I. Introducción
El Reglamento define Sistema de IA como el software que opera de manera autónoma para, frente a información introducida por seres humanos o máquinas, generar contenido como respuestas, recomendaciones o decisiones alcanzadas mediante técnicas de lógica o machine-learning.
El ámbito de aplicación del Reglamento se extiende a:
- i) Proveedores de Sistemas de IA, independientemente de su origen, que desarrollen o comercialicen dichos Sistemas dentro de la Unión Europea.
- ii) Usuarios de estos Sistemas que se encuentren en la Unión, es decir, aquellos que los implementen en sus organizaciones para explotarlos.
- iii) Los proveedores y usuarios de Sistemas de IA que se encuentren en un tercer país, cuando la información de salida generada por el Sistema se utilice en la Unión.
II. Niveles de riesgo
El Reglamento prevé distintos niveles de riesgo en función de las características y funcionalidades del Sistema de IA en cuestión, estableciendo limitaciones o restricciones a su uso para cada nivel de riesgo:
- 1) Riesgo inaceptable. Las siguientes prácticas de Inteligencia Artificial están prohibidas:
- • Las que usen técnicas subliminares para distorsionar el comportamiento de una persona de manera que pueda causarle daños físicos o psicológicos a ella o a otras.
- • Las que exploten vulnerabilidades de un grupo específico de personas por su edad, discapacidad o situación social o económica, de forma que alteren el comportamiento de estas personas y probablemente les causen daños a ellas o a otras.
- • Las que elaboren perfiles de personas según su comportamiento, que pueda dar lugar a que personas o grupos reciban un trato desproporcionadamente desfavorable al comportamiento observado, o en un trato desfavorable en un contexto que no es aquel donde se recogieron los datos.
- • El uso para aplicaciones policiales o de orden público de la identificación biométrica en tiempo real en lugares accesibles al público por parte de las fuerzas y cuerpos de seguridad, o en su nombre, salvo las excepciones de autorización previa establecidas en el artículo 5 del Reglamento.
- 2) Riesgo alto. Las siguientes prácticas de Inteligencia Artificial están permitidas con sujeción a determinadas normas:
- • Aquellas que ya estén reguladas por normativa armonizada de la UE y sujetas a evaluación de conformidad, previstas en el Anexo II del Reglamento.
- • Aquellas cuyo uso sea relevante para una decisión con posibles riesgos a la salud, seguridad o derechos fundamentales, enumeradas en el Anexo III del Reglamento:
- ○ Determinados sistemas de identificación biométrica.
- ○ Gestión de infraestructuras críticas, como tráfico, electricidad o agua.
- ○ Educación y formación profesional, como gestión del acceso a la educación o planificación del desarrollo académico.
- ○ Selección de personal y gestión de relaciones laborales.
- ○ Gestión del acceso de las personas a servicios esenciales públicos y privados, como beneficios sociales, servicios de crédito o seguros.
- ○ Actividades de fuerzas y cuerpos de seguridad, como valoración de pruebas o sospechosos.
- ○ Migración, asilo y control de fronteras, como polígrafos o valoración de solicitudes.
- ○ Administración de justicia y procesos democráticos.
- 3) Riesgo mínimo o sin riesgo. Se permiten dichos Sistemas de IA sin restricciones.
III. Principales obligaciones para los proveedores, usuarios, importadores y distribuidores de IA
Los proveedores de Sistemas de IA de alto riesgo deberán cumplir con las siguientes exigencias:
- i. Implantarán un sistema de gestión de riesgos.
- ii. Establecerán prácticas adecuadas de gobernanza y gestión de datos.
- iii. Contendrán documentación técnica actualizada.
- iv. Permitirán el registro automático de la actividad del sistema.
- v. Proporcionaran información a los usuarios sobre: la identidad y los datos de contacto del proveedor; las características, capacidades y limitaciones del funcionamiento del sistema; los cambios en el sistema y su funcionamiento; las medidas de vigilancia humana, entre otros.
- vi. Permitirán su supervisión por personas físicas.
- vii. Estarán diseñados para garantizar un nivel adecuado de precisión, solidez y ciberseguridad.
Asimismo, el Reglamento establece para los usuarios las obligaciones de supervisar y monitorizar los sistemas, guardar registros y cooperar con las autoridades.
Por su parte, los importadores y distribuidores deben conservar a documentación técnica, verificar que los sistemas cuentan con la debida evaluación de conformidad y con el marcado CE, así como asegurarse de que exista un representante autorizado del proveedor en la UE.
IV. Sanciones
El Reglamento prevé el régimen sancionador que se detalla a continuación:
- 1) Cuando se lleven a cabo prácticas de Inteligencia Artificial prohibidas o se incumpla la obligación de establecer prácticas adecuadas de gobernanza y gestión de datos, se podrán imponer multas de hasta 30M de € o del 6% del volumen anual de negocio del ejercicio anterior, si dicha cuantía fuese superior.
- 2) Cuando se incumpla cualquier otra obligación no contemplada en el apartado anterior, se podrán imponer multas de hasta 20M de € o del 4% del volumen anual de negocio del ejercicio anterior, si dicha cuantía fuese superior.
- 3) Cuando se presenteinformación inexacta, incompleta o engañosa a las autoridades ante un requerimiento, se podrán imponer multas de hasta 10M de € o del 2% del volumen anual de negocio del ejercicio anterior, si dicha cuantía fuese superior.
V. Adecuación al reglamento
Desde el Departamento de Compliance y Gobierno Corporativo de LENER, se efectúan las siguientes recomendaciones para la adecuación a las exigencias que prevé el Reglamento por parte de las empresas:
- ✓ Identificar qué Sistemas de IA existen y se usan en la empresa, y elaborar una ficha-registro de cada Sistema en la que se incluya, qué proveedor los desarrolla o distribuye, qué data set disponen, qué resultados están ofreciendo, qué personas o áreas de negocio de la organización los usa y con qué objetivo.
- ✓ Diseñar e implantar un Modelo de Gobierno internoen materia de IA, en el que se definan los distintos roles y competencias de las personas que integran las áreas de negocio. Asimismo, valorar la oportunidad de nombrar un «Chief AI Compliance Officer» responsable de este ámbito.
- ✓ Establecer una metodología de evaluación del nivel de riesgo de cada uno de los Sistemas de IA que dispone y usa la empresa.
- ✓ Regular en las políticas internas y en el régimen disciplinario de la compañía los usos de la Inteligencia Artificial, detallando aquellos que están prohibidos.
- ✓ Impartir formaciones y efectuar acciones de concienciación a la Dirección, a aquellas áreas de negocio afectadas por el uso de la Inteligencia Artificial, así como al resto de personas de la organización para que efectúen un uso responsable de la misma.