
El concepto de aplicación extraterritorial en el Derecho digital se estableció con carácter pionero por el artículo 3 del RGPD (LA LEY 6637/2016). El artículo 3.2 del RGPD (LA LEY 6637/2016) se centra en los sujetos establecidos fuera de la UE y que «ofrecen» (es decir, dirigen o personalizan sus servicios) a personas físicas en la UE o controlan el comportamiento de dichas personas.
En cambio, el RIA tiene un enfoque mucho más amplio. Su considerando 21 establece lo siguiente:
«Con el objetivo de garantizar la igualdad de condiciones y la protección efectiva de los derechos y libertades de las personas en toda la Unión, las normas establecidas en el presente Reglamento deben aplicarse a los proveedores de sistemas de IA sin discriminación, con independencia de si están establecidos en la Unión o en un tercer país, y a los responsables del despliegue de sistemas de IA establecidos en la Unión».
El artículo 2.1.c) del RIA expone el mismo concepto utilizando un lenguaje ligeramente (pero materialmente) diferente:
«El presente Reglamento se aplicará a: […] c) los proveedores y responsables del despliegue de sistemas de IA que estén establecidos o ubicados en un tercer país, cuando los resultados de salida generados por el sistema de IA se utilicen en la Unión».
Mientras que el RGPD se aplica a un sujeto de fuera de la UE en circunstancias en las que dicho sujeto ha intentado hacer algo que, al menos en parte, está dirigido a la UE, el RIA parece aplicarse incluso cuando el proveedor/responsable del despliegue no ha intentado dirigir sus actividades a la UE. Así, bajo el RIA, según una lectura literal de su artículo 2.1.c) cabe sostener que un proveedor/responsable del despliegue radicado fuera de la UE puede estar sujeto al Reglamento cuando el resultado del sistema de IA se dirige a la UE, aunque aquél no lo hubiera deseado.
Podemos ilustrarlo con un ejemplo práctico. La empresa A es una empresa de diseño gráfico con sede en Estados Unidos. La empresa A utiliza herramientas de generación de imágenes de IA disponibles en el mercado como parte de su proceso creativo para generar logotipos y material gráfico para sus clientes. El cliente B tiene su sede en Marruecos y decide contratar a la empresa A para crear un logotipo para su empresa. Una vez que la empresa A le haya proporcionado el logotipo, el cliente B abre una oficina en Madrid y utiliza el logotipo para comercializar sus servicios en España.
Bajo el RIA, la empresa A es un «responsable del despliegue» del sistema de IA que utiliza para producir el logotipo; el logotipo aparentemente equivale a un «contenido» (dentro de la definición de «sistema de IA» del artículo 3.1) del RIA) y, por lo tanto, parece ser un «resultado de salida»; y el logotipo es utilizado en la UE por el cliente B. Por lo tanto, aplicando el artículo 2.1.c) del RIA, el Reglamento se aplica a la empresa A en este ejemplo, aunque la empresa A no supiera que el resultado de los sistemas de IA pertinentes se utilizaría en la UE.
Tampoco parece que la empresa A pueda evitar este resultado. Por ejemplo, la empresa A podría prohibir contractualmente al cliente B utilizar el logotipo en la UE. Sin embargo, si el cliente B incumpliera esa obligación contractual y utilizara el logotipo en la UE, una lectura literal del artículo 2.1.c) del RIA llevaría inevitablemente a la conclusión de que la empresa A entraría automáticamente en el ámbito de aplicación del Reglamento (aunque hubiera hecho todo lo razonablemente posible para evitar este resultado).
El efecto directo va a producirse en toda organización que actúe como proveedor o responsable de despliegue de un sistema de IA en cualquier parte del mundo
El efecto directo va a producirse en toda organización que actúe como proveedor o responsable de despliegue de un sistema de IA en cualquier parte del mundo, que corre el riesgo de entrar en el ámbito de aplicación del RIA en función de factores que (en muchos casos) escaparán al control de dicha organización. En consecuencia, el RIA parece tener un ámbito de aplicación territorial excesivamente amplio y, hasta que no se dicten las directrices interpretativas por la Comisión Europea, será muy difícil para las organizaciones no pertenecientes a la UE evaluar en qué medida están sujetas al RIA.
4. Conclusión
El RIA pretende reconocer las oportunidades transfronterizas de la inteligencia artificial, evitar la elusión normativa y garantizar la protección efectiva de las personas físicas situadas en la UE. En este sentido, el Reglamento quiere asegurar que las personas físicas y jurídicas de todos los niveles de la cadena de valor de la IA estén sujetas a los requisitos del Reglamento, a menudo con independencia de su jurisdicción.
Sin embargo, la aplicación del artículo 2.1.c) del RIA es, en el mejor de los casos, incierta y, en el peor, altamente expansiva. En particular, aún no se sabe con certeza cómo se interpretará el término «utilización». A falta de futuras aclaraciones por parte de la Comisión Europea, parece poco probable que se resuelva esta incertidumbre hasta que los reguladores y tribunales pertinentes de la UE proporcionen nuevas orientaciones sobre esta cuestión. Mientras tanto, las organizaciones no establecidas en la UE que utilicen sistemas de IA deben adoptar una actitud prudente y estar atentas a la evolución en este ámbito.