Propuesta de marco regulador sobre inteligencia artificial

La propuesta regulatoria tiene por objeto proporcionar a los desarrolladores, implementadores y usuarios de IA requisitos y obligaciones claros en relación con los usos específicos de la IA. Al mismo tiempo, la propuesta tiene por objeto reducir las cargas administrativas y financieras para las empresas, en particular las pequeñas y medianas empresas (PYME).

La propuesta forma parte de un paquete más amplio de IA, que también incluye el Plan coordinado actualizado sobre IA. Juntos, el marco regulador y el plan coordinado garantizarán la seguridad y los derechos fundamentales de las personas y las empresas en lo que respecta a la IA. Y reforzarán la adopción, la inversión y la innovación en IA en toda la UE.

¿Por qué necesitamos reglas sobre IA?

La propuesta de Reglamento sobre IA garantiza que los europeos puedan confiar en lo que la IA tiene que ofrecer. Si bien la mayoría de los sistemas de IA se limitan a ningún riesgo y pueden contribuir a resolver muchos desafíos sociales, ciertos sistemas de IA crean riesgos que debemos abordar para evitar resultados indeseables.

Por ejemplo, a menudo no es posible averiguar por qué un sistema de IA ha tomado una decisión o predicción y ha tomado una acción en particular. Por lo tanto, puede ser difícil evaluar si alguien ha sido injustamente desfavorecido, como en una decisión de contratación o en una solicitud de un plan de beneficios públicos.

Aunque la legislación vigente proporciona cierta protección, no es suficiente para hacer frente a los desafíos específicos que pueden plantear los sistemas de IA.

Las normas propuestas:

• abordar los riesgos creados específicamente por las aplicaciones de IA;
• proponer una lista de aplicaciones de alto riesgo;
• establecer requisitos claros para los sistemas de IA para aplicaciones de alto riesgo;
• definir obligaciones específicas para los usuarios de IA y los proveedores de aplicaciones de alto riesgo;
• proponer una evaluación de la conformidad antes de que el sistema de IA se ponga en servicio o se comercialice;
• proponer la aplicación después de la introducción en el mercado de un sistema de IA de este tipo;
• proponer una estructura de gobernanza a nivel europeo y nacional.

Un enfoque basado en el riesgo

El marco regulador define cuatro niveles de riesgo en la IA:

• Riesgo inaceptable
• Alto riesgo
• Riesgo limitado
• Riesgo mínimo o nulo

Riesgo inaceptable

Todos los sistemas de IA considerados una clara amenaza para la seguridad, los medios de vida y los derechos de las personas serán prohibidos, desde la puntuación social por parte de los gobiernos hasta los juguetes que utilizan la asistencia de voz que fomentan comportamientos peligrosos.

Alto riesgo

Los sistemas de IA identificados como de alto riesgo incluyen la tecnología de IA utilizada en:

• infraestructuras críticas (por ejemplo, transporte), que podrían poner en peligro la vida y la salud de los ciudadanos;
• formación educativa o profesional, que puede determinar el acceso a la educación y al curso profesional de la vida de una persona (por ejemplo, la puntuación de los exámenes);
• componentes de seguridad de los productos (por ejemplo, aplicación de IA en cirugía asistida por robot);
• empleo, gestión de los trabajadores y acceso al trabajo por cuenta propia (por ejemplo, software de clasificación de currículums para los procedimientos de contratación);
• servicios públicos y privados esenciales (por ejemplo, la calificación crediticia que deniega a los ciudadanos la oportunidad de obtener un préstamo);
• aplicación de la ley que pueda interferir con los derechos fundamentales de las personas (por ejemplo, evaluación de la fiabilidad de las pruebas);
• gestión de la migración, el asilo y el control de fronteras (por ejemplo, verificación de la autenticidad de los documentos de viaje);
• administración de justicia y procesos democráticos (por ejemplo, aplicación de la ley a un conjunto concreto de hechos).

Los sistemas de IA de alto riesgo estarán sujetos a obligaciones estrictas antes de que puedan comercializarse:

• sistemas adecuados de evaluación y mitigación de riesgos;
• alta calidad de los conjuntos de datos que alimentan el sistema para minimizar los riesgos y los resultados discriminatorios;
• registro de la actividad para garantizar la trazabilidad de los resultados;
• documentación detallada que proporcione toda la información necesaria sobre el sistema y su finalidad para que las autoridades evalúen su cumplimiento;
• información clara y adecuada para el usuario;
• medidas adecuadas de supervisión humana para minimizar el riesgo;
• alto nivel de robustez, seguridad y precisión.

Todos los sistemas de identificación biométrica remota se consideran de alto riesgo y están sujetos a requisitos estrictos. El uso de la identificación biométrica remota en espacios de acceso público con fines policiales está, en principio, prohibido.

Las excepciones limitadas están estrictamente definidas y reguladas, por ejemplo, cuando sea necesario para buscar a un niño desaparecido, para prevenir una amenaza terrorista específica e inminente o para detectar, localizar, identificar o enjuiciar a un autor o sospechoso de un delito grave.

Dicho uso está sujeto a la autorización de un órgano judicial u otro órgano independiente y a límites adecuados en el tiempo, el alcance geográfico y las bases de datos buscadas.

Riesgo limitado

El riesgo limitado se refiere a los sistemas de IA con obligaciones específicas de transparencia. Al utilizar sistemas de IA como chatbots, los usuarios deben ser conscientes de que están interactuando con una máquina para que puedan tomar una decisión informada de continuar o dar un paso atrás.

Riesgo mínimo o nulo

La propuesta permite el uso libre de IA de riesgo mínimo. Esto incluye aplicaciones como videojuegos habilitados para IA o filtros de spam. La gran mayoría de los sistemas de IA utilizados actualmente en la UE entran en esta categoría.

Una vez que un sistema de IA está en el mercado, las autoridades están a cargo de la vigilancia del mercado, los usuarios garantizan la supervisión y el seguimiento humanos, y los proveedores cuentan con un sistema de seguimiento posterior a la comercialización. Los proveedores y usuarios también reportarán incidentes graves y mal funcionamiento.

Legislación preparada para el futuro

Como la IA es una tecnología en rápida evolución, la propuesta tiene un enfoque a prueba de futuro, permitiendo que las reglas se adapten al cambio tecnológico. Las aplicaciones de IA deben seguir siendo confiables incluso después de haber sido introducidas en el mercado. Esto requiere una gestión continua de la calidad y el riesgo por parte de los proveedores.

Próximos pasos

A raíz de la propuesta de la Comisión en abril de 2021, el Reglamento podría entrar en vigor a finales de 2022 o principios de 2023 en un período transitorio. En este período, se establecerían y elaborarían normas, y las estructuras de gobernanza establecidas serían operativas. La segunda mitad de 2024 es la primera vez que el Reglamento podría ser aplicable a los operadores con las normas listas y las primeras evaluaciones de conformidad realizadas.